IPsec于1990年代引入,是一种传统的用于VPN相互通信的协议。它可用于远程访问或VPN间通信,是SSL / TLS VPN的替代方法,后者提供完全基于浏览器的访问,而无需在客户端使用专用的软件应用程序。
美国国家安全局(National Security Agency)上周在谷歌上发布了有关如何正确保护IPsec虚拟专用网络(VPN)免受潜在攻击的指南。该指南强调了使用加密技术的重要性,在连接到远程服务器时,该加密技术可在穿越不受信任的网络时保护包含在敏感信息中的流量。
该指南有两种形式,分别是安全VPN指南和详细的配置示例版本。
NSA表示:“ VPN专门用于启用远程访问和安全连接远程站点,但是如果没有适当的配置、补丁管理和加强,很容易受到网络扫描、暴力攻击和零日漏洞等攻击。”NSA还建议管理员减少其VPN网关的攻击面。
如何保护虚拟专用网络
- 将供应商提供的更新(即补丁)应用于VPN网关和客户端
- 尝试不使用默认的VPN设置
- 减少VPN网关的攻击面
- 删除未使用或不符合要求的加密套件
如果是第一次发生攻击情况的话,建议所有管理员实施严格的流量过滤规则,旨在限制可用来连接VPN设备的端口、协议和IP地址。入侵防御系统(IPS)可以帮助“监控不希望的IPSec流量并检查会话协商。
管理员还需要确保ISAKMP / IKE和IPsec策略不允许使用过时的加密算法,从而避免破坏数据机密性。
NSA还建议避免使用向导、脚本和供应商默认设置,因为它们可能会配置违规的ISAKMP / IKE和IPsec策略。另外,需要确保尽快使用最新的供应商提供的补丁程序,这些补丁程序可以缓解那些新发现的影响VPN网关和客户端的安全漏洞。
原文链接:
https://www.infosecurity-magazine.com/news/nsa-issues-vpn-security-guidance/
https://vednam.com/ipsec-virtual-private-network-securing-guidance-released-by-nsa/
