[JustisCERT-varsel] [#054-2024] [TLP:CLEAR] Utfasing av SSLVPN/WebVPN/klientløs VPN

Nasjonalt cybersikkerhetssenter (NCSC) anbefaler å erstatte SSLVPN (også kjent som WebVPN/klientløs VPN) med sikrere alternativer. Amerikanske NSA og CISA har siden 2021 anbefalt å gå bort fra SSLVPN-løsninger [1], den 15.05.2024 kom NCSC med samme anbefaling [2].

Alle SSLVPN-løsninger bør være faset ut/erstattet innen utgangen av 2025. For virksomheter underlagt sikkerhetsloven bør dette skje før utgangen av 2024.

Berørte produkter er:

• VPN-løsninger som benytter Secure Socket Layer/Transport Layer Security (SSL/TLS), ofte kjent som SSLVPN, WebVPN eller klientløs VPN

Anbefalinger:

• Omkonfigurer eksisterende SSLVPN-løsninger til å benytte IPsec IKEv2
• Erstatt/fas ut SSLVPN-løsninger som ikke støtter IPsec IKEv2
• Migrer brukere og systemer som benytter SSLVPN over på IPsec IKEv2
• Skru av SSLVPN-funksjonalitet og verifiser at eventuelle endepunkter ikke svarer
• Blokker all innkommende TLS-trafikk til SSLVPN-servere
• Bruk autentisering med sertifikat
• Patch/oppdater sårbare produkter snarest (abonner på varsler direkte fra leverandør/produsent)
• Skru på automatisk oppdatering der det er mulig
• Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillatt f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
• Blokker tilgang fra usikker infrastruktur som anonymiseringstjenester (VPN-leverandører og Tor exit-noder) og VPS-tilbydere
• Aktiver IPS-signaturer/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger

Kilder:
[1] https://media.defense.gov/2021/Sep/28/2002863184/-1/-1/0/CSI_SELECTING-HARDENING-REMOTE-ACCESS-VPNS-20210928.PDF
[2] https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/ncsc-anbefaler-a-erstatte-sslvpn-webvpn-med-sikrere-alternativer