20.05.24 12:44
/1336976_original.jpg?width=465&height=193&name=1336976_original.jpg)
Национальный центр кибербезопасности Норвегии (NCSC) настоятельно советует организациям заменить SSL VPN/WebVPN на более безопасные альтернативы в связи с частыми случаями эксплуатации уязвимостей в сетевых устройствах. Такая мера направлена на защиту корпоративных сетей от взломов и других кибератак, согласно Securitylab.
NCSC подчеркивает необходимость завершения перехода к новым решениям до 2025 года. Для организаций, подпадающих под действие «Закона о безопасности», а также для критической инфраструктуры, срок сокращается до конца 2024 года.
NCSC рекомендует заменить продукты SSL VPN/WebVPN на решения, основанные на протоколе IPsec с использованием IKEv2. В отличие от SSL VPN/WebVPN, IPsec с IKEv2 обеспечивает более высокий уровень безопасности за счет шифрования и аутентификации каждого пакета данных, что уменьшает вероятность успешных атак.
Преимущества IPsec с IKEv2
SSL VPN и WebVPN обеспечивают безопасный удаленный доступ к сети через интернет с использованием протоколов SSL/TLS, создавая зашифрованный туннель между устройством пользователя и VPN-сервером. Однако частые уязвимости в этих протоколах делают их менее надежными.
В то время как IPsec с IKEv2 также содержит свои недостатки, NCSC уверяет, что переход на него значительно уменьшит поверхность атаки для инцидентов с удаленным доступом из-за меньшей устойчивости к ошибкам конфигурации по сравнению с SSL VPN.
Практические рекомендации NCSC
Для успешного перехода на IPsec с IKEv2 NCSC предлагает следующие шаги:
- Реконфигурация существующих VPN-решений или их замена;
- Миграция всех пользователей и систем на новый протокол;
- Отключение функциональности SSL VPN и блокировка входящего TLS-трафика;
- Использование аутентификации на основе сертификатов.
В случаях, когда IPsec-соединения невозможны, NCSC предлагает использовать широкополосные 5G-соединения.
Для организаций, чьи VPN-решения не поддерживают IPsec с IKEv2 и которым требуется время для планирования и выполнения миграции, NCSC предлагает временные рекомендации. Среди них централизованный журнал активности VPN, строгие географические ограничения и блокировка доступа провайдерам VPN, выходным узлам Tor и провайдерам VPS.
