NCSC anbefaler å erstatte SSLVPN/WebVPN med sikrere alternativer
Årsaken er gjentakende utnyttelse av sårbarheter. Overgang til anbefalt tiltak bør være på plass innen utgangen av 2025. For virksomheter underlagt sikkerhetsloven bør det skje før utgangen av 2024.
NCSC har over lengre tid observert og varslet om kritiske sårbarheter i VPN-løsninger som benytter Secure Socket Layer/Transport Layer Security (SSL/TLS), ofte kjent som SSLVPN, WebVPN eller klientløs VPN.
Sårbarhetenes alvorlighetsgrad og aktørers gjentakende utnyttelse av denne typen sårbarheter gjør at NCSC anbefaler å erstatte løsninger for sikker fjernaksess som bruker SSL/TLS med sikrere alternativer. NCSC anbefaler Internet Protocol Security (IPsec) med Internet Key Exchange (IKEv2). Andre lands myndigheter har anbefalt tilsvarende.
Formålet med denne anbefalingen er å redusere sårbarhets- og angrepsflaten for sikker fjernaksess. Det er sannsynlig at det vil avdekkes nye nulldagssårbarheter i produktkategorien SSLVPN i fremtiden. Det må understrekes at løsninger som bruker IPsec med IKEv2 også kan ha sårbarheter, men dette teknologivalget medfører mindre angrepsflate og lavere grad av feiltoleranse i konfigurasjon av løsningen.
Unntak: For skjermingsverdige og sikkerhetsgraderte informasjonssystemer etter sikkerhetsloven gjelder egne krav som ikke omfattes eller påvirkes av denne anbefalingen. Denne anbefalingen medfører altså ingen endring i gjeldende krav for slike systemer.
Tiltak og anbefalinger
For å redusere risikoen ved bruk av VPN som fjernaksessløsning til virksomhetens nettverk, anbefaler NCSC at man etablerer en plan for utfasing av SSLVPN og overgang til IPsec IKEv2.
- Arbeidet knyttet til en slik omstilling vil variere basert på blant annet virksomhetens størrelse, antall ansatte, arkitektur, leverandørvalg og bruksområde. Virksomheter bør starte planlegging på kort sikt.
- NCSC anbefaler en fullstendig utfasing av SSLVPN som konsept og overgang til IPsec IKEv2 senest innen utgangen av 2025. Dersom virksomheten er underlagt sikkerhetsloven eller på andre måter definert som samfunnskritisk anbefaler NCSC at dette gjøres innen utgangen av 2024.
- NCSC ønsker ikke å gi noen særskilt anbefaling for enkelte produktleverandører eller alternative protokoller til IPsec, og har ikke vurdert proprietære løsninger for sikker fjernaksess. Vær oppmerksom på at mange leverandører av VPN-løsninger som benytter TLS (SSLVPN) også tilbyr løsninger eller konfigurasjoner som bruker IPsec med IKEv2.
- På lokasjoner hvor det ikke er mulig å opprette IPsec-forbindelse, anbefaler NCSC å forsøke å etablere sikker fjernaksess med andre løsninger.
Merk at anbefalingen om bruk av IPsec IKEv2 ikke utelukker at virksomheter velger moderne, sikre, innebygde løsninger i underliggende operativsystem, som f.eks. Always On VPN (ikke DirectAccess) på Windows, eller løsninger som bygger på WireGuard-protokollen og samtidig sørger for sikkerhetsmessige hensyn som bruker- og maskinforvaltning samt sentralisert logging av autentisering og aktivitet. NCSC vil understreke at virksomheter står fritt til selv å vurdere alternative løsninger som gir forsvarlig sikkerhet.
Anbefalingen vil kunne innebære følgende tiltak:
- Omkonfigurer eksisterende VPN-løsning til å støtte IPsec IKEv2. Dersom løsningen ikke støtter dette, planlegg for og erstatt løsningen med en som gjør.
- Migrer brukere og systemer som benytter SSLVPN over på IPsec IKEv2.
- Skru av SSLVPN-funksjonalitet og verifiser at eventuelle endepunkter ikke svarer.
- Blokker all innkommende TLS-trafikk til VPN-serveren.
- Bruk autentisering med sertifikat.
Frem til virksomheten har etablert IPsec IKEv2, anbefaler NCSC følgende tiltak i overgangsperioden:
- Sørg for at VPN-løsningen logger til et sentralisert loggmottak, og legg til rette for deteksjon og rask oppfølging av mistenkelig aktivitet.
- Tillat kun innkommende trafikk fra nødvendige land (geofencing).
- Blokker tilgang fra usikker infrastruktur som anonymiseringstjenester (VPN-leverandører og Tor exit-noder) og VPS-tilbydere
Denne anbefalingen baserer seg på empirisk informasjon om utnyttelse av sårbarheter i VPN-løsninger som benytter TLS. Anbefalingene påvirker ikke gjeldende anbefalinger NSM har om valg av kryptoalgoritmer og -nøkler. NCSC vil også presisere at denne anbefalingen medfører ingen endring i gjeldende krav for informasjonssystemer som er underlagt sikkerhetsloven.
Kilder:
- NSA, CISA: Selecting and Hardening Remote Access VPN Solutions (ekstern lenke)
- UK NCSC: Device Security Guidance (ekstern lenke)
- Varsel fra NSM NCSC: Angrep mot SSLVPN-produkter i kritisk infrastruktur (fra 24. april 2024)
- Canadian Centre for Cyber Security: Cyber Activity Impacting CISCO ASA VPNs (ekstern lenke)