A Agência de Segurança Nacional (NSA) dos Estados Unidos publicou uma série de recomendações sobre como configurar corretamente o protocolo de segurança IP (IP Security Protocol, mais conhecido pela sua sigla IPsec) em redes privadas virtuais (VPNs).
Utilizadas por empresas de todos os tamanhos para conexão remota a ativos e teletrabalho, as VPNs podem oferecer um nível elevado de segurança se for empregada criptografia forte e se os administradores de redes realizarem avaliações regulares para identificar e eliminar configurações incorretas e vulnerabilidades.
A NSA recomenda que os administradores de rede evitem as configurações padrão e reduzam a superfície de ataque dos gateways VPN, garantam que apenas os algoritmos criptográficos compatíveis com a especificação CNSSP 15 sejam usados, removam criptografia não utilizada ou não compatível e mantenham os gateways e clientes VPN atualizados.
Os administradores, afirma a NSA, devem evitar o uso de configurações padrão ou das ferramentas fornecidas pelo fornecedor para configuração automatizada ou acesso à VPN, pois podem incluir as políticas ISAKMP/IKE (Internet Security Association e Key Management Protocol/Internet Key Exchange) indesejadas e não compatíveis e diretivas IPsec.
A restrição do tráfego no gateway da VPN apenas para a porta UDP 500/4500 e ESP e a limitação do tráfego para endereços IP de pares conhecidos da VPN devem reduzir a superfície de ataque. Usar um sistema de prevenção de intrusões (IPS) para monitorar o tráfego IPsec também deve ajudar, avalia a NSA.
Veja isso
Trabalho remoto e VPNs: como garantir sua segurança
Microsoft alerta hospitais sobre ataques a VPNs e gateways
A agência americana também destaca que as políticas ISAKMP/IKE e IPsec devem ser configuradas com as configurações recomendadas, caso contrário exporiam toda a VPN a ataques.
De acordo com a especificação CNSSP 15, em junho de 2020, as configurações mínimas recomendadas para ISAKMP/IKE são Diffie-Hellman group 16, criptografia AES-256 e hash SHA-384, enquanto as do IPsec são criptografia AES-256, hash SHA-384 e modo de cifra de bloco CBC.
“Os padrões de criptografia continuam a mudar ao longo do tempo à medida que o ambiente de computação evolui e novas fraquezas nos algoritmos são identificadas. Os administradores devem se preparar para a agilidade criptográfica e verificar periodicamente as orientações CNSSP e NIST para obter os mais recentes requisitos, padrões e recomendações de criptografia”, observa a NSA.
Quaisquer conjuntos de criptografia não utilizados ou não compatíveis podem expor a VPN a ataques de downgrade e recomenda-se aos administradores removê-los de suas implantações, para que sejam usadas apenas políticas ISAKMP/IKE e IPsec compatíveis.
Além de garantir que apenas criptografia forte seja empregada e que as configurações padrão não criem uma superfície de ataque adicional, os administradores sempre devem aplicar os patches de correção disponíveis para os gateways de VPN e os clientes usados na organização.
“As VPNs são essenciais para permitir o acesso remoto e conectar sites remotos com segurança. No entanto, sem a configuração, gerenciamento de patches e proteção adequados, elas ficam vulneráveis a muitos tipos diferentes de ataques”, conclui a NSA.
