03/07/20
Агентство национальной безопасности США (АНБ) опубликовало руководство по обеспечению защиты виртуальных частных сетей (VPN) IP Security (IPsec) от потенциальных кибератак.
Помимо обеспечения безопасности IPsec-туннелей, АНБ также подчеркивает важность использования надежного шифрования для защиты конфиденциальной информации, содержащейся в трафике, при обходе недоверенных сетей во время подключения к удаленным серверам.
Следование данным рекомендациям особенно важно для организаций, которые перевели большую часть своих сотрудников на удаленный режим работы с начала пандемии коронавирусной инфекции.
«VPN необходимы для обеспечения удаленного доступа и безопасного подключения к удаленным узлам, но без надлежащей конфигурации, применения патчей и усиления безопасности сети уязвимы к атакам», — объяснила АНБ.
Среди мер, которые необходимо предпринять сетевым администраторам для обеспечения безопасности VPN, АНБ подчеркнуло необходимость уменьшения дополнительных векторов атаки, настройки стандартных параметров VPN и применения обновлений безопасности сразу после их выпуска поставщиками.
Как отметило ведомство, поддержание безопасного VPN-туннеля может быть сложным и требует регулярного обслуживания. Сетевые администраторам рекомендуется регулярно выполнять следующие задачи:
- Уменьшать количество дополнительных векторов атак на VPN-шлюзы;
- Убедиться, что криптографические алгоритмы соответствуют пункту #15 требований Комитета по политике систем национальной безопасности (Committee on National Security Systems Policy, CNSSP);
- Избегать использования настроек VPN по умолчанию;
- Удалять неиспользуемые или несовместимые криптографические пакеты;
- Применять предоставляемые поставщиком обновления для VPN-шлюзов.
Прежде всего, администраторам рекомендуется внедрить строгие правила фильтрации трафика, предназначенные для ограничения портов, протоколов и IP-адресов, которые можно использовать для подключения к VPN-устройствам.
В руководстве также представлены примеры настроек IPsecVPN и конкретные инструкции о том, как реализовать вышеуказанные меры и обеспечить наиболее безопасные конфигурации VPN.
