A seguito dei problemi registrati con le VPN durante il lockdown, la US National Security Agency (NSA) ha pubblicato una serie di linee guida su come proteggere correttamente i protocolli IPsec delle VPN da potenziali attacchi. L'argomento non è la velocità della VPN in termini di efficienza, ma la sicurezza della connessione stessa.

Come abbiamo avuto modo di precisare in passato, infatti, la VPN da sola non basta. Al contrario di quello che molti pensano, sottoscrivere un abbonamento e attivare la VPN quando ci si connette non è di per sé garanzia di sicurezza. 

NSA riconosce che le VPN sono attualmente un'opzione essenziale per abilitare l'accesso remoto e la connessione sicura. Tuttavia ammonisce che "senza una corretta configurazione, gestione delle patch e protezione avanzata, le VPN sono vulnerabili agli attacchi".

Le regole d'oro

Quello che bisogna fare è ridurre la superficie d'attacco. Si parte con una regola di base universale: gli amministratori di rete devono personalizzare le impostazioni predefinite della VPN. Sono da evitare anche procedure guidate e script predefiniti dal fornitore, perché potrebbero configurare criteri ISAKMP/IKE e IPsec non conformi.

In secondo luogo, è necessario verificare che gli algoritmi di crittografia siano conformi al CNSSP (Committee on National Security Systems Policy). Gli strumenti di crittografia inutilizzati o non conformi devono essere eliminati, perché potrebbero dare corso ad attacchi di downgrade in cui gli endpoint VPN sono costretti a negoziare suite di crittografia non conformi e non sicure, esponendo il traffico VPN a tentativi di decodifica.

Inoltre è caldeggiata l'implementazione di rigorose regole di filtraggio del traffico. Occorre limitare le porte, i protocolli e gli indirizzi IP che possono essere utilizzati per connettersi ai dispositivi VPN. Se ciò non è possibile, meglio adottare un sistema di prevenzione delle intrusioni (IPS) per monitorare il traffico IPsec indesiderato.

Gli amministratori devono inoltre assicurarsi che i criteri ISAKMP/IKE e IPSEC non consentano l'esecuzione di algoritmi di crittografia obsoleti, che potrebbero compromettere la riservatezza dei dati. Ultimo ma non meno importante, è imperativo applicare tutti gli aggiornamenti di sicurezza non appena vengono pubblicati.

La protezione degli endpoint connessi in VPN è fondamentale

Vale la pena ribadire la centralità della protezione degli endpoint. Gastone Nencini di Trend Micro aveva puntualizzato a suo tempo che la VPN dà sicurezza nella trasmissione dell'informazione, non nel contenuto dell'informazione trasmessa. Questo significa che se l'endpoint collegato alla VPN è infetto da malware, questo viene trasferito in maniera criptata all'azienda, quindi bypassando i sistemi di sicurezza a livello di gateway. Il rischio è tutt'altro che remoto. 

Per prevenire il rischio è necessario proteggere gli endpoint. Bisogna tenere aggiornanti tutti i software e i sistemi operativi, e installare soluzioni di prevenzione e controllo. Inoltre è doveroso accertarsi che chi accede al sistema sia una persona affidabile. Si ricorda, infatti, che il primo vettore di attacco per qualsiasi organizzazione è costituito dalle credenziali compromesse. È quindi sconsigliato che i dipendenti in smart working usino le sole credenziali di accesso alla VPN per collegarsi, perché non assicurano una protezione adeguata delle risorse critiche a cui si accede.

Ecco il motivo per il quale molti esperti di sicurezza consigliano di aggiungere un ulteriore livello di sicurezza alle connessioni VPN, con l'autenticazione a più fattori.