VPN-biztonsági tanácsok az NSA-től

Az NSA kiadott egy dokumentumot, amelyben VPN-beállításokkal kapcsolatos javaslatokat fogalmazott meg.
 

Az NSA (National Security Agency) legutóbbi biztonsági tájékoztatója a VPN-hálózatok kapcsán jelent meg. Ebben a szervezet különféle javaslatokkal szolgál a távoli munkavégzés biztonságának fokozása érdekében. Ez esetben az IPsec alapú hálózati technológiák kerültek előtérbe.
 
A szervezet szerint a VPN-alapú kommunikáció jelentősen növelheti a hálózatbiztonságot, de csak akkor, ha a konfigurálás és az üzemeltetés is megfelelően történik. Ez pedig odafigyelést igényel több szempontból is. Az NSA ugyanakkor egy alapszabályt külön kiemelt, ami nem más, mint hogy az alapértelmezett, gyári konfigurációs beállításokkal nem célszerű üzemeltetni a VPN-megoldásokat. Noha a gyári beállítások egy támpontot, alapot adhatnak e hálózatok konfigurálásához, azért soha nem szabad ezekre teljes mértékben támaszkodni.
 
Az NSA a következő titkosítási, hash-elési eljárások alkalmazását ajánlja:
 
ISAKMP/IKE: AES-256;  SHA-384; Diffie-Hellman Group: 16
IPsec: AES-256; SHA-384; CBC
 
A fentiek mellett az NSA további javaslatokkal is szolgált:

• A VPN-átjárón csak az UDP 500/4500 portok és az ESP legyen engedélyezett.
• Lehetőség szerint korlátozni kell IP-címek alapján a kliensek hozzáférését.
• Célszerű behatolásdetektáló/megelőző eszközöket használni az IPsec alapú adatforgalom ellenőrzésére.
• Rendszeresen frissíteni kell a VPN-kiszolgálókat, VPN-átjárókat és a VPN-klienseket.

Az NSA felhívta a figyelmet, hogy az üzemeltetőknek célszerű rendszeresen követniük a nemzetközi szervezetek (CNSSP; NIST) ajánlásait, különösen, ami a titkosítási eljárásokat illeti.