NSA publica orientación sobre cómo proteger las redes privadas virtuales de IPsec

NSA publica orientación sobre cómo proteger las redes privadas virtuales de IPsec

La Agencia de Seguridad Nacional de EE. UU. (NSA) ha publicado una guía sobre cómo proteger adecuadamente las redes privadas virtuales (VPN) de seguridad IP (IPsec) contra posibles ataques.

Además de proporcionar a las organizaciones recomendaciones sobre cómo proteger los túneles IPsec, la guía de VPN de la NSA también destaca la importancia de utilizar una criptografía sólida para proteger la información confidencial contenida en el tráfico mientras atraviesa redes no confiables cuando se conecta a servidores remotos.

Seguir estas recomendaciones es especialmente importante para las organizaciones que trasladaron a la mayoría de su fuerza laboral al teletrabajo desde el comienzo de la pandemia.

“Las VPN son esenciales para permitir el acceso remoto y la conexión segura de sitios remotos, pero sin una configuración adecuada, administración de parches y endurecimiento, las VPN son vulnerables a los ataques”, explica la NSA.

Entre las medidas que los administradores de red deben tomar para garantizar la seguridad de una VPN, la NSA subraya la necesidad de reducir la superficie de ataque, personalizar siempre la configuración predeterminada de la VPN y aplicar las actualizaciones de seguridad tan pronto como sean emitidas por los proveedores.

Cómo asegurar una red privada virtual

Lista completa de recomendaciones de la NSA para una VPN segura:

• Reduzca la superficie de ataque de la puerta de enlace VPN
• Verifique que los algoritmos criptográficos cumplan con el Comité de Política de Sistemas de Seguridad Nacional (CNSSP) 15
• Evite usar la configuración predeterminada de VPN
• Eliminar conjuntos de criptografía no utilizados o no conformes
• Aplicar actualizaciones proporcionadas por el proveedor (es decir, parches) para puertas de enlace VPN y clientes

En primer lugar, se aconseja a los administradores que implementen reglas estrictas de filtrado de tráfico diseñadas para limitar los puertos, protocolos y direcciones IP que se pueden usar para conectarse a dispositivos VPN. Si esto no es posible, un Sistema de prevención de intrusiones (IPS) puede ayudar a “monitorear el tráfico IPsec no deseado e inspeccionar las negociaciones de la sesión IPsec”.

Los administradores también deben asegurarse de que las políticas ISAKMP / IKE e IPsec no permitan algoritmos criptográficos obsoletos para evitar comprometer la confidencialidad de los datos.

Cuando se trata de la configuración predeterminada de VPN, la NSA recomienda evitar el uso de asistentes, scripts o valores predeterminados proporcionados por el proveedor, ya que pueden configurar políticas ISAKMP / IKE e IPsec no compatibles.

La eliminación de conjuntos de criptografía no conformes y no utilizados es otra medida recomendada para defenderse contra ataques de degradación en los que los puntos finales VPN se ven obligados a negociar conjuntos de criptografía no conformes e inseguros, exponiendo el tráfico VPN cifrado a intentos de descifrado.

Por último, pero no menos importante, asegurarse de que se apliquen los últimos parches proporcionados por el proveedor lo antes posible mitigará las vulnerabilidades de seguridad recientemente descubiertas que afectan tanto a las puertas de enlace de VPN como a los clientes.

La NSA también emitió una guía que proporciona a los administradores, por ejemplo, configuraciones de VPN IPsec e instrucciones específicas sobre cómo implementar las medidas anteriores y garantizar las configuraciones de VPN más seguras.

La importancia de asegurar las VPN

En octubre de 2019, la NSA advirtió sobre múltiples actores de Amenaza Persistente Avanzada (APT) respaldados por el estado que estaban armando activamente las vulnerabilidades CVE-2019-11510, CVE-2019-11539 y CVE-2018-13379 para comprometer dispositivos VPN vulnerables.

Como parte del mismo aviso de seguridad, la NSA también emitió mitigación para los clientes VPN de Pulse Secure, Palo Alto y Fortinet, así como recomendaciones sobre cómo fortalecer las configuraciones de seguridad de VPN.

En enero de 2020, CISA advirtió a las organizaciones que parcheen sus servidores Pulse Secure VPN para defenderse de ataques en curso que intentan explotar una vulnerabilidad de ejecución remota de código (RCE) rastreada como CVE-2019-11510, una advertencia que siguió a otra alerta emitida por CISA en octubre de 2019 y otros procedentes de la Agencia de Seguridad Nacional (NSA), el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y el Centro Canadiense de Seguridad Cibernética.

El mismo mes, una alerta de seguridad flash del FBI declaró que los piratas informáticos respaldados por el estado violaron las redes de una entidad financiera de EE. UU. Y la red de un gobierno municipal de EE. UU. Después de que la explotación de servidores quedaba vulnerable a las vulnerabilidades CVE-2019-11510.

Tres meses después, CISA dijo que los actores de amenazas implementaron con éxito el ransomware en los sistemas de hospitales y entidades gubernamentales de EE. UU. Con la ayuda de credenciales robadas de Active Directory meses después de explotar los servidores Pulse Secure VPN sin parches contra la vulnerabilidad CVE-2019-11510.

En marzo, CISA también compartió una serie de consejos diseñados para ayudar a las organizaciones que implementaron el trabajo desde programas domésticos para asegurar correctamente sus VPN empresariales, ya que se esperaba que los actores maliciosos enfocaran sus ataques en los teletrabajadores.

Deja un comentario