NCSC recomienda reemplazar SSLVPN/WebVPN con alternativas más seguras
El NCSC ha observado y notificado durante mucho tiempo sobre vulnerabilidades críticas en soluciones VPN que utilizan Secure Socket Layer/Transport Layer Security (SSL/TLS), a menudo conocido como SSLVPN, WebVPN o VPN sin cliente.
La gravedad de las vulnerabilidades y la explotación repetida de este tipo de vulnerabilidades por parte de los actores hace que el NCSC recomiende sustituir las soluciones de acceso remoto seguro que utilizan SSL/TLS por alternativas más seguras. NCSC recomienda la seguridad del protocolo de Internet (IPsec) con intercambio de claves de Internet (IKEv2). Las autoridades de otros países han recomendado lo mismo.
El propósito de esta recomendación es reducir la vulnerabilidad y la superficie de ataque para el acceso remoto seguro. Es probable que en el futuro se descubran nuevas vulnerabilidades de día cero en la categoría de productos SSLVPN. Hay que destacar que las soluciones que utilizan IPsec con IKEv2 también pueden tener vulnerabilidades, pero esta elección de tecnología conlleva una menor superficie de ataque y un menor grado de tolerancia a fallos en la configuración de la solución.
Medidas y recomendaciones
Para reducir el riesgo al utilizar VPN como solución de acceso remoto a la red de la empresa, NCSC recomienda que se establezca un plan para eliminar gradualmente SSLVPN y realizar la transición a IPsec IKEv2.
- El trabajo asociado con dicho cambio variará según, entre otras cosas, el tamaño de la empresa, el número de empleados, la arquitectura, la elección del proveedor y el área de uso. Las empresas deberían empezar a planificar a corto plazo.
- El NCSC recomienda una eliminación completa de SSLVPN como concepto y una transición a IPsec IKEv2 a más tardar a finales de 2025. Si la empresa está sujeta a la Ley de Seguridad o de otras formas definidas como socialmente críticas, el NCSC recomienda que esto. se realizará a finales de 2024.
- NCSC no desea hacer recomendaciones específicas para proveedores de productos individuales o protocolos alternativos a IPsec, y no ha evaluado soluciones patentadas para acceso remoto seguro. Tenga en cuenta que muchos proveedores de soluciones VPN que utilizan TLS (SSLVPN) también ofrecen soluciones o configuraciones que utilizan IPsec con IKEv2.
- En lugares donde no es posible establecer una conexión IPsec, el NCSC recomienda el uso de 5G desde banda ancha móvil o móvil como alternativa para desviarse de la recomendación IPsec.
Tenga en cuenta que el uso de IPsec IKEv2 no excluye soluciones modernas, seguras e integradas en el sistema operativo subyacente, como por ejemplo. Always On VPN (no DirectAccess) en Windows, o soluciones que se basan en el protocolo WireGuard y al mismo tiempo garantizan consideraciones de seguridad como la administración de usuarios y máquinas, así como el registro centralizado de autenticación y actividad.
La recomendación puede implicar las siguientes medidas:
- Reconfigure la solución VPN existente para que admita IPsec IKEv2. Si la solución no lo admite, planifique y reemplace la solución por una que sí lo admita.
- Migre usuarios y sistemas que utilizan SSLVPN a IPsec IKEv2.
- Desactive la funcionalidad SSLVPN y verifique que los puntos finales no respondan.
- Bloquee todo el tráfico TLS entrante al servidor VPN.
- Utilice autenticación de certificado.
Hasta que la empresa haya establecido IPsec IKEv2, NCSC recomienda las siguientes medidas durante el período de transición:
- Asegúrese de que la solución VPN se registre en una recepción de registros centralizada y facilite la detección y el seguimiento rápido de actividades sospechosas.
- Permitir únicamente el tráfico entrante de los países requeridos (geocerca).
- Bloquear el acceso desde infraestructuras inseguras, como servicios de anonimización (proveedores de VPN y nodos de salida Tor) y proveedores de VPS.
Fuentes: