新冠肺炎(COVID-19)让越来越多的人在家工作与学习,使得虚拟私有网络(VPN)越来越普及,用户通过VPN来连接组织网络,有鉴于此,美国国安局(NSA)近日公布了VPN安全指南,以避免VPN成为黑客的攻击表面。
NSA表示,有许多组织目前正利用基于网络安全协议(IPsec)的VPN服务来连接远程服务器或激活远程办公能力,利用加密来保护那些通过各个不可靠网络的机密信息,因此,这些VPN必须采用强大的加密技术,于是他们决定列出常见的VPN配置错误与弱点。
NSA建议各大组织应该尽量减少VPN网关的攻击表面,确认其加密算法是否符合国家安全系统政策委员会(CNSSP)的规定,避免使用默认的VPN设置,移除未使用或不合规定的加密组件,以及即时部署更新。
NSA解释,VPN网关直接面向网络,因而容易受到网络扫描、暴力破解攻击或零时差漏洞的危害,为了减少这些弱点,网络管理员应该采用严格的过滤规则来限制连接到VPN设备的传输端口、协议与IP地址的流量,如果无法指向特定的IP地址,那么则应于VPN网关之前部署入侵防御系统。
而在VPN的设置上,许多的供应商都提供了默认配置,自动化的配置脚本程序,或是图形用户接口来协助组织部署VPN,这些工具会负责设置VPN的各个方面,包括ISAKMP/IKE与IPsec政策,然而,许多设置都纳入了广泛的加密组件来确保兼容性,但NSA建议组织避免利用这些工具,以防它们允许那些不需要的加密组件,或者应检查自动部署的所有设置,以删除不符规定的加密组件。
在确保配置与设置的安全无虞之后,各组织也应即时部署供应商所提供的安全更新,以时时捍卫网络传输的安全性。