因應全球疫情嚴峻局勢，目前多數企業採居家辦公，並透過虛擬私人網路(Virtual Private Network, VPN)連結企業網路，有鑑於此，美國國家安全局(National Security Agency, NSA)公布VPN安全指南，以避免VPN成為駭客攻擊目標，增加企業網路安全隱憂。

 

多數企業透過基於網際網路安全協定(Internet Protocol Security, IPsec)之VPN服務，以連接遠端伺服器或啟用遠端辦公能力，利用加密技術於不安全之網路環境中傳送機敏資訊，因此NSA公布VPN安全指南，說明常見之VPN配置錯誤與弱點如下：

(1)  降低VPN閘道之攻擊面(Attack Surface)

(2)  企業應確認其加密演算法符合國家規定

(3)  避免使用預設之VPN設定

(4)  移除未使用或不合規定之加密套件

(5)  即時部署安全更新

 

NSA解釋，VPN閘道直接連結公用網路易遭受網路掃描、暴力破解及零時差漏洞等攻擊。為降低危害，網路管理員應採用嚴格之過濾規則，並限制連結到VPN裝置之傳輸埠、協定及IP位址流量，若無法指向特定IP位址，則應於VPN閘道前部署入侵防禦系統。

 

至於VPN設定方面，供應商預設提供自動化配置腳本程式、圖形化使用者介面等配置，以協助企業部署VPN。然而預設配置通常涵蓋設定VPN各面向功能，包括ISAKMP/IKE與IPsec政策等，NSA建議企業應避免直接使用預設配置，因供應商為確保服務相容性，時常廣泛納入各式加密套件，企業應檢查自動部署之所有設定，並刪除不符規定之加密套件，以避免系統存在未控管之漏洞。

資料來源：

https://www.infosecurity-magazine.com/news/nsa-issues-vpn-security-guidance/

https://www.securitymagazine.com/articles/92759-nsa-warns-vpns-could-be-vulnerable-to-cyberattacks

https://media.defense.gov/2020/Jul/02/2002355625/-1/-

1/0/SECURING_IPSEC_VIRTUAL_PRIVATE_NETWORKS_EXECUTIVE_SUMMARY_2020_07_01_FINAL_RELEASE.PDF