美國國安局公布VPN安全指南

因應全球疫情嚴峻局勢,目前多數企業採居家辦公,並透過虛擬私人網路(Virtual Private Network, VPN)連結企業網路,有鑑於此,美國國家安全局(National Security Agency, NSA)公布VPN安全指南,以避免VPN成為駭客攻擊目標,增加企業網路安全隱憂。

 

多數企業透過基於網際網路安全協定(Internet Protocol Security, IPsec)之VPN服務,以連接遠端伺服器或啟用遠端辦公能力,利用加密技術於不安全之網路環境中傳送機敏資訊,因此NSA公布VPN安全指南,說明常見之VPN配置錯誤與弱點如下:

(1)  降低VPN閘道之攻擊面(Attack Surface)

(2)  企業應確認其加密演算法符合國家規定

(3)  避免使用預設之VPN設定

(4)  移除未使用或不合規定之加密套件

(5)  即時部署安全更新

 

NSA解釋,VPN閘道直接連結公用網路易遭受網路掃描、暴力破解及零時差漏洞等攻擊。為降低危害,網路管理員應採用嚴格之過濾規則,並限制連結到VPN裝置之傳輸埠、協定及IP位址流量,若無法指向特定IP位址,則應於VPN閘道前部署入侵防禦系統。

 

至於VPN設定方面,供應商預設提供自動化配置腳本程式、圖形化使用者介面等配置,以協助企業部署VPN。然而預設配置通常涵蓋設定VPN各面向功能,包括ISAKMP/IKE與IPsec政策等,NSA建議企業應避免直接使用預設配置,因供應商為確保服務相容性,時常廣泛納入各式加密套件,企業應檢查自動部署之所有設定,並刪除不符規定之加密套件,以避免系統存在未控管之漏洞。

Reference

資料來源:

https://www.infosecurity-magazine.com/news/nsa-issues-vpn-security-guidance/

https://www.securitymagazine.com/articles/92759-nsa-warns-vpns-could-be-vulnerable-to-cyberattacks

https://media.defense.gov/2020/Jul/02/2002355625/-1/-

1/0/SECURING_IPSEC_VIRTUAL_PRIVATE_NETWORKS_EXECUTIVE_SUMMARY_2020_07_01_FINAL_RELEASE.PDF