NCSC har over lengre tid observert og varslet om kritiske sårbarheter i VPN-løsninger som benytter Secure Socket Layer/Transport Layer Security (SSL/TLS), ofte kjent som SSLVPN, WebVPN eller klientløs VPN. 

Sårbarhetenes alvorlighetsgrad og aktørers gjentakende utnyttelse av denne typen sårbarheter gjør at NCSC anbefaler å erstatte løsninger for sikker fjernaksess som bruker SSL/TLS med sikrere alternativer. NCSC anbefaler Internet Protocol Security (IPsec) med Internet Key Exchange (IKEv2). Andre lands myndigheter har anbefalt tilsvarende. 

Formålet med denne anbefalingen er å redusere sårbarhets- og angrepsflaten for sikker fjernaksess. Det er sannsynlig at det vil avdekkes nye nulldagssårbarheter i produktkategorien SSLVPN i fremtiden. Det må understrekes at løsninger som bruker IPsec med IKEv2 også kan ha sårbarheter, men dette teknologivalget medfører mindre angrepsflate og lavere grad av feiltoleranse i konfigurasjon av løsningen. 

Tiltak og anbefalinger 

For å redusere risikoen ved bruk av VPN som fjernaksessløsning til virksomhetens nettverk, anbefaler NCSC at man etablerer en plan for utfasing av SSLVPN og overgang til IPsec IKEv2. 

  • Arbeidet knyttet til en slik omstilling vil variere basert på blant annet virksomhetens størrelse, antall ansatte, arkitektur, leverandørvalg og bruksområde. Virksomheter bør starte planlegging på kort sikt. 
  • NCSC anbefaler en fullstendig utfasing av SSLVPN som konsept og overgang til IPsec IKEv2 senest innen utgangen av 2025. Dersom virksomheten er underlagt sikkerhetsloven eller på andre måter definert som samfunnskritisk anbefaler NCSC at dette gjøres innen utgangen av 2024. 
  • NCSC ønsker ikke å gi noen særskilt anbefaling for enkelte produktleverandører eller alternative protokoller til IPsec, og har ikke vurdert proprietære løsninger for sikker fjernaksess. Vær oppmerksom på at mange leverandører av VPN-løsninger som benytter TLS (SSLVPN) også tilbyr løsninger eller konfigurasjoner som bruker IPsec med IKEv2. 
  • På lokasjoner hvor det ikke er mulig å opprette IPsec-forbindelse, anbefaler NCSC bruk av 5G fra mobil eller mobilt bredbånd som et alternativ til å avvike fra anbefalingen om IPsec. 

Merk at bruk av IPsec IKEv2 ikke utelukker moderne, sikre, innebygde løsninger i underliggende operativsystem, som f.eks. Always On VPN (ikke DirectAccess) på Windows, eller løsninger som bygger på WireGuard-protokollen og samtidig sørger for sikkerhetsmessige hensyn som bruker- og maskinforvaltning samt sentralisert logging av autentisering og aktivitet.

Anbefalingen vil kunne innebære følgende tiltak:

  • Omkonfigurer eksisterende VPN-løsning til å støtte IPsec IKEv2. Dersom løsningen ikke støtter dette, planlegg for og erstatt løsningen med en som gjør.
  • Migrer brukere og systemer som benytter SSLVPN over på IPsec IKEv2.
  • Skru av SSLVPN-funksjonalitet og verifiser at eventuelle endepunkter ikke svarer.
  • Blokker all innkommende TLS-trafikk til VPN-serveren.
  • Bruk autentisering med sertifikat.

Frem til virksomheten har etablert IPsec IKEv2, anbefaler NCSC følgende tiltak i overgangsperioden:

  • Sørg for at VPN-løsningen logger til et sentralisert loggmottak, og legg til rette for deteksjon og rask oppfølging av mistenkelig aktivitet.
  • Tillat kun innkommende trafikk fra nødvendige land (geofencing).
  • Blokker tilgang fra usikker infrastruktur som anonymiseringstjenester (VPN-leverandører og Tor exit-noder) og VPS-tilbydere

Kilder: