引言
挪威国家网络安全中心(NCSC)最近发布了一项重要声明,建议企业替换现有的SSL VPN/WebVPN解决方案。这一建议源于边缘网络设备中相关漏洞的反复利用,导致企业网络遭到入侵。本文将详细介绍NCSC的建议及其背后的原因。
NCSC的主要建议
NCSC建议,所有组织应在2025年前完成过渡,特别是受《安全法》约束或在关键基础设施中的组织,需在2024年底之前采用更安全的替代方案。NCSC官方推荐的替代方案是使用互联网协议安全(IPsec)与互联网密钥交换(IKEv2)。
SSL VPN/WebVPN的局限性
SSL VPN和WebVPN通过SSL/TLS协议提供安全的远程网络访问,确保用户设备与VPN服务器之间的连接安全。然而,NCSC指出,这些解决方案存在严重的安全漏洞,容易被攻击者利用。
IPsec与IKEv2的优势
IPsec与IKEv2通过对每个数据包进行加密和身份验证来保护通信,相比SSL VPN,其在配置错误容忍度上有显著降低。这意味着切换到IPsec将大大减少安全远程访问事件的攻击面。
实施措施
NCSC建议的实施措施包括:
- 重新配置现有的VPN解决方案或进行替换
- 将所有用户和系统迁移到新协议
- 禁用SSL VPN功能并阻止进入的TLS流量
- 使用基于证书的身份验证
- 在无法使用IPsec连接的情况下,建议使用5G宽带
临时措施
对于尚未提供IPsec与IKEv2选项的VPN解决方案,NCSC还提供了一些临时措施。这些措施包括:
- 实施集中化的VPN活动记录
- 严格的地理围栏限制
- 阻止来自VPN提供商、Tor出口节点和VPS提供商的访问
全球范围的建议
不仅挪威,其他国家如美国和英国也推荐使用IPsec而非其他协议。这一趋势显示了全球范围内对提高网络安全的共识。
SSL VPN漏洞的普遍性
与IPsec不同,SSL VPN并没有统一的标准,这导致网络设备制造商各自实现协议,造成了许多漏洞。例如,Fortinet在2023年2月披露,中国的Volt Typhoon黑客组织利用了两个FortiOS SSL VPN漏洞入侵了包括荷兰军事网络在内的多个组织。
结论
NCSC的建议反映了对当前网络安全形势的深刻认识。随着网络攻击手段的不断演进,企业必须采取积极措施,确保其远程访问解决方案的安全性。选择IPsec与IKEv2作为替代方案,将为组织提供更强的保护,降低潜在的网络攻击风险。
强烈推荐
如果您在寻找快速、可靠的VPN解决方案,不妨考虑一些市场上的优质IPsec VPN产品。选择合适的VPN将为您的网络安全提供坚实保障。
