Национальный центр кибербезопасности Норвегии (NCSC) настоятельно советует организациям заменить SSL VPN/WebVPN на более безопасные альтернативы в связи с частыми случаями эксплуатации уязвимостей в сетевых устройствах. Такая мера направлена на защиту корпоративных сетей от взломов и других кибератак.
NCSC подчеркивает необходимость завершения перехода к новым решениям до 2025 года. Для организаций, подпадающих под действие “Закона о безопасности”, а также для критической инфраструктуры, срок сокращается до конца 2024 года.
NCSC рекомендует заменить продукты SSL VPN/WebVPN на решения, основанные на протоколе IPsec с использованием IKEv2. В отличие от SSL VPN/WebVPN, IPsec с IKEv2 обеспечивает более высокий уровень безопасности за счет шифрования и аутентификации каждого пакета данных, что уменьшает вероятность успешных атак.
Преимущества IPsec с IKEv2
SSL VPN и WebVPN обеспечивают безопасный удаленный доступ к сети через интернет с использованием протоколов SSL/TLS, создавая зашифрованный туннель между устройством пользователя и VPN-сервером. Однако частые уязвимости в этих протоколах делают их менее надежными.
В то время как IPsec с IKEv2 также содержит свои недостатки, NCSC уверяет, что переход на него значительно уменьшит поверхность атаки для инцидентов с удаленным доступом из-за меньшей устойчивости к ошибкам конфигурации по сравнению с SSL VPN.
Практические рекомендации NCSC
Для успешного перехода на IPsec с IKEv2 NCSC предлагает следующие шаги:
- Реконфигурация существующих VPN-решений или их замена;
- Миграция всех пользователей и систем на новый протокол;
- Отключение функциональности SSL VPN и блокировка входящего TLS-трафика;
- Использование аутентификации на основе сертификатов.
В случаях, когда IPsec-соединения невозможны, NCSC предлагает использовать широкополосные 5G-соединения.
Для организаций, чьи VPN-решения не поддерживают IPsec с IKEv2 и которым требуется время для планирования и выполнения миграции, NCSC предлагает временные рекомендации. Среди них централизованный журнал активности VPN, строгие географические ограничения и блокировка доступа провайдерам VPN, выходным узлам Tor и провайдерам VPS.
Схожие рекомендации по использованию IPsec вместо других протоколов также были даны в США и Великобритании. Различные уязвимости в реализации SSL VPN, обнаруженные за последние годы в продуктах Cisco, Fortinet и SonicWall активно эксплуатируются хакерами для взлома сетей.
Например, в феврале Fortinet сообщила, что китайские хакеры использовали две уязвимости FortiOS SSL VPN для взлома организаций, включая военную сеть Нидерландов. В 2023 году операции с использованием программ-вымогателей Akira эксплуатировали уязвимость SSL VPN в маршрутизаторах Cisco ASA для взлома корпоративных сетей, кражи данных и шифрования устройств.