Norveç Ulusal Siber Güvenlik Merkezi’nden (NCSC) gelen çok önemli bir mesajda, SSLVPN ve WebVPN gibi Güvenli Soket Katmanı/Aktarım Katmanı Güvenliği (SSL/TLS) tabanlı VPN çözümlerinin daha güvenli seçeneklerle değiştirilmesi gerektiği belirtiliyor.
Kötü insanlar hala bu VPN hizmetlerindeki kusurlardan yararlanıyor, bu önerinin yapılmasının nedeni de bu.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
SSLVPN’deki Kritik Güvenlik Açıkları
NCSC, SSLVPN sistemlerinin büyük güvenlik açıklarına sahip olduğunu uzun zamandır biliyor ve bunları rapor ediyor.
İnsanlar bu kusurları birçok kez kullandı; NSM’nin raporlarına göre NCSC’nin daha güvenli uzaktan erişim teknolojilerine geçiş yapmasının nedeni de bu.
Alternatif olarak İnternet Anahtar Değişimi (IKEv2) ile İnternet Protokolü Güvenliği (IPsec) önerilmektedir.
Bu aynı zamanda diğer ülkelerdeki siber güvenlik yetkililerinin de önerdiği şeydir.
Bu önerinin ana hedefi, güvenli uzaktan erişimin saldırı alanını ve güvenlik açıklarını azaltmaktır.
NCSC, SSLVPN ürünlerinde muhtemelen daha önce görülmemiş yeni güvenlik açıklarının ortaya çıkacağını söylüyor.
IKEv2 ile IPsec’te bazı kusurlar var ancak daha küçük bir saldırı alanına sahip ve daha fazla yapılandırma hatasını kaldırabiliyor.
Önlemler ve Öneriler
NCSC, şirketlerin uzaktan erişim için VPN kullanmanın getirdiği riskleri azaltmak amacıyla SSLVPN kullanmayı kademeli olarak bırakıp IPsec IKEv2’ye geçmeyi planlamasını öneriyor.
Bu geçişin ne kadar zor olacağı işletmenin büyüklüğü, çalışan sayısı, ağ mimarisi, tedarikçi seçimi, kullanılacağı alan gibi faktörlere bağlı olacaktır.
2025 yılı sonuna kadar tüm şirketler SSLVPN’den IPsec IKEv2’ye geçmiş olacak.
Güvenlik Yasası’ndan etkilenen veya sosyal açıdan önemli görülen işletmelerin bu değişikliği 2024 sonuna kadar yapmış olması gerekiyor.
Uygulama Adımları
Mevcut VPN çözümlerinin ayarlanma şeklini değiştirin: VPN’lerin IPsec IKEv2 ile çalışacak şekilde ayarlanma şeklini şimdi değiştirin.
Bu mümkün değilse yedekleme için plan yapın.
- Sistemleri ve kullanıcıları taşıyın: Tüm sunucuları ve kullanıcıları SSLVPN’den IPsec IKEv2’ye değiştirin.
- SSLVPN Özelliklerini Kapatın: SSLVPN özelliklerinin kapalı olduğundan ve hedeflerin yanıt vermediğinden emin olun.
- Tüm TLS Trafiğinin Gelmesini Durdurun: Tüm TLS trafiğinin VPN sunucusuna girmesini durdurun.
- Sertifika kimliğini kullan: İşleri daha güvenli hale getirmek için sertifikaya dayalı kimlik doğrulamayı kullanın.
NCSC, geçiş döneminde işleri güvende tutmak için aşağıdaki adımları önermektedir:
- Merkezi Günlük Kaydı: Herhangi bir şüpheli etkinliği hızlı bir şekilde bulup durdurabilmeniz için VPN hizmetlerinin tüm eylemlerinizi merkezi bir sisteme kaydettiğinden emin olun.
- Coğrafi sınırlama: Yalnızca ihtiyacınız olan ülkelerden gelen trafiğin gelmesine izin verin.
- Güvenli Olmayan Altyapıyı Engelleyin: VPN sağlayıcıları, Tor çıkış düğümleri ve anonimleştirme hizmetleri sunan VPS sağlayıcıları gibi güvenli olmayan kaynaklardan kişilerin giriş yapmasına izin vermeyin.
NCSC, bunun mümkün olmadığı durumlarda IPsec bağlantısı kurmak yerine 5G mobil veya mobil geniş bant kullanılmasını öneriyor.
Ayrıca, kullanıcıları ve makineleri yönetmek ve merkezi bir günlük tutmak gibi güvenlik özelliklerini içerdikleri sürece, işletim sistemleri için Windows’ta Always On VPN (DirectAccess değil) veya WireGuard protokolünü temel alan çözümler gibi modern, güvenli yerleşik çözümler önerilmektedir. oturum açma bilgileri ve etkinlik.
NCSC, önerisinde işletmelerin SSLVPN’den IPsec IKEv2 gibi daha güvenli seçeneklere geçerek güvenliklerini artırmalarının ne kadar önemli olduğunu vurguluyor.
Kuruluşlar bunu yaparak uzaktan erişim sistemlerini koruyabilir ve kendilerini siber saldırılara karşı çok daha az savunmasız hale getirebilirler.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers