Implementare e manutenere una connessione VPN sicura è possibile, seguendo le stringenti indicazioni pubblicate da NSA e CISA.
Le VPN sono diventate indispensabili con il primo lockdown. Impossibilitati a lavorare dall'ufficio, milioni di dipendenti hanno dovuto affidarsi alle Virtual Private Network per poter lavorare, perché erano la soluzione più facile e veloce da implementare per criptare i dati da e verso l'azienda, garantendone una certa sicurezza.
Purtroppo, abbiamo visto che spesso la sicurezza è stata solo parziale. Fra i vari problemi, il principale è stato che, ben conoscendo i principi di funzionamento delle VPN, i cyber criminali hanno bersagliato di attacchi i dispositivi di rete VPN.
I cyber criminali, fra cui molti APT, sfruttano le vulnerabilità note per compromettere i dispositivi VPN vulnerabili al fine di rubare credenziali da usare poi per altri attacchi successivi, eseguire codice da remoto, dirottare il traffico crittografato, esfiltrare dati sensibili del dispositivo VPN vulnerabile. Una qualsiasi di queste eventualità comporta una compromissione su larga scala della rete aziendale o dell'infrastruttura, e talvolta anche dei servizi connessi.
Per le molte aziende che usano tuttora le VPN, NSA e CISA hanno pubblicato una guida congiunta su come scegliere e gestire un prodotto VPN in sicurezza. La prima regola d'oro è scegliere un prodotto VPN di fornitori affidabili di comprovata esperienza, che garantiscano tempi brevi per la correzione delle vulnerabilità.
È sconsigliata la scelta di VPN non standard, inclusi tutti i servizi VPN Secure Sockets Layer/Transport Layer Security (SSL/TLS) che sfruttano funzioni non standard per il traffico. NSA e CISA raccomandano VPN Internet Key Exchange/Internet Protocol Security (IKE/IPsec) che rispondono ai requisiti di sicurezza standard per le VPN reperibili nell'elenco PCL (Product Compliant List) della National Information Assurance Partnership (NIAP). I dispositivi certificati NIAP sono rigorosamente testati da laboratori di terze parti per la conformità a funzioni e requisiti di sicurezza ben definiti.
Prima di acquistare un prodotto, NSA e CISA consigliano di verificare se, quando non è in grado di stabilire una connessione VPN IKE/Ipsec, questo attivi l'SSL/TLS, e nel caso se sia possibile disabilitare questa opzione. È inoltre necessario assicurarsi che i prodotti utilizzino moduli crittografici convalidati FIPS e possano essere configurati per utilizzare solo algoritmi crittografici approvati.
Sembra superfluo, ma è importante passare in rassegna anche le funzionalità aggiuntive e valutarle con senso critico. Per esempio, le pagine amministrative accessibili da remoto o l'accesso ai servizi interni basato sul Web sembrano una comodità, ma aumentano la superficie di attacco. Meglio optare per soluzioni che offrono solo funzionalità VPN di base, o per quelle che dispongono di funzionalità aggiuntive disabilitabili o disabilitate per impostazione predefinita.
Per valutare l'affidabilità del software, è bene richiedere il Software Bill of Material (SBOM), così da poter controllare il rischio dei componenti software. Molti fornitori utilizzano versioni obsolete di software open source, alcuni affetti da vulnerabilità note. A tal proposito gli esperti consigliano di sincerarsi che il prodotto disponga di un metodo affidabile per la convalida dell'integrità del codice, e che lo impieghi periodicamente.
Il software dovrebbe inoltre includere protezioni contro le intrusioni, quali per esempio l'uso di file binari e immagini firmware firmate, un processo di secure boot che verifichi il codice di avvio prima di eseguirlo, e la convalida dell'integrità dei processi e dei file di runtime.
In fase di configurazione si deve sempre tenere presente l'eventualità che la VPN venga bucata. Per ridurre la superficie di attacco è quindi mandatorio usare configurazioni avanzate per la crittografia e l'autenticazione, attivando solo le funzionalità strettamente necessarie.
In particolare, gli esperti consigliano di usare solo protocolli di crittografia, algoritmi e credenziali di autenticazione avanzati e approvati. I National Security Systems (NSS) sono tenuti a utilizzare gli algoritmi della suite Commercial National Security Algorithm (CNSA) approvati da NSA. Gli altri sono tenuti a utilizzare gli algoritmi specificati dal NIST.
Come accennato sopra, è importante configurare la VPN per l'utilizzo di IKE/IPsec e disabilitare la funzionalità VPN SSL/TLS e le opzioni di fallback. Qualora fosse necessario utilizzare VPN SSL/TLS, meglio optare esclusivamente per il TLS 1.2 o successivo. In ogni caso sono da disabilitare tutte le versioni precedenti di SSL e TLS.
Per l'autenticazione del server, utilizzare certificati attendibili e aggiornarli periodicamente. È sconsigliato l'uso di certificati autofirmati e con caratteri jolly, che non dovrebbero essere considerati attendibili. Qualora fosse disponibile, utilizzare l'autenticazione del client certificate per i client remoti che tentano di accedere. Così facendo, la VPN vieta le connessioni da client che non presentano certificati attendibili validi. In caso questa opzione non fosse disponibile, meglio attivare altre forme di autenticazione a più fattori per impedire agli eventuali attaccanti di autenticarsi con password compromesse.
Per ridurre la superficie di attacco è mandatorio applicare immediatamente patch e aggiornamenti di sicurezza per mitigare le vulnerabilità note, che vengono spesso sfruttate rapidamente (a volte entro meno di 24 ore). Ogni qualvolta si esegue un aggiornamento importante o un update da una versione vulnerabile che è già stata sfruttata, è bene aggiornare anche le credenziali degli utenti e dell'amministratore. È bene inoltre revocare e rigenerare chiavi e certificati del server VPN.
In generale, l'accesso esterno al dispositivo VPN tramite porte e protocolli dovrebbe essere limitato. Per le VPN IKE/IPsec, dovrebbero essere aperte solo le porte UDP 500 e 4500 con il payload di sicurezza attivo. Per le VPN SSL/TLS, l'unico accesso dovrebbe essere tramite la porta TCP 443.
È fondamentale predisporre una soluzione di prevenzione delle intrusioni a monte della VPN per ispezionare il traffico VPN e bloccare quello indesiderato. È indicato l'uso di Web Application Firewall (WAF) compatibili con il traffico VPN TLS, che possono rilevare e bloccare i tentativi di sfruttamento delle applicazioni Web, ad esempio richieste HTTP che sfruttano le vulnerabilità VPN.
Se disponibili, è bene attivare le funzioni di sicurezza delle applicazioni Web, che possono prevenire tentativi di compromissione delle applicazioni Web VPN, come il riuso dannoso delle informazioni della sessione precedente con l'intento di bypassare l'autenticazione. NSA e CISA ribadiscono poi l'importanza di segmentare la rete per limitare l'accesso a tutta l'infrastruttura. In caso di attacchi, i danni saranno limitati.