美国国家安全局（National Security Agency）本周发布了有关保护IPSec虚拟专用网络安全的指南，因为在冠状病毒大流行之后，美国各地的公司仍在持续远程工作。该安全建议包括各种警告，例如不要依赖供应商提供的配置。

　　NSA的VPN安全指南有两种文档形式：安全VPN指南和带有更详细的配置示例的版本。NSA警告说，许多VPN供应商提供了为其设备预先配置的加密套件和IPSec策略，以及用于兼容性的其他套件。互联网安全关联和密钥管理协议（ISAKMP）和IPSec策略定义了VPN如何相互认证、管理安全关联，以及如何在VPN连接的不同阶段生成密钥。

　　《指南》警告说：“如果将这两个阶段中的任何一个配置为允许过时的加密，则整个VPN都将面临风险，并且数据机密性可能会丢失。”

　　美国国家安全局（NSA）建议管理员确保这些政策符合国家安全系统政策委员会（CNSSP）-15标准，该标准定义了在国家安全系统之间安全共享信息的参数。甚至配置符合CNSSP-15的默认策略可能还不够，因为许多VPN被配置为在默认策略不可用时退回到备用策略。该文件说，如果管理员将供应商的预配置替代产品留在其设备上，则可能会使用不合规的安全策略。

　　IPSec于1990年代引入，是VPN通信的传统协议。它可以用于远程访问或VPN间通信，是SSL/TLS VPN的替代方法，后者提供完全基于浏览器的访问，而无需在客户端使用专用的软件应用程序。

　　NSA还建议管理员缩小其VPN网关的攻击面。由于这些设备主要通过互联网访问，因此它们很容易受到网络扫描，暴力攻击和零日漏洞的攻击。降低此风险的一种方法是，如果使用对等VPN，则将接受的流量限制为已知IP地址。

　　NSA指出：“远程访问VPN出现了远程对等IP地址未知的问题，因此无法将其添加到静态过滤规则中。”但是，管理员仍可以限制对可通过UDP访问的特定端口和协议（例如端口500和4500）的访问。

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　18岁少年被杀害,警方通报简单!姐姐含糊其辞!网友猜测或线后程序员黄雪梅，夺巴黎奥运会大众马拉松女子第一

　　农民钟睒睒谈中美首富对比：马斯克创造科技的边界，我解决美国人没解决的农业问题

　　TUXEDO 推出 InfinityFlex 14 二合一 Linux 笔记本，配 i5-1335U

　　联想小新 27p 显示器开售：27 英寸 4K、65W 供电，1399 元