VPN-biztonsági tanácsok az NSA-től

Az NSA kiadott egy dokumentumot, amelyben VPN-beállításokkal kapcsolatos javaslatokat fogalmazott meg.
 

Az NSA (National Security Agency) legutóbbi biztonsági tájékoztatója a VPN-hálózatok kapcsán jelent meg. Ebben a szervezet különféle javaslatokkal szolgál a távoli munkavégzés biztonságának fokozása érdekében. Ez esetben az IPsec alapú hálózati technológiák kerültek előtérbe.
 
A szervezet szerint a VPN-alapú kommunikáció jelentősen növelheti a hálózatbiztonságot, de csak akkor, ha a konfigurálás és az üzemeltetés is megfelelően történik. Ez pedig odafigyelést igényel több szempontból is. Az NSA ugyanakkor egy alapszabályt külön kiemelt, ami nem más, mint hogy az alapértelmezett, gyári konfigurációs beállításokkal nem célszerű üzemeltetni a VPN-megoldásokat. Noha a gyári beállítások egy támpontot, alapot adhatnak e hálózatok konfigurálásához, azért soha nem szabad ezekre teljes mértékben támaszkodni.
 
Az NSA a következő titkosítási, hash-elési eljárások alkalmazását ajánlja:
 
ISAKMP/IKE: AES-256;  SHA-384; Diffie-Hellman Group: 16
IPsec: AES-256; SHA-384; CBC
 
A fentiek mellett az NSA további javaslatokkal is szolgált:
  • A VPN-átjárón csak az UDP 500/4500 portok és az ESP legyen engedélyezett.
  • Lehetőség szerint korlátozni kell IP-címek alapján a kliensek hozzáférését.
  • Célszerű behatolásdetektáló/megelőző eszközöket használni az IPsec alapú adatforgalom ellenőrzésére.
  • Rendszeresen frissíteni kell a VPN-kiszolgálókat, VPN-átjárókat és a VPN-klienseket.
Az NSA felhívta a figyelmet, hogy az üzemeltetőknek célszerű rendszeresen követniük a nemzetközi szervezetek (CNSSP; NIST) ajánlásait, különösen, ami a titkosítási eljárásokat illeti.
Vélemények
 
  1. 3

    A Cisco ASA kapcsán egy biztonsági hiba látott napvilágot.

  2. 3

    A VMware a Horizon megoldásaihoz két hibajavítást tett letölthetővé.

  3. 1

    A Rozena.XM trójai kártékony programokkal halmozza el a fertőzött számítógépeket.

 
Partnerhírek
Androidon terjedő kémprogramot fedeztek fel az ESET kutatói

Egy androidos kémprogram új verzióját kezdték vizsgálni az ESET kutatói, amely mögött az APT-C-23 nevű, 2017 óta főként a Közel-Keleten aktív, hírhedten veszélyes bűnözői csoport áll.

​Az ESET egy globális művelet keretében harcol a Trickbot ellen

Az ESET kutatói is részt vesznek abban a globális összefogásban, amelynek célja a Trickbot megállítása, amely 2016-os működése óta több mint egymillió számítógépet fertőzött meg.

hirdetés
Közösség