7月7日消息，美國國家安全局（National Security Agency）本周發(fā)布了有關(guān)保護(hù)IPSec虛擬專用網(wǎng)絡(luò)安全的指南，因?yàn)樵诠跔畈《敬罅餍兄?，美國各地的公司仍在持續(xù)遠(yuǎn)程工作。該安全建議包括各種警告，例如不要依賴供應(yīng)商提供的配置。

NSA的VPN安全指南有兩種文檔形式：安全VPN指南和帶有更詳細(xì)的配置示例的版本。NSA警告說，許多VPN供應(yīng)商提供了為其設(shè)備預(yù)先配置的加密套件和IPSec策略，以及用于兼容性的其他套件?；ヂ?lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）和IPSec策略定義了VPN如何相互認(rèn)證、管理安全關(guān)聯(lián)，以及如何在VPN連接的不同階段生成密鑰。

《指南》警告說：“如果將這兩個(gè)階段中的任何一個(gè)配置為允許過時(shí)的加密，則整個(gè)VPN都將面臨風(fēng)險(xiǎn)，并且數(shù)據(jù)機(jī)密性可能會(huì)丟失。”

美國國家安全局（NSA）建議管理員確保這些政策符合國家安全系統(tǒng)政策委員會(huì)（CNSSP）-15標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了在國家安全系統(tǒng)之間安全共享信息的參數(shù)。甚至配置符合CNSSP-15的默認(rèn)策略可能還不夠，因?yàn)樵S多VPN被配置為在默認(rèn)策略不可用時(shí)退回到備用策略。該文件說，如果管理員將供應(yīng)商的預(yù)配置替代產(chǎn)品留在其設(shè)備上，則可能會(huì)使用不合規(guī)的安全策略。

IPSec于1990年代引入，是VPN通信的傳統(tǒng)協(xié)議。它可以用于遠(yuǎn)程訪問或VPN間通信，是SSL/TLS VPN的替代方法，后者提供完全基于瀏覽器的訪問，而無需在客戶端使用專用的軟件應(yīng)用程序。

NSA還建議管理員縮小其VPN網(wǎng)關(guān)的攻擊面。由于這些設(shè)備主要通過互聯(lián)網(wǎng)訪問，因此它們很容易受到網(wǎng)絡(luò)掃描，暴力攻擊和零日漏洞的攻擊。降低此風(fēng)險(xiǎn)的一種方法是，如果使用對等VPN，則將接受的流量限制為已知IP地址。

NSA指出：“遠(yuǎn)程訪問VPN出現(xiàn)了遠(yuǎn)程對等IP地址未知的問題，因此無法將其添加到靜態(tài)過濾規(guī)則中?！钡牵芾韱T仍可以限制對可通過UDP訪問的特定端口和協(xié)議（例如端口500和4500）的訪問。

責(zé)任編輯：gt