情境示意圖,Photo by Oliur on unsplash

武漢肺炎(COVID-19)讓愈來愈多的人在家工作與學習,使得虛擬私有網路(VPN)愈來愈普及,使用者透過VPN來連結組織網路,有鑑於此,美國國安局(NSA)近日公布了VPN安全指南,以避免VPN成為駭客的攻擊表面。

NSA表示,有許多組織目前正利用基於網路安全協定(IPsec)的VPN服務來連接遠端伺服器或啟用遠端辦公能力,利用加密來保護那些通過各個不可靠網路的機密資訊,因此,這些VPN必須採用強大的加密技術,於是他們決定列出常見的VPN配置錯誤與弱點。

NSA建議各大組織應該儘量減少VPN閘道的攻擊表面,確認其加密演算法是否符合國家安全系統政策委員會(CNSSP)的規定,避免使用預設的VPN設定,移除未使用或不合規定的加密套件,以及即時部署更新。

NSA解釋,VPN閘道直接面向網路,因而容易受到網路掃描、暴力破解攻擊或零時差漏洞的危害,為了減少這些弱點,網路管理員應該採用嚴格的過濾規則來限制連結到VPN裝置的傳輸埠、協定與IP位址的流量,如果無法指向特定的IP位址,那麼則應於VPN閘道之前部署入侵防禦系統。

而在VPN的設定上,許多的供應商都提供了預設配置,自動化的配置腳本程式,或是圖形使用者介面來協助組織部署VPN,這些工具會負責設定VPN的各個面向,包括ISAKMP/IKE與IPsec政策,然而,許多設定都納入了廣泛的加密套件來確保相容性,但NSA建議組織避免利用這些工具,以防它們允許那些不需要的加密套件,或者應檢查自動部署的所有設定,以刪除不符規定的加密套件。

在確保配置與設定的安全無虞之後,各組織也應即時部署供應商所提供的安全更新,以時時捍衛網路傳輸的安全性。


Advertisement

更多 iThome相關內容