7月7日消息，美國國家安全局（National Security Agency）本周發(fā)布了有關保護IPSec虛擬專用網(wǎng)絡安全的指南，因為在冠狀病毒大流行之后，美國各地的公司仍在持續(xù)遠程工作。該安全建議包括各種警告，例如不要依賴供應商提供的配置。

NSA的VPN安全指南有兩種文檔形式：安全VPN指南和帶有更詳細的配置示例的版本。NSA警告說，許多VPN供應商提供了為其設備預先配置的加密套件和IPSec策略，以及用于兼容性的其他套件。互聯(lián)網(wǎng)安全關聯(lián)和密鑰管理協(xié)議（ISAKMP）和IPSec策略定義了VPN如何相互認證、管理安全關聯(lián)，以及如何在VPN連接的不同階段生成密鑰。

《指南》警告說：“如果將這兩個階段中的任何一個配置為允許過時的加密，則整個VPN都將面臨風險，并且數(shù)據(jù)機密性可能會丟失。”

美國國家安全局（NSA）建議管理員確保這些政策符合國家安全系統(tǒng)政策委員會（CNSSP）-15標準，該標準定義了在國家安全系統(tǒng)之間安全共享信息的參數(shù)。甚至配置符合CNSSP-15的默認策略可能還不夠，因為許多VPN被配置為在默認策略不可用時退回到備用策略。該文件說，如果管理員將供應商的預配置替代產(chǎn)品留在其設備上，則可能會使用不合規(guī)的安全策略。

IPSec于1990年代引入，是VPN通信的傳統(tǒng)協(xié)議。它可以用于遠程訪問或VPN間通信，是SSL/TLS VPN的替代方法，后者提供完全基于瀏覽器的訪問，而無需在客戶端使用專用的軟件應用程序。

NSA還建議管理員縮小其VPN網(wǎng)關的攻擊面。由于這些設備主要通過互聯(lián)網(wǎng)訪問，因此它們很容易受到網(wǎng)絡掃描，暴力攻擊和零日漏洞的攻擊。降低此風險的一種方法是，如果使用對等VPN，則將接受的流量限制為已知IP地址。

NSA指出：“遠程訪問VPN出現(xiàn)了遠程對等IP地址未知的問題，因此無法將其添加到靜態(tài)過濾規(guī)則中。”但是，管理員仍可以限制對可通過UDP訪問的特定端口和協(xié)議（例如端口500和4500）的訪問。

責任編輯：gt