NSA发布IPSec虚拟专用网络安全指南,预先配置的加密套件和IPSec策略
7月7日消息,美国国家安全局(national security agency)本周发布了有关保护ipsec虚拟专用网络安全的指南,因为在冠状病毒大流行之后,美国各地的公司仍在持续远程工作。该安全建议包括各种警告,例如不要依赖供应商提供的配置。
nsa的vpn安全指南有两种文档形式:安全vpn指南和带有更详细的配置示例的版本。nsa警告说,许多vpn供应商提供了为其设备预先配置的加密套件和ipsec策略,以及用于兼容性的其他套件。互联网安全关联和密钥管理协议(isakmp)和ipsec策略定义了vpn如何相互认证、管理安全关联,以及如何在vpn连接的不同阶段生成密钥。
《指南》警告说:“如果将这两个阶段中的任何一个配置为允许过时的加密,则整个vpn都将面临风险,并且数据机密性可能会丢失。”
美国国家安全局(nsa)建议管理员确保这些政策符合国家安全系统政策委员会(cnssp)-15标准,该标准定义了在国家安全系统之间安全共享信息的参数。甚至配置符合cnssp-15的默认策略可能还不够,因为许多vpn被配置为在默认策略不可用时退回到备用策略。该文件说,如果管理员将供应商的预配置替代产品留在其设备上,则可能会使用不合规的安全策略。
ipsec于1990年代引入,是vpn通信的传统协议。它可以用于远程访问或vpn间通信,是ssl/tls vpn的替代方法,后者提供完全基于浏览器的访问,而无需在客户端使用专用的软件应用程序。
nsa还建议管理员缩小其vpn网关的攻击面。由于这些设备主要通过互联网访问,因此它们很容易受到网络扫描,暴力攻击和零日漏洞的攻击。降低此风险的一种方法是,如果使用对等vpn,则将接受的流量限制为已知ip地址。
nsa指出:“远程访问vpn出现了远程对等ip地址未知的问题,因此无法将其添加到静态过滤规则中。”但是,管理员仍可以限制对可通过udp访问的特定端口和协议(例如端口500和4500)的访问。
ADuCM360的主要特性及应用范围分析
基于中间件技术的密码在实际应用中的系统保障方案
库卡中国区CEO王江兵已于6月底正式离职?为什么要离开?
TSMaster—CCP/XCP标定功能详解
浅议通信网络优化解决方案
NSA发布IPSec虚拟专用网络安全指南,预先配置的加密套件和IPSec策略
e络盟为亚太区提供备受赞誉的Harwin Gecko G125连接器
苹果多米诺骨牌倒下 代工厂的消亡史
百度或为一家独立的人工智能芯片公司融资
澳洲创企UCOT通过基于区块链的溯源技术打击假货 获400万美元融资
实现12位精度的运算跨导放大器的电路设计
氧气传感器在医疗行业的应用-「安的电子」
焊接机器人的精度和可靠性:如何保证
8台国产旗舰手机的横向对比
国科微入选2022中国新经济企业500强
华为撤出后 台积电也做出行动
Meta、英伟达相继拜访SK海力士,要求额外供应DDR5/HBM
怎样从Garmin Oregon GPS保存轨迹
区块链用于社交媒体应用程序的工作,将是改变世界技术的主流应用
realme真我GT发布会如约而至
nsa的vpn安全指南有两种文档形式:安全vpn指南和带有更详细的配置示例的版本。nsa警告说,许多vpn供应商提供了为其设备预先配置的加密套件和ipsec策略,以及用于兼容性的其他套件。互联网安全关联和密钥管理协议(isakmp)和ipsec策略定义了vpn如何相互认证、管理安全关联,以及如何在vpn连接的不同阶段生成密钥。
《指南》警告说:“如果将这两个阶段中的任何一个配置为允许过时的加密,则整个vpn都将面临风险,并且数据机密性可能会丢失。”
美国国家安全局(nsa)建议管理员确保这些政策符合国家安全系统政策委员会(cnssp)-15标准,该标准定义了在国家安全系统之间安全共享信息的参数。甚至配置符合cnssp-15的默认策略可能还不够,因为许多vpn被配置为在默认策略不可用时退回到备用策略。该文件说,如果管理员将供应商的预配置替代产品留在其设备上,则可能会使用不合规的安全策略。
ipsec于1990年代引入,是vpn通信的传统协议。它可以用于远程访问或vpn间通信,是ssl/tls vpn的替代方法,后者提供完全基于浏览器的访问,而无需在客户端使用专用的软件应用程序。
nsa还建议管理员缩小其vpn网关的攻击面。由于这些设备主要通过互联网访问,因此它们很容易受到网络扫描,暴力攻击和零日漏洞的攻击。降低此风险的一种方法是,如果使用对等vpn,则将接受的流量限制为已知ip地址。
nsa指出:“远程访问vpn出现了远程对等ip地址未知的问题,因此无法将其添加到静态过滤规则中。”但是,管理员仍可以限制对可通过udp访问的特定端口和协议(例如端口500和4500)的访问。
ADuCM360的主要特性及应用范围分析
基于中间件技术的密码在实际应用中的系统保障方案
库卡中国区CEO王江兵已于6月底正式离职?为什么要离开?
TSMaster—CCP/XCP标定功能详解
浅议通信网络优化解决方案
NSA发布IPSec虚拟专用网络安全指南,预先配置的加密套件和IPSec策略
e络盟为亚太区提供备受赞誉的Harwin Gecko G125连接器
苹果多米诺骨牌倒下 代工厂的消亡史
百度或为一家独立的人工智能芯片公司融资
澳洲创企UCOT通过基于区块链的溯源技术打击假货 获400万美元融资
实现12位精度的运算跨导放大器的电路设计
氧气传感器在医疗行业的应用-「安的电子」
焊接机器人的精度和可靠性:如何保证
8台国产旗舰手机的横向对比
国科微入选2022中国新经济企业500强
华为撤出后 台积电也做出行动
Meta、英伟达相继拜访SK海力士,要求额外供应DDR5/HBM
怎样从Garmin Oregon GPS保存轨迹
区块链用于社交媒体应用程序的工作,将是改变世界技术的主流应用
realme真我GT发布会如约而至