VPN più sicure con i consigli dell'NSA

Senza una corretta configurazione, gestione delle patch e protezione avanzata, le VPN sono vulnerabili agli attacchi. Ecco i consigli dell'NSA.

Business Tecnologie/Scenari
A seguito dei problemi registrati con le VPN durante il lockdown, la US National Security Agency (NSA) ha pubblicato una serie di linee guida su come proteggere correttamente i protocolli IPsec delle VPN da potenziali attacchi. L'argomento non è la velocità della VPN in termini di efficienza, ma la sicurezza della connessione stessa.

Come abbiamo avuto modo di precisare in passato, infatti, la VPN da sola non basta. Al contrario di quello che molti pensano, sottoscrivere un abbonamento e attivare la VPN quando ci si connette non è di per sé garanzia di sicurezza. 

NSA riconosce che le VPN sono attualmente un'opzione essenziale per abilitare l'accesso remoto e la connessione sicura. Tuttavia ammonisce che "senza una corretta configurazione, gestione delle patch e protezione avanzata, le VPN sono vulnerabili agli attacchi".
vpn

Le regole d'oro

Quello che bisogna fare è ridurre la superficie d'attacco. Si parte con una regola di base universale: gli amministratori di rete devono personalizzare le impostazioni predefinite della VPN. Sono da evitare anche procedure guidate e script predefiniti dal fornitore, perché potrebbero configurare criteri ISAKMP/IKE e IPsec non conformi.

In secondo luogo, è necessario verificare che gli algoritmi di crittografia siano conformi al CNSSP (Committee on National Security Systems Policy). Gli strumenti di crittografia inutilizzati o non conformi devono essere eliminati, perché potrebbero dare corso ad attacchi di downgrade in cui gli endpoint VPN sono costretti a negoziare suite di crittografia non conformi e non sicure, esponendo il traffico VPN a tentativi di decodifica.

Inoltre è caldeggiata l'implementazione di rigorose regole di filtraggio del traffico. Occorre limitare le porte, i protocolli e gli indirizzi IP che possono essere utilizzati per connettersi ai dispositivi VPN. Se ciò non è possibile, meglio adottare un sistema di prevenzione delle intrusioni (IPS) per monitorare il traffico IPsec indesiderato.

Gli amministratori devono inoltre assicurarsi che i criteri ISAKMP/IKE e IPSEC non consentano l'esecuzione di algoritmi di crittografia obsoleti, che potrebbero compromettere la riservatezza dei dati. Ultimo ma non meno importante, è imperativo applicare tutti gli aggiornamenti di sicurezza non appena vengono pubblicati.
vpn da casa

La protezione degli endpoint connessi in VPN è fondamentale

Vale la pena ribadire la centralità della protezione degli endpoint. Gastone Nencini di Trend Micro aveva puntualizzato a suo tempo che la VPN dà sicurezza nella trasmissione dell'informazione, non nel contenuto dell'informazione trasmessa. Questo significa che se l'endpoint collegato alla VPN è infetto da malware, questo viene trasferito in maniera criptata all'azienda, quindi bypassando i sistemi di sicurezza a livello di gateway. Il rischio è tutt'altro che remoto. 

Per prevenire il rischio è necessario proteggere gli endpoint. Bisogna tenere aggiornanti tutti i software e i sistemi operativi, e installare soluzioni di prevenzione e controllo. Inoltre è doveroso accertarsi che chi accede al sistema sia una persona affidabile. Si ricorda, infatti, che il primo vettore di attacco per qualsiasi organizzazione è costituito dalle credenziali compromesse. È quindi sconsigliato che i dipendenti in smart working usino le sole credenziali di accesso alla VPN per collegarsi, perché non assicurano una protezione adeguata delle risorse critiche a cui si accede.

Ecco il motivo per il quale molti esperti di sicurezza consigliano di aggiungere un ulteriore livello di sicurezza alle connessioni VPN, con l'autenticazione a più fattori.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Come custodire al meglio i dati, dal backup in poi

Speciale

L'esigenza di una nuova cyber security

Speciale

Cloud Security: rischi e tecnologie per mettere in sicurezza il cloud

Speciale

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale

Speciale

Sicurezza delle infrastrutture critiche nel 21mo secolo

Calendario Tutto

Dic 03
Dell Technologies Forum Italia 2020
Dic 10
Grande Slam 2020 Digital Edition
Dic 16
Emergenza aziende connesse e remote. Come battere sul tempo errori umani e hacker

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori