-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

NSA oraz CISA wydają rekomendacje dotyczące wyboru / hardeningu VPNów.

28 września 2021, 21:12 | W biegu | komentarze 3

Dla pewności – chodzi o rozwiązania VPN dające zdalny dostęp pracownikom do firm (a nie rozwiązania zapewniające „prywatność”).

Pełen dokument możecie pobrać z tego miejsca.

Dla niektórych może być zaskakująca jedna z pierwszych rekomendacji, zostawiających jako jedyną alternatywę IPsec-a…:

Avoid selecting non-standard VPN solutions, including a class of products referred to as Secure Sockets Layer/Transport Layer Security (SSL/TLS) VPNs. These products include custom, non-standard features to tunnel traffic via TLS. Using custom or non-standard features creates additional risk exposure, even when the TLS parameters used by the products are secure. NSA and CISA recommend standardized Internet Key Exchange/Internet Protocol Security (IKE/IPsec).

Poza tym znajdziemy tutaj takie rekomendacje jak:

  • na urządzeniu VPN udostępnienie do Internetu tylko absolutnie koniecznych otwartych portów (np. 500 oraz 4500 UDP)
  • wyłączenie funkcji, które nie są stricte związane z VPN:

Disable non-VPN-related functionality and advanced features that are more likely to have vulnerabilities. Features such as web administration, Remote Desktop Protocol, Secure Shell, and file sharing are convenient, but not necessary for the operation of remote access VPNs.

  • regularne i szybkie łatanie urządzenia (wbrew zasadzie: działa – nie ruszaj)
  • weryfikacja jakiego oprogramowania OpenSource używa dane rozwiązanie (może być nieaktualne – bum i mamy prostego exploita na VPNa)
  • Skonfigurowanie IDSa/WAFa – tak aby mógł chronić serwer VPN przed atakami

To oczywiście tylko przykłady, a dokument powstał jako odpowiedź na narastającą liczbę ataków na systemy VPN. W szczególności jest to łakomy kąsek dla operatorów ransomware.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Janek

    IDS to może raczej monitorować, bez aktywnej ochrony. Może chodziło o IPSa

    Odpowiedz
  2. Tomasz

    Z tego co widzę to dokument zawiera sporo rekomendacji znanych już od dziesięcioleci. Otwarcie tylko koniecznych portów, a nie wszystkiego, wyłączenie nieużywanych usług/funkcji, regularne aktualizacje.

    Odpowiedz
    • Asd

      Niby znane, a ludzie i tak nadal popełniają te same błędy

      Odpowiedz

Odpowiedz na Tomasz