NSA oraz CISA wydają rekomendacje dotyczące wyboru / hardeningu VPNów.

Dla pewności – chodzi o rozwiązania VPN dające zdalny dostęp pracownikom do firm (a nie rozwiązania zapewniające „prywatność”).

Pełen dokument możecie pobrać z tego miejsca.

Dla niektórych może być zaskakująca jedna z pierwszych rekomendacji, zostawiających jako jedyną alternatywę IPsec-a…:

Avoid selecting non-standard VPN solutions, including a class of products referred to as Secure Sockets Layer/Transport Layer Security (SSL/TLS) VPNs. These products include custom, non-standard features to tunnel traffic via TLS. Using custom or non-standard features creates additional risk exposure, even when the TLS parameters used by the products are secure. NSA and CISA recommend standardized Internet Key Exchange/Internet Protocol Security (IKE/IPsec).

Poza tym znajdziemy tutaj takie rekomendacje jak:

• na urządzeniu VPN udostępnienie do Internetu tylko absolutnie koniecznych otwartych portów (np. 500 oraz 4500 UDP)
• wyłączenie funkcji, które nie są stricte związane z VPN:

Disable non-VPN-related functionality and advanced features that are more likely to have vulnerabilities. Features such as web administration, Remote Desktop Protocol, Secure Shell, and file sharing are convenient, but not necessary for the operation of remote access VPNs.

• regularne i szybkie łatanie urządzenia (wbrew zasadzie: działa – nie ruszaj)
• weryfikacja jakiego oprogramowania OpenSource używa dane rozwiązanie (może być nieaktualne – bum i mamy prostego exploita na VPNa)
• Skonfigurowanie IDSa/WAFa – tak aby mógł chronić serwer VPN przed atakami

To oczywiście tylko przykłady, a dokument powstał jako odpowiedź na narastającą liczbę ataków na systemy VPN. W szczególności jest to łakomy kąsek dla operatorów ransomware.

–Michał Sajdak