VPN-biztonsági tanácsok az NSA-től

Az NSA kiadott egy dokumentumot, amelyben VPN-beállításokkal kapcsolatos javaslatokat fogalmazott meg.
 

Az NSA (National Security Agency) legutóbbi biztonsági tájékoztatója a VPN-hálózatok kapcsán jelent meg. Ebben a szervezet különféle javaslatokkal szolgál a távoli munkavégzés biztonságának fokozása érdekében. Ez esetben az IPsec alapú hálózati technológiák kerültek előtérbe.
 
A szervezet szerint a VPN-alapú kommunikáció jelentősen növelheti a hálózatbiztonságot, de csak akkor, ha a konfigurálás és az üzemeltetés is megfelelően történik. Ez pedig odafigyelést igényel több szempontból is. Az NSA ugyanakkor egy alapszabályt külön kiemelt, ami nem más, mint hogy az alapértelmezett, gyári konfigurációs beállításokkal nem célszerű üzemeltetni a VPN-megoldásokat. Noha a gyári beállítások egy támpontot, alapot adhatnak e hálózatok konfigurálásához, azért soha nem szabad ezekre teljes mértékben támaszkodni.
 
Az NSA a következő titkosítási, hash-elési eljárások alkalmazását ajánlja:
 
ISAKMP/IKE: AES-256;  SHA-384; Diffie-Hellman Group: 16
IPsec: AES-256; SHA-384; CBC
 
A fentiek mellett az NSA további javaslatokkal is szolgált:
  • A VPN-átjárón csak az UDP 500/4500 portok és az ESP legyen engedélyezett.
  • Lehetőség szerint korlátozni kell IP-címek alapján a kliensek hozzáférését.
  • Célszerű behatolásdetektáló/megelőző eszközöket használni az IPsec alapú adatforgalom ellenőrzésére.
  • Rendszeresen frissíteni kell a VPN-kiszolgálókat, VPN-átjárókat és a VPN-klienseket.
Az NSA felhívta a figyelmet, hogy az üzemeltetőknek célszerű rendszeresen követniük a nemzetközi szervezetek (CNSSP; NIST) ajánlásait, különösen, ami a titkosítási eljárásokat illeti.
Vélemények
 
  1. 4

    Az SQLite három biztonsági rés miatt szorul frissítésre.

  2. 3

    A GitLab fejlesztői két biztonsági rést foltoztak be.

  3. 1

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

hirdetés
Közösség