NSA發布IPSec VPN安全指南
責編:gltian |2020-07-07 15:41:48美國國家安全局(National Security Agency)本周發布了有關保護IPSec虛擬專用網絡安全的指南,因為在冠狀病毒大流行之后,美國各地的公司仍在持續遠程工作。該安全建議包括各種警告,例如不要依賴供應商提供的配置。
NSA的VPN安全指南有兩種文檔形式:安全VPN指南和帶有更詳細的配置示例的版本。NSA警告說,許多VPN供應商提供了為其設備預先配置的加密套件和IPSec策略,以及用于兼容性的其他套件。互聯網安全關聯和密鑰管理協議(ISAKMP)和IPSec策略定義了VPN如何相互認證、管理安全關聯,以及如何在VPN連接的不同階段生成密鑰。
《指南》警告說:
如果將這兩個階段中的任何一個配置為允許過時的加密,則整個VPN都將面臨風險,并且數據機密性可能會丟失。
美國國家安全局(NSA)建議管理員確保這些政策符合國家安全系統政策委員會(CNSSP)-15標準,該標準定義了在國家安全系統之間安全共享信息的參數。甚至配置符合CNSSP-15的默認策略可能還不夠,因為許多VPN被配置為在默認策略不可用時退回到備用策略。該文件說,如果管理員將供應商的預配置替代產品留在其設備上,則可能會使用不合規的安全策略。
IPSec于1990年代引入,是VPN通信的傳統協議。它可以用于遠程訪問或VPN間通信,是SSL/TLS VPN的替代方法,后者提供完全基于瀏覽器的訪問,而無需在客戶端使用專用的軟件應用程序。
NSA還建議管理員縮小其VPN網關的攻擊面。由于這些設備主要通過互聯網訪問,因此它們很容易受到網絡掃描,暴力攻擊和零日漏洞的攻擊。降低此風險的一種方法是,如果使用對等VPN,則將接受的流量限制為已知IP地址。
NSA指出:
遠程訪問VPN出現了遠程對等IP地址未知的問題,因此無法將其添加到靜態過濾規則中。
但是,管理員仍可以限制對可通過UDP訪問的特定端口和協議(例如端口500和4500)的訪問。