10 nguyên nhân khiến IPsec VPN thất bại

Như một cố vấn độc lập, tôi thường được yêu cầu phải có một 'đôi mắt tinh tường' khi thực hiện đánh giá mạng. Đôi khi bao gồm việc khảo sát IPsec VPN.

Trong suốt thời gian thảo luận xung quanh vấn đề triển khai IPsec VPN, tôi đã nghe được một ý kiến như sau: "Chúng tôi có một IPsec VPN, và nó được cấu hình để sử dụng các thuật toán mã hóa. Vì thế nó tuyệt đối an toàn, và bạn có thể dành thời gian cho các phần tử khác của mạng hơn là tiêu phí thời gian khảo sát VPN". Điều này đôi khi là quá tự mãn và tin tưởng vào sự phổ biến rộng rãi đáng ngạc nhiên của VPN IPsec, đặc biệt khi sử dụng các thuật toán mã hóa mạnh mẽ như AES rất an toàn mà không cần bận tâm tới việc thiết kế và cấu hình chính xác.

Cho đến bây giờ, hầu như mọi người đều biết rằng không phải là một ý tưởng hay khi sử dụng các giải thuật toán yếu như 56- bít DES trên IPsec VPN.

Nhưng vẫn có những thứ đôi khi không thể giải thích được đó là dù một IPsec VPN sử dụng các giải thuật tương đối mạnh như AES, thì mọi sức mạnh và sự bảo vệ được đề xuất bởi những giải thuật này có thể bị suy yếu bởi thiết kế IPsec VPN và cấu hình xấu.

Vì thế, nếu bạn có một IPsec VPN và không chắc chắn về cấu hình của nó thì đây có thể là một ý tưởng tốt để gấp đôi sự kiểm tra xem bạn đã sử dụng các giải thuật đúng hay chưa ngoài ra còn xem xét xem VPN cũng được thiết kế và cấu hình đúng chưa.

Dưới đây là mười yếu điểm cần phải được kiểm tra khi truy cập VPN Ipsec:

1. Sử dụng các khóa chia sẻ yếu.

2. Sử dụng phương thức tấn công IKE/ISAKMP không thích hợp (khóa chia sẻ yếu).

3. Phương pháp chứng thực không thích hợp (khóa chia sẻ khi chữ ký điện tử [certificate] dựa trên chứng thực có thể thích hợp hơn).

4. Sử dụng nhóm các khóa hay wildcard không thích hợp (sử dụng nhiều giải pháp sẽ khả quan hơn).

5. Sử dụng khóa chia sẻ đồng nhất với nhiều thiết bị tương đương (tương tự #4).

6. Sử dụng không thích hợp chứng thực mở rộng (XAuth, dễ bị tổn thương khi được sử dụng với khóa chia sẻ và IKE/ ISAKMP).

7. Tính dễ bị tổn thương của NTP hoặc CRLs/ OCSP được PKI sử dụng cho cuộc tấn công DOS (liên quan khi sử dụng chứng thực chữ ký điện tử).

8. Bảo mật yếu nơi lưu trữ khóa chính CA.

9. Lưu trữ các tập tin cấu hình cổng vào IPsec VPN chứa các chữ màu khóa chia sẻ.

10. Sử dụng mã hóa không có chứng thực.

Mười yếu điểm trên mời chi mới bắt đầu. Vì thế, cần có sự đề phòng tốt cho đến khi bạn đã bao quát mọi cơ sở và tuyệt đối thỏa mãn rằng VPN IPsec đã thật sự an toàn.

Và nếu bạn cần nhiều thông tin thêm về mười điểm tôi đã liệt kê ở trên thì Google là một công cụ tìm kiếm tốt. Nếu Google không thực hiện được điều này thì có thể tham khảo trên một số sách trên Amazon.

Thứ Ba, 01/01/2008 11:37
21 👨 2.310