image

NSA raadt gebruik van standaardinstellingen en wizards af bij vpn-uitrol

maandag 6 juli 2020, 13:42 door Redactie, 4 reacties
Laatst bijgewerkt: 06-07-2020, 15:11

Systeembeheerders die binnen hun organisatie zijn belast met de uitrol van een vpn moeten geen gebruikmaken van standaardinstellingen, geautomatiseerde configuratiescripts en graphical user interface wizards die door de leverancier worden aangeleverd, aangezien dit voor minder veilige configuraties kan zorgen, zo adviseert de Amerikaanse geheime dienst NSA.

De NSA heeft een kort document gepubliceerd waarin het advies geeft voor het configureren en beveiligen van IPsec-vpn's (pdf). IP Security (IPSec) is een verzameling van protocollen voor het beveiligen van verkeer op de netwerklaag. Volgens de NSA bieden veel leveranciers vanwege de complexiteit van het opzetten van een vpn standaardinstellingen, geautomatiseerde configuratiescripts of graphical user interface wizards. Oplossingen die bij de uitrol van het vpn moeten helpen.

In veel gevallen zorgt het gebruik van de standaardinstellingen of installatiescripts die leveranciers bieden ervoor dat meer encryptiealgoritmes dan noodzakelijk worden ondersteund. Het kan dan gaan om zwakkere encryptiealgoritmen. Aanvallers kunnen hier via een man-in-the-middle-aanval misbruik van maken door het vpn-endpoint een zwakker algoritme te laten gebruiken, ook wel een downgrade-aanval genoemd. Vervolgens is het mogelijk om versleuteld verkeer te ontsleutelen, aan te passen en toegang tot systemen te krijgen.

Wanneer beheerders toch van de door leveranciers geleverde standaardinstellingen of installatiescripts gebruik hebben gemaakt wordt aangeraden om non-compliant IPsec policies en encryptiealgoritmen te verwijderen. Tevens adviseert de NSA om periodiek te controleren dat non-compliant polices niet aanwezig zijn, aangezien het gebruik van geautomatiseerde tools, grafische interfaces en gebruikersfouten dergelijke policies kan herintroduceren.

Vpn-gateway

Naast het installeren van het vpn geeft de NSA ook advies over het beveiligen van de vpn-gateway. Deze gateways zijn vanaf het internet toegankelijk en kwetsbaar voor bruteforce-aanvallen en zerodaylekken, merkt de geheime dienst op. Om het aanvalsoppervlak te verkleinen moet alleen verkeer naar udp-poorten 500 en 4500 en ESP (Encapsulating Security Payload) worden toegestaan. Verder moeten organisaties waar mogelijk op ip-adressen filteren en wanneer dit niet mogelijk is een intrusion prevention system (IPS) gebruiken.

"Vpn's zijn essentieel voor remote toegang en het op veilige wijze verbinding maken met remote locaties. Zonder de juiste configuratie, patchmanagement en hardening zijn vpn's kwetsbaar voor allerlei soorten aanvallen", stelt de NSA. "Het volgen van de aanbevelingen in dit document zorgt voor de veiligste vpn-configuraties."

Reacties (4)
06-07-2020, 14:27 door Anoniem
Lees dat PDFje zelf maar want deze samenvatting mist het punt vrij hard. Het gaat erom dat je de standaardinstellingen, scripts, wizards, etc. die door de fabrikant worden geleverd worden niet klakkeloos overneemt want, zegt de NSA, ze laten teveel toe en zijn dus niet strict genoeg. Zo van, grote kans dat het werkt maar ook een vergrote kans dat het daardoor werkt met een slappe configuratie die dus niet veilig genoeg is.

Dus zorg dat je de configuratie zelf regelt en zorg dat'ie redelijk strict is. Maar daarvoor moet je vrij precies weten wat je apparatuur allemaal wel en niet kan, hoe sterk de verschillende algoritmes zijn, en zo verder. En er staat dus niet dat je "scripts" maar moet laten zitten. Dat zou ook raar zijn want die heb je absoluut wel nodig om een redelijk uniforme configuratie over al je apparaten ingesteld te krijgen.

Dus, Redactie:
Systeembeheerders die binnen hun organisatie zijn belast met de uitrol van een vpn moeten geen gebruikmaken van standaardinstellingen, geautomatiseerde configuratiescripts en graphical user interface wizards, zo adviseert de Amerikaanse geheime dienst NSA.
Deze paragraaf is misleidend want mist cruciale informatie.
06-07-2020, 16:47 door Anoniem
Least Privilege Principle, alleen openzetten wat er minimaal nodig is, de rest gewoon lekker dicht. Wat niet openstaat kan niet worden misbruikt. En ja, dat kost dus meer tijd, meer uitzoekwerk en dus meer geld. Gelukkig zien we wel steeds vaker dat er wel aandacht is voor het juist aansluiten van de techniek op de behoefte. Maar goed dat dit soort adviezen worden uitgevaardigd.
06-07-2020, 20:19 door Anoniem
Denk er wel aan dat als je in IPsec instellingen gaat zitten strepen, je dit moet testen tegen AL je mogelijke clients.
Want als je allerlei verschillende clients hebt dan loop je er steeds weer tegenaan dat jouw gekozen geweldig sterke
algorithmes in een bepaalde client niet ondersteund worden. En dan heb je met IPsec meteen het probleem dat er
geen duidelijke foutmelding komt (dwz welk detail er niet onderhandeld kan worden tussen client en server) maar je
gewoon een algemene "verbinding lukt niet" melding krijgt die je nauwelijks kunt onderzoeken zonder met een test-server
te gaan experimenteren met stuk voor stuk een setting anders tot het ineens weer werkt.

Dat weten die fabrikanten natuurlijk, en daarom zetten ze die wizards zo op dat het werkt voor de gebruikelijke clients.
Dat laat ik liever aan hen over dan dat ik dat zelf weer helemaal ga uitpluizen en dan na een paar weken ineens weer
een gebruiker aan de telefoon heb met "hoe kan het nou dat ie het niet doet???" en "oja wil je dat snel oplossen want
ik heb het nu nodig".
06-07-2020, 20:24 door Anoniem
Door Anoniem: Least Privilege Principle, alleen openzetten wat er minimaal nodig is, de rest gewoon lekker dicht. Wat niet openstaat kan niet worden misbruikt. En ja, dat kost dus meer tijd, meer uitzoekwerk en dus meer geld. Gelukkig zien we wel steeds vaker dat er wel aandacht is voor het juist aansluiten van de techniek op de behoefte. Maar goed dat dit soort adviezen worden uitgevaardigd.
Normale procedure is, eerst een werkende configuratie maken met de meegeleverde tools en DAN finetunen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.