NSA發(fā)布IPSec虛擬專用網(wǎng)絡(luò)安全指南，預(yù)先配置的加密套件和IPSec策略

7月7日消息，美國國家安全局（National Security Agency）本周發(fā)布了有關(guān)保護IPSec虛擬專用網(wǎng)絡(luò)安全的指南，因為在冠狀病毒大流行之后，美國各地的公司仍在持續(xù)遠(yuǎn)程工作。該安全建議包括各種警告，例如不要依賴供應(yīng)商提供的配置。

NSA的VPN安全指南有兩種文檔形式：安全VPN指南和帶有更詳細(xì)的配置示例的版本。NSA警告說，許多VPN供應(yīng)商提供了為其設(shè)備預(yù)先配置的加密套件和IPSec策略，以及用于兼容性的其他套件?；ヂ?lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）和IPSec策略定義了VPN如何相互認(rèn)證、管理安全關(guān)聯(lián)，以及如何在VPN連接的不同階段生成密鑰。

《指南》警告說：“如果將這兩個階段中的任何一個配置為允許過時的加密，則整個VPN都將面臨風(fēng)險，并且數(shù)據(jù)機密性可能會丟失。”

美國國家安全局（NSA）建議管理員確保這些政策符合國家安全系統(tǒng)政策委員會（CNSSP）-15標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了在國家安全系統(tǒng)之間安全共享信息的參數(shù)。甚至配置符合CNSSP-15的默認(rèn)策略可能還不夠，因為許多VPN被配置為在默認(rèn)策略不可用時退回到備用策略。該文件說，如果管理員將供應(yīng)商的預(yù)配置替代產(chǎn)品留在其設(shè)備上，則可能會使用不合規(guī)的安全策略。

IPSec于1990年代引入，是VPN通信的傳統(tǒng)協(xié)議。它可以用于遠(yuǎn)程訪問或VPN間通信，是SSL/TLS VPN的替代方法，后者提供完全基于瀏覽器的訪問，而無需在客戶端使用專用的軟件應(yīng)用程序。

NSA還建議管理員縮小其VPN網(wǎng)關(guān)的攻擊面。由于這些設(shè)備主要通過互聯(lián)網(wǎng)訪問，因此它們很容易受到網(wǎng)絡(luò)掃描，暴力攻擊和零日漏洞的攻擊。降低此風(fēng)險的一種方法是，如果使用對等VPN，則將接受的流量限制為已知IP地址。

NSA指出：“遠(yuǎn)程訪問VPN出現(xiàn)了遠(yuǎn)程對等IP地址未知的問題，因此無法將其添加到靜態(tài)過濾規(guī)則中。”但是，管理員仍可以限制對可通過UDP訪問的特定端口和協(xié)議（例如端口500和4500）的訪問。

責(zé)任編輯：gt