Die Nationale Sicherheitsbehörde der USA veröffentlichte diese Woche einen Leitfaden zur Sicherung virtueller privater IPsec-Netzwerke, da Unternehmen in den USA nach der Coronavirus-Pandemie weiterhin mit der Arbeit an entfernten Standorten zu kämpfen haben. Der Rat schloss eine Warnung ein, sich nicht auf Konfigurationen zu verlassen, die von Herstellern geliefert werden.
Das Dokument gab es in zwei Varianten: einen Leitfaden zur Sicherung von VPNs und eine Version mit detaillierteren Konfigurationsbeispielen. Es warnte davor, dass viele VPN-Hersteller für ihre Geräte vorkonfigurierte Kryptographie-Suites und IPsec-Richtlinien zusammen mit zusätzlichen für die Kompatibilität vorkonfigurierten anbieten. Die Internet Security Association and Key Management Protocol (ISAKMP) und die IPsec-Richtlinie definieren, wie VPNs sich gegenseitig authentifizieren, ihre Sicherheitszuordnungen verwalten und ihre Schlüssel in den verschiedenen Phasen einer VPN-Verbindung erzeugen sollten.
„Wenn eine dieser Phasen so konfiguriert ist, dass sie eine veraltete Kryptographie zulässt, ist das gesamte VPN gefährdet, und die Vertraulichkeit der Daten könnte verloren gehen“, warnte das Dokument.
Die NSA riet den Administratoren, sicherzustellen, dass diese Richtlinien mit dem Standard des Committee on National Security Systems Policy (CNSSP)-15 übereinstimmen, der Parameter für den sicheren Informationsaustausch zwischen nationalen Sicherheitssystemen definiert. Selbst die Konfiguration von CNSSP-15-konformen Standardrichtlinien reicht möglicherweise nicht aus, da viele VPNs so konfiguriert sind, dass sie auf alternative Richtlinien zurückgreifen, wenn ihre Standardrichtlinie nicht verfügbar ist. Das birgt die Gefahr, nicht konforme Sicherheitsrichtlinien zu verwenden, wenn Administratoren die vorkonfigurierten Alternativen der Hersteller auf ihren Geräten belassen, hieß es in dem Dokument.
IPsec wurde in den 1990er Jahren eingeführt und ist ein traditionelles Protokoll, mit dem VPNs (Virtual Private Networks) miteinander kommunizieren. Es kann für den Fernzugriff oder für die Inter-VPN-Kommunikation verwendet werden. Es stellt eine Alternative zu SSL/TLS-VPNs dar, die einen vollständig browserbasierten Zugang bieten, ohne dass eine spezielle Softwareanwendung auf der Client-Seite verwendet werden muss.
Die NSA riet den Administratoren auch, die Angriffsfläche ihrer VPN-Gateways zu reduzieren. Da diese Geräte dazu neigen, auf das Internet zuzugreifen, sind sie anfällig für Netzwerk-Scans, Brute-Force-Angriffe und Zero-Day-Schwachstellen, warnte sie. Eine Möglichkeit, dieses Risiko zu verringern, besteht darin, den akzeptierten Datenverkehr auf bekannte IP-Adressen zu beschränken, wenn man mit Peer-VPNs arbeitet.
„Bei Fernzugriffs-VPNs stellt sich das Problem, dass die IP-Adresse der Gegenstelle unbekannt ist und daher nicht zu einer statischen Filterregel hinzugefügt werden kann“, merkte er an. Dennoch können Admins den Zugriff auf bestimmte Ports und Protokolle, wie z.B. die Ports 500 und 4500, auf die über UDP zugegriffen werden kann, einschränken.
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.