Noorwegen adviseert SSLVPN's voor eind 2024 volledig te vervangen
Het Noorse Cyber Security Center (NCSC) heeft organisaties in het land opgeroepen om hun SSLVPN's volledig te vervangen door veiligere alternatieven. Voor organisaties in vitale sectoren of die onder de veiligheidswetgeving vallen zou dit eind dit jaar moeten gebeuren. In andere gevallen wordt op z'n laatst eind 2025 geadviseerd.
Volgens het NCSC hebben vpn-oplossingen die van SSL/TLS gebruikmaken, en daardoor ook bekendstaan als SSLVPN's, WebVPN's of clientless VPN's, al langere tijd met kritieke kwetsbaarheden te maken waar aanvallers misbruik van maken. Vanwege deze aanvallen is het verstandig om SSLVPN's uit te faseren, aldus het NCSC. Dat adviseert als veiliger alternatief het gebruik van IPsec (Internet Protocol Security) met IKEv2 (Internet Key Exchange). De Noorse overheidsinstantie stelt dat ook autoriteiten in andere landen dit adviseren.
"Het doel van dit advies is het verkleinen van de kwetsbaarheden en aanvalsoppervlak van secure remote access. Het is waarschijnlijk dat in de toekomst zerodaylekken in SSLVPN-producten zullen worden gevonden", zo laat het NCSC weten. Dat stelt dat ook oplossingen die van IPsec met IKEv2 gebruikmaken kwetsbaarheden kunnen bevatten, maar dat deze producten een kleiner aanvalsoppervlak hebben en kleinere kans op misconfiguraties.
Op locaties waar het niet mogelijk is om een IPsec-verbinding op te zetten adviseert het NCSC het gebruik van 5G. Tevens wordt aangeraden om SSLVPN-functionaliteit uit te schakelen, inkomend TLS-verkeer naar de vpn-server te blokkeren en certificaatauthenticatie te gebruiken. Zolang de overstap naar IPsec met IKEv2 niet is gemaakt moeten organisaties alleen inkomend verkeer van noodzakelijke landen toestaan, controleren dat vpn-logs centraal worden opgeslagen en inkomend verkeer van Tor, vpn-providers en vps-providers blokkeren.
SSHD, welk groot product gebruikt dit precies op Enterprise scale? Ik ben heel benieuwd naar producten die die dit icm MFA en policies allemaal ondersteunen.
Ik zou wel willen weten welke producten dit icm SAML ondersteunen, health checks op de clients.
make up your mind...
Met SSLVPN is natuurlijk niets mis mee, het zegt namelijk helemaal niets over gebruikte versleuteling of 'hoe veilig het is'.
SSLVPN wil alleen iets zeggen over de manier van verbinden (via SSL, meestal poort 443).
Wanneer ik het bronartikel lees, dan zie ik vooral verwijzingen naar Cisco ASA VPN en soortgelijke oplossingen (Fortigate).
https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/angrep-mot-sslvpn-produkter-i-kritisk-infrastruktur
Dat zijn apparaten en leveranciers die inderdaad de laatste decennia veel in het nieuws zijn geweest vanwege het gebrek aan veiligheid en meerdere backdoors...
make up your mind...
SSL/TLS is goed voor websites end so.
SSL/TLS Als VPN tunnels is niet ok... Uberhaupt packet Vermeer over eenstreaming link stiren is all niet handing... Zeker niet Al's er packet loss veroorzaakt kan worden... Retransmits in retransmits etc....
Vergeet TCP gebaseerde oplossingen voor generieke IP tunnels.
make up your mind...
SSL/TLS is goed voor websites end so.
SSL/TLS Als VPN tunnels is niet ok... Uberhaupt packet Vermeer over eenstreaming link stiren is all niet handing... Zeker niet Al's er packet loss veroorzaakt kan worden... Retransmits in retransmits etc....
Vergeet TCP gebaseerde oplossingen voor generieke IP tunnels.
TLS is goed voor websites omdat het certificaat publiek is en steeds gecontroleerd wordt.
De meeste TLS voor VPNs gebruiken interne certificaten, hetgeen de beveiliging verzwakt.
IPSEC VPNs, opgezet via IKEv2, hebben per definitie MFA omdat de peer IP adressen deel uitmaken van de configuratie. De meeste TLS VPNs werken met een DNS naam, hetgeen een extra attack surface geeft.
Daarnaast wordt bij IPSEC het te encrypteren verkeer geregeld via de configuratie. Bij TLS VPNs is dat vaak via routing naar een tunnel interface, hetgeen te omzeilen is als je actief wordt aangevallen.
make up your mind...
SSL/TLS is goed voor websites end so.
SSL/TLS Als VPN tunnels is niet ok... Uberhaupt packet Vermeer over eenstreaming link stiren is all niet handing... Zeker niet Al's er packet loss veroorzaakt kan worden... Retransmits in retransmits etc....
Vergeet TCP gebaseerde oplossingen voor generieke IP tunnels.
TLS is goed voor websites omdat het certificaat publiek is en steeds gecontroleerd wordt.
De meeste TLS voor VPNs gebruiken interne certificaten, hetgeen de beveiliging verzwakt.
Je kunt natuurlijk prima je SSL-VPN ook runnen met publieke certificaten.
Je kunt best argumenteren dat een intern certificaat dat ge-pind wordt in de configuratie _veel_ veiliger is dan een publiek certificaat en een trust-store van honderden root-CAs.
Maar de zwakheden in SSL-VPN die we de laatste tijd zagen zaten allemaal in codepaden van appliances van diverse vendoren.
IPSEC VPNs, opgezet via IKEv2, hebben per definitie MFA omdat de peer IP adressen deel uitmaken van de configuratie. De meeste TLS VPNs werken met een DNS naam, hetgeen een extra attack surface geeft.
Je kent blijkbaar alleen site-to-site enterprise gebruik van IPSEC ?
Bij een 'road warrior' IPSec model zit (iig één van de ) peer zijdes helemaal niet fixed in de configuratie.
Ik verwacht eigenlijk dat in zo'n geval ook de 'vaste' peer op DNS naam geconfigureerd zal zijn - het is bij mobile users erg vervelend als je bij "iedereen" een configuratie update moet pushen wanneer je de vpn gateway wijzigt . (tijdelijk bij maintenance, of meer permanent) .
Daarnaast wordt bij IPSEC het te encrypteren verkeer geregeld via de configuratie. Bij TLS VPNs is dat vaak via routing naar een tunnel interface, hetgeen te omzeilen is als je actief wordt aangevallen.
Ook daar zijn verschillende modellen mogelijk.
SSL-VPNs zijn populair omdat "SSL" 'altijd' werkt (ook door proxies heen) - en IPSec native _onzettend_ ruk is icm NAT, en IPSec-over-UDP ook minder universeel werkt dan SSL.
make up your mind...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
