0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

NSA发布IPSec虚拟专用网络安全指南,预先配置的加密套件和IPSec策略

牵手一起梦 来源:安全牛 作者:佚名 2020-07-08 15:31 次阅读

7月7日消息,美国国家安全局(National Security Agency)本周发布了有关保护IPSec虚拟专用网络安全的指南,因为在冠状病毒大流行之后,美国各地的公司仍在持续远程工作。该安全建议包括各种警告,例如不要依赖供应商提供的配置。

NSA的VPN安全指南有两种文档形式:安全VPN指南和带有更详细的配置示例的版本。NSA警告说,许多VPN供应商提供了为其设备预先配置的加密套件和IPSec策略,以及用于兼容性的其他套件。互联网安全关联和密钥管理协议(ISAKMP)和IPSec策略定义了VPN如何相互认证、管理安全关联,以及如何在VPN连接的不同阶段生成密钥。

《指南》警告说:“如果将这两个阶段中的任何一个配置为允许过时的加密,则整个VPN都将面临风险,并且数据机密性可能会丢失。”

美国国家安全局(NSA)建议管理员确保这些政策符合国家安全系统政策委员会(CNSSP)-15标准,该标准定义了在国家安全系统之间安全共享信息参数。甚至配置符合CNSSP-15的默认策略可能还不够,因为许多VPN被配置为在默认策略不可用时退回到备用策略。该文件说,如果管理员将供应商的预配置替代产品留在其设备上,则可能会使用不合规的安全策略。

IPSec于1990年代引入,是VPN通信的传统协议。它可以用于远程访问或VPN间通信,是SSL/TLS VPN的替代方法,后者提供完全基于浏览器的访问,而无需在客户端使用专用的软件应用程序。

NSA还建议管理员缩小其VPN网关的攻击面。由于这些设备主要通过互联网访问,因此它们很容易受到网络扫描,暴力攻击和零日漏洞的攻击。降低此风险的一种方法是,如果使用对等VPN,则将接受的流量限制为已知IP地址。

NSA指出:“远程访问VPN出现了远程对等IP地址未知的问题,因此无法将其添加到静态过滤规则中。”但是,管理员仍可以限制对可通过UDP访问的特定端口和协议(例如端口500和4500)的访问。

责任编辑:gt

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 互联网
    +关注

    关注

    54

    文章

    11149

    浏览量

    103246
  • 设备
    +关注

    关注

    2

    文章

    4503

    浏览量

    70600
收藏 人收藏

    评论

    相关推荐

    恒讯科技分析:IPSec与SSL/TLS相比,安全性如何?

    议具有良好的兼容性。IPSec的兼容性较差,尤其是在网络设备之间进行通信时,由于需要特殊的网络设备和配置,可能在某些场景下难以实现。3、使用场景方面:
    的头像 发表于 10-23 15:08 311次阅读
    恒讯科技分析:<b class='flag-5'>IPSec</b>与SSL/TLS相比,<b class='flag-5'>安全</b>性如何?

    ipsec组网通过其加密和验证机制提供高安全

    ipsec组网是一种在公用网络上建立专用网络的技术,它通过在IP层对数据包进行加密和验证来保证通信的安全性。
    的头像 发表于 10-18 10:37 349次阅读

    IPSec VPN的含义与原理

    IPSec VPN(Internet Protocol Security Virtual Private Network),即基于IPSec协议的虚拟专用网络,是一种在公共
    的头像 发表于 10-08 09:52 645次阅读

    深信服防火墙和IR700建立IPSec VPN的配置说明

    完全使用深信服防火墙的所有型号,如有出入,望谅解 1、深信服防火墙 查看网络配置,默认的用户名密码是Admin;Admin。本图中LAN口为192.168.1.1/24 点击左侧ipsec vpn
    发表于 07-26 07:43

    PPTP(L2TP)如何登陆IPSec VPN网关?

    设置PC上的PPTP VPNXP系统连接方式打开网络连接点击“创建一个新的连接” 点击下一步选择“连接到我的工作场所的网络” 选择虚拟专用网络连接 点击下一步: 公司名为自定义
    发表于 07-26 07:09

    IR ROUTER和H3C设备建立IPSEC VPN时的注意事项

    IR ROUTER 和 H3C设备建立IPSEC VPN需要注意的地方,下面主要以图形界面体现出来,因为默认情况下H3C-H3C连接时,有些配置默认是不显示在命令行中的。1.首先,IKE配置部分
    发表于 07-26 06:12

    InRouter与Juniper SRX如何建立IPSec隧道配置

    Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网
    发表于 07-25 07:32

    H3C Router与InRouter900如何建立IPSecVPN?

    =》生命周期等默认即可 5、IPSec安全提议 =》 新增 =》 安全提议名称按需填写 =》安全协议类型、算法按需填写即可 6、IPSec
    发表于 07-25 07:04

    IR915如何连接cisco L2tp over ipsec

    123456 //定义一个本地用户 3. IPSec配置crypto isakmp policy 10 //定义isakmp策略,注意路由器会按序号匹配策略所定义的参数,先
    发表于 07-25 06:36

    IR915和IR615建立IPsec VPN实现子网互通

    :192.168.2.1 下面进行IPsec配置 IR915端: 1、首先启用IPsec配置IKEv1策略
    发表于 07-24 07:26

    IR915与AF1000建立IPSecVPN配置的过程

    配置配置参数如图10所示:(IKE策略配置与深信服防火墙的第一阶段安全策略配置和DH
    发表于 07-24 07:02

    SSL 、IPSec、MPLS和SD-WAN的对比分析

    支机构的广域网连接 智能路由、动态路径选择   SSL VPN、IPSec VPN、MPLS VPN和SD-WAN都是实现虚拟专用网络(VPN)的不同技术和方法,它们在
    的头像 发表于 05-30 15:02 1720次阅读

    企业在IPv6时代的网络安全升级指南

    伴随IPv6的广泛布设,企业迎来了崭新的网络安全挑战。为保障数据的安全性与完整性,企业务必施行一系列举措以强化数据传输的加密与保护。以下乃是一些关键的策略及建议,助力企业于IPv6环境
    的头像 发表于 04-01 14:53 667次阅读
    企业在IPv6时代的<b class='flag-5'>网络安全</b>升级<b class='flag-5'>指南</b>

    SD-WAN组网和IPsec组网的主要区别

    SD-WAN组网和IPsec组网的主要区别 网络在不断发展,组网技术也在不断演进。在过去,随着企业规模扩大和分布式部署的需求增加,IPsec(Internet协议安全性)成为一种被广泛
    的头像 发表于 03-28 15:02 1905次阅读

    sdwan和ipsec组网的区别

    全面了解这两种技术。 一、SD-WAN的定义和原理 1. 定义 SD-WAN是一种基于软件定义的广域网技术,旨在简化分支机构网络配置、管理和维护。它通过将网络控制与数据转发分离,以更智能地管理分支
    的头像 发表于 01-17 15:37 2167次阅读