Nieuws

NSA raadt gebruik van standaardinstellingen en wizards af bij vpn-uitrol

maandag 6 juli 2020, 13:42 door Redactie, 4 reacties

Laatst bijgewerkt: 06-07-2020, 15:11

Systeembeheerders die binnen hun organisatie zijn belast met de uitrol van een vpn moeten geen gebruikmaken van standaardinstellingen, geautomatiseerde configuratiescripts en graphical user interface wizards die door de leverancier worden aangeleverd, aangezien dit voor minder veilige configuraties kan zorgen, zo adviseert de Amerikaanse geheime dienst NSA.

De NSA heeft een kort document gepubliceerd waarin het advies geeft voor het configureren en beveiligen van IPsec-vpn's (pdf). IP Security (IPSec) is een verzameling van protocollen voor het beveiligen van verkeer op de netwerklaag. Volgens de NSA bieden veel leveranciers vanwege de complexiteit van het opzetten van een vpn standaardinstellingen, geautomatiseerde configuratiescripts of graphical user interface wizards. Oplossingen die bij de uitrol van het vpn moeten helpen.

In veel gevallen zorgt het gebruik van de standaardinstellingen of installatiescripts die leveranciers bieden ervoor dat meer encryptiealgoritmes dan noodzakelijk worden ondersteund. Het kan dan gaan om zwakkere encryptiealgoritmen. Aanvallers kunnen hier via een man-in-the-middle-aanval misbruik van maken door het vpn-endpoint een zwakker algoritme te laten gebruiken, ook wel een downgrade-aanval genoemd. Vervolgens is het mogelijk om versleuteld verkeer te ontsleutelen, aan te passen en toegang tot systemen te krijgen.

Wanneer beheerders toch van de door leveranciers geleverde standaardinstellingen of installatiescripts gebruik hebben gemaakt wordt aangeraden om non-compliant IPsec policies en encryptiealgoritmen te verwijderen. Tevens adviseert de NSA om periodiek te controleren dat non-compliant polices niet aanwezig zijn, aangezien het gebruik van geautomatiseerde tools, grafische interfaces en gebruikersfouten dergelijke policies kan herintroduceren.

Vpn-gateway

Naast het installeren van het vpn geeft de NSA ook advies over het beveiligen van de vpn-gateway. Deze gateways zijn vanaf het internet toegankelijk en kwetsbaar voor bruteforce-aanvallen en zerodaylekken, merkt de geheime dienst op. Om het aanvalsoppervlak te verkleinen moet alleen verkeer naar udp-poorten 500 en 4500 en ESP (Encapsulating Security Payload) worden toegestaan. Verder moeten organisaties waar mogelijk op ip-adressen filteren en wanneer dit niet mogelijk is een intrusion prevention system (IPS) gebruiken.

"Vpn's zijn essentieel voor remote toegang en het op veilige wijze verbinding maken met remote locaties. Zonder de juiste configuratie, patchmanagement en hardening zijn vpn's kwetsbaar voor allerlei soorten aanvallen", stelt de NSA. "Het volgen van de aanbevelingen in dit document zorgt voor de veiligste vpn-configuraties."

Voormalig Yahoo-engineer veroordeeld voor inbreken op 6.000 Yahoo-accounts

Apple waarschuwt in iOS14 voor zwakke en gelekte wachtwoorden

Reacties (4)

06-07-2020, 14:27 door Anoniem

Lees dat PDFje zelf maar want deze samenvatting mist het punt vrij hard. Het gaat erom dat je de standaardinstellingen, scripts, wizards, etc. die door de fabrikant worden geleverd worden niet klakkeloos overneemt want, zegt de NSA, ze laten teveel toe en zijn dus niet strict genoeg. Zo van, grote kans dat het werkt maar ook een vergrote kans dat het daardoor werkt met een slappe configuratie die dus niet veilig genoeg is.

Dus zorg dat je de configuratie zelf regelt en zorg dat'ie redelijk strict is. Maar daarvoor moet je vrij precies weten wat je apparatuur allemaal wel en niet kan, hoe sterk de verschillende algoritmes zijn, en zo verder. En er staat dus niet dat je "scripts" maar moet laten zitten. Dat zou ook raar zijn want die heb je absoluut wel nodig om een redelijk uniforme configuratie over al je apparaten ingesteld te krijgen.

Dus, Redactie:

Deze paragraaf is misleidend want mist cruciale informatie.

06-07-2020, 16:47 door Anoniem

Least Privilege Principle, alleen openzetten wat er minimaal nodig is, de rest gewoon lekker dicht. Wat niet openstaat kan niet worden misbruikt. En ja, dat kost dus meer tijd, meer uitzoekwerk en dus meer geld. Gelukkig zien we wel steeds vaker dat er wel aandacht is voor het juist aansluiten van de techniek op de behoefte. Maar goed dat dit soort adviezen worden uitgevaardigd.

06-07-2020, 20:19 door Anoniem

Denk er wel aan dat als je in IPsec instellingen gaat zitten strepen, je dit moet testen tegen AL je mogelijke clients.
Want als je allerlei verschillende clients hebt dan loop je er steeds weer tegenaan dat jouw gekozen geweldig sterke
algorithmes in een bepaalde client niet ondersteund worden. En dan heb je met IPsec meteen het probleem dat er
geen duidelijke foutmelding komt (dwz welk detail er niet onderhandeld kan worden tussen client en server) maar je
gewoon een algemene "verbinding lukt niet" melding krijgt die je nauwelijks kunt onderzoeken zonder met een test-server
te gaan experimenteren met stuk voor stuk een setting anders tot het ineens weer werkt.

Dat weten die fabrikanten natuurlijk, en daarom zetten ze die wizards zo op dat het werkt voor de gebruikelijke clients.
Dat laat ik liever aan hen over dan dat ik dat zelf weer helemaal ga uitpluizen en dan na een paar weken ineens weer
een gebruiker aan de telefoon heb met "hoe kan het nou dat ie het niet doet???" en "oja wil je dat snel oplossen want
ik heb het nu nodig".

06-07-2020, 20:24 door Anoniem

Door Anoniem: Least Privilege Principle, alleen openzetten wat er minimaal nodig is, de rest gewoon lekker dicht. Wat niet openstaat kan niet worden misbruikt. En ja, dat kost dus meer tijd, meer uitzoekwerk en dus meer geld. Gelukkig zien we wel steeds vaker dat er wel aandacht is voor het juist aansluiten van de techniek op de behoefte. Maar goed dat dit soort adviezen worden uitgevaardigd.

Normale procedure is, eerst een werkende configuratie maken met de meegeleverde tools en DAN finetunen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

NSA raadt gebruik van standaardinstellingen en wizards af bij vpn-uitrol

Vpn-gateway

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren