С SSLVPN на IPsec: Норвегия призывает отказаться от протокола в пользу безопасности

Национальный центр кибербезопасности Норвегии (NCSC) настоятельно советует организациям заменить SSL VPN/WebVPN на более безопасные альтернативы в связи с частыми случаями эксплуатации уязвимостей в сетевых устройствах. Такая мера направлена на защиту корпоративных сетей от взломов и других кибератак.

NCSC подчеркивает необходимость завершения перехода к новым решениям до 2025 года. Для организаций, подпадающих под действие “Закона о безопасности”, а также для критической инфраструктуры, срок сокращается до конца 2024 года.

NCSC рекомендует заменить продукты SSL VPN/WebVPN на решения, основанные на протоколе IPsec с использованием IKEv2. В отличие от SSL VPN/WebVPN, IPsec с IKEv2 обеспечивает более высокий уровень безопасности за счет шифрования и аутентификации каждого пакета данных, что уменьшает вероятность успешных атак.

Преимущества IPsec с IKEv2

SSL VPN и WebVPN обеспечивают безопасный удаленный доступ к сети через интернет с использованием протоколов SSL/TLS, создавая зашифрованный туннель между устройством пользователя и VPN-сервером. Однако частые уязвимости в этих протоколах делают их менее надежными.

В то время как IPsec с IKEv2 также содержит свои недостатки, NCSC уверяет, что переход на него значительно уменьшит поверхность атаки для инцидентов с удаленным доступом из-за меньшей устойчивости к ошибкам конфигурации по сравнению с SSL VPN.

Практические рекомендации NCSC

Для успешного перехода на IPsec с IKEv2 NCSC предлагает следующие шаги:

  • Реконфигурация существующих VPN-решений или их замена;
  • Миграция всех пользователей и систем на новый протокол;
  • Отключение функциональности SSL VPN и блокировка входящего TLS-трафика;
  • Использование аутентификации на основе сертификатов.

В случаях, когда IPsec-соединения невозможны, NCSC предлагает использовать широкополосные 5G-соединения.

Для организаций, чьи VPN-решения не поддерживают IPsec с IKEv2 и которым требуется время для планирования и выполнения миграции, NCSC предлагает временные рекомендации. Среди них централизованный журнал активности VPN, строгие географические ограничения и блокировка доступа провайдерам VPN, выходным узлам Tor и провайдерам VPS.

Схожие рекомендации по использованию IPsec вместо других протоколов также были даны в США и Великобритании. Различные уязвимости в реализации SSL VPN, обнаруженные за последние годы в продуктах Cisco, Fortinet и SonicWall активно эксплуатируются хакерами для взлома сетей.

Например, в феврале Fortinet сообщила, что китайские хакеры использовали две уязвимости FortiOS SSL VPN для взлома организаций, включая военную сеть Нидерландов. В 2023 году операции с использованием программ-вымогателей Akira эксплуатировали уязвимость SSL VPN в маршрутизаторах Cisco ASA для взлома корпоративных сетей, кражи данных и шифрования устройств.

Public Release.