美国国家安全局 (NSA)发布关于如何正确配置 IP 安全 (IPsec) 虚拟专用网络 (VPNs) 的建议。
VPN 见于规模不一的组织机构,用于远程连接资产、便于远程工作。如果应用了强加密机制以及如果管理员例行评估以识别并消除配置不当和漏洞问题,则VPN 交付的安全性符合预期。NSA 指出,管理员应当避免使用默认配置或厂商提供的自动化配置工具或 VPN 访问权限,因为它们可能含有不符合预期的、不合规的 ISAKMP/IKE(互联网安全协会和密钥管理协议/互联网密钥交换)和 IPsec 策略。NSA 建议将 VPN 网关流量限制为 UDP 端口500/4500 和 ESP,以及将流量限制到已知的 VPN 对等 IP 地址,以此减小攻击面。另外 NSA 还建议使用入侵防御系统 (IPS) 监控 IPsec 流量减小攻击面。NSA 还指出,ISAKMP/IKE 和 IPsec 策略应当配置推荐设置,否则将可能导致整个 VPN 易遭攻击。CNSSP 15 标准指出,自2020年6月起,ISAKMP/IKE 的最小设置推荐是 16个Diffie-Hellman 组、使用AES-256 加密机制和 SHA-384 哈希,而对 IPsec 的最小设置推荐是使用 AES-256 加密算法、SHA-384 哈希和 CBC 块加密工作模式。NSA 指出,“加密标准随着计算环境的发展以及新算法弱点的出现而不断变更。管理员应当做好准备迎接加密敏捷并定期查看 CNSSP 和 NIST 指南,获取最新的加密要、标准和建议。”任何未使用或不合规的加密套件可暴露VPN降级攻击,因此建议管理员删除相关部署,保证仅使用合规的 ISAKMP/IKE 和 IPsec 策略。在确保仅使用强加密机制且确保默认设置不会带来新的攻击面的基础上,管理员应当为 VPN 网关和客户端应用最新补丁。NSA 总结称,“VPN 在安全地启用远程访问权限和连接远程站点方面发挥着至关重要的作用。然而,如配置不当、补丁管理不当、安全加固方法不当,则可导致 VPN 易受多种类型的攻击。”https://media.defense.gov/2020/Jul/02/2002355501/-1/-1/0/CONFIGURING_IPSEC_VIRTUAL_PRIVATE_NETWORKS_2020_07_01_FINAL_RELEASE.PDF
https://www.securityweek.com/nsa-publishes-recommendations-securing-ipsec-vpns
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~