Systeembeheerders die binnen hun organisatie zijn belast met de uitrol van een vpn moeten geen gebruikmaken van standaardinstellingen, geautomatiseerde configuratiescripts en graphical user interface wizards die door de leverancier worden aangeleverd, aangezien dit voor minder veilige configuraties kan zorgen, zo adviseert de Amerikaanse geheime dienst NSA.
De NSA heeft een kort document gepubliceerd waarin het advies geeft voor het configureren en beveiligen van IPsec-vpn's (pdf). IP Security (IPSec) is een verzameling van protocollen voor het beveiligen van verkeer op de netwerklaag. Volgens de NSA bieden veel leveranciers vanwege de complexiteit van het opzetten van een vpn standaardinstellingen, geautomatiseerde configuratiescripts of graphical user interface wizards. Oplossingen die bij de uitrol van het vpn moeten helpen.
In veel gevallen zorgt het gebruik van de standaardinstellingen of installatiescripts die leveranciers bieden ervoor dat meer encryptiealgoritmes dan noodzakelijk worden ondersteund. Het kan dan gaan om zwakkere encryptiealgoritmen. Aanvallers kunnen hier via een man-in-the-middle-aanval misbruik van maken door het vpn-endpoint een zwakker algoritme te laten gebruiken, ook wel een downgrade-aanval genoemd. Vervolgens is het mogelijk om versleuteld verkeer te ontsleutelen, aan te passen en toegang tot systemen te krijgen.
Wanneer beheerders toch van de door leveranciers geleverde standaardinstellingen of installatiescripts gebruik hebben gemaakt wordt aangeraden om non-compliant IPsec policies en encryptiealgoritmen te verwijderen. Tevens adviseert de NSA om periodiek te controleren dat non-compliant polices niet aanwezig zijn, aangezien het gebruik van geautomatiseerde tools, grafische interfaces en gebruikersfouten dergelijke policies kan herintroduceren.
Naast het installeren van het vpn geeft de NSA ook advies over het beveiligen van de vpn-gateway. Deze gateways zijn vanaf het internet toegankelijk en kwetsbaar voor bruteforce-aanvallen en zerodaylekken, merkt de geheime dienst op. Om het aanvalsoppervlak te verkleinen moet alleen verkeer naar udp-poorten 500 en 4500 en ESP (Encapsulating Security Payload) worden toegestaan. Verder moeten organisaties waar mogelijk op ip-adressen filteren en wanneer dit niet mogelijk is een intrusion prevention system (IPS) gebruiken.
"Vpn's zijn essentieel voor remote toegang en het op veilige wijze verbinding maken met remote locaties. Zonder de juiste configuratie, patchmanagement en hardening zijn vpn's kwetsbaar voor allerlei soorten aanvallen", stelt de NSA. "Het volgen van de aanbevelingen in dit document zorgt voor de veiligste vpn-configuraties."
Deze posting is gelocked. Reageren is niet meer mogelijk.