7月7日消息，美國(guó)國(guó)家安全局（National Security Agency）本周發(fā)布了有關(guān)保護(hù)IPSec虛擬專用網(wǎng)絡(luò)安全的指南，因?yàn)樵诠跔畈《敬罅餍兄螅绹?guó)各地的公司仍在持續(xù)遠(yuǎn)程工作。該安全建議包括各種警告，例如不要依賴供應(yīng)商提供的配置。

NSA的VPN安全指南有兩種文檔形式：安全VPN指南和帶有更詳細(xì)的配置示例的版本。NSA警告說(shuō)，許多VPN供應(yīng)商提供了為其設(shè)備預(yù)先配置的加密套件和IPSec策略，以及用于兼容性的其他套件?；ヂ?lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）和IPSec策略定義了VPN如何相互認(rèn)證、管理安全關(guān)聯(lián)，以及如何在VPN連接的不同階段生成密鑰。

《指南》警告說(shuō)：“如果將這兩個(gè)階段中的任何一個(gè)配置為允許過(guò)時(shí)的加密，則整個(gè)VPN都將面臨風(fēng)險(xiǎn)，并且數(shù)據(jù)機(jī)密性可能會(huì)丟失。”

美國(guó)國(guó)家安全局（NSA）建議管理員確保這些政策符合國(guó)家安全系統(tǒng)政策委員會(huì)（CNSSP）-15標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了在國(guó)家安全系統(tǒng)之間安全共享信息的參數(shù)。甚至配置符合CNSSP-15的默認(rèn)策略可能還不夠，因?yàn)樵S多VPN被配置為在默認(rèn)策略不可用時(shí)退回到備用策略。該文件說(shuō)，如果管理員將供應(yīng)商的預(yù)配置替代產(chǎn)品留在其設(shè)備上，則可能會(huì)使用不合規(guī)的安全策略。

IPSec于1990年代引入，是VPN通信的傳統(tǒng)協(xié)議。它可以用于遠(yuǎn)程訪問(wèn)或VPN間通信，是SSL/TLS VPN的替代方法，后者提供完全基于瀏覽器的訪問(wèn)，而無(wú)需在客戶端使用專用的軟件應(yīng)用程序。

NSA還建議管理員縮小其VPN網(wǎng)關(guān)的攻擊面。由于這些設(shè)備主要通過(guò)互聯(lián)網(wǎng)訪問(wèn)，因此它們很容易受到網(wǎng)絡(luò)掃描，暴力攻擊和零日漏洞的攻擊。降低此風(fēng)險(xiǎn)的一種方法是，如果使用對(duì)等VPN，則將接受的流量限制為已知IP地址。

NSA指出：“遠(yuǎn)程訪問(wèn)VPN出現(xiàn)了遠(yuǎn)程對(duì)等IP地址未知的問(wèn)題，因此無(wú)法將其添加到靜態(tài)過(guò)濾規(guī)則中?！钡牵芾韱T仍可以限制對(duì)可通過(guò)UDP訪問(wèn)的特定端口和協(xié)議（例如端口500和4500）的訪問(wèn)。

責(zé)任編輯：gt