Il semble que le travail à distance des salariés se poursuive encore un certain temps et que les entreprises devront maintenir leurs efforts pour connecter leurs employés en toute sécurité. Dans cette optique, il est toujours utile de vérifier que le réseau privé virtuel (VPN) mis en place par l’entreprise n’est pas vulnérable. Dans un document intitulé « Sécuriser les réseaux privés virtuels IPsec » publié récemment, l'Agence américaine de sécurité nationale (NSA) a répertorié les tâches régulières à effectuer pour assurer la sécurité de son réseau [L’ANSSI a également publié un guide sur ce sujet ] :
• Réduire la surface d'attaque de la passerelle VPN.
• Vérifier que les algorithmes cryptographiques sont conformes à la norme 15 du Comité sur la politique des systèmes de sécurité nationale (Committee on National Security Systems Policy - CNSSP).
• Éviter d'utiliser les paramètres VPN par défaut.
• Supprimer les suites cryptographiques inutilisées ou non conformes.
• Appliquer les mises à jour (correctifs) fournies par les éditeurs pour les passerelles et les clients VPN.
Examinons de plus près ces tâches et d'autres que l’on peut accomplir pour verrouiller ses connexions VPN.
Utiliser la dernière version de son logiciel VPN
Il est important de s’assurer que son logiciel VPN est à jour et toujours supporté. En janvier 2020, l’USCert a constaté que les attaquants utilisaient le logiciel VPN Pulse Secure, vulnérable à cette date, pour diffuser des ransomwares sur les réseaux. La vulnérabilité exposait au pire scénario d’attaque possible : « Un attaquant distant et non authentifié pouvait compromettre un serveur VPN vulnérable. Il pouvait accéder à tous les utilisateurs actifs et à leurs identifiants en texte clair. Il pouvait également exécuter des commandes arbitraires sur chaque client VPN en se connectant avec succès au serveur VPN ». Or, la seule manière de protéger son réseau contre ce scénario catastrophe est d'appliquer les correctifs disponibles.
Vérifier les connexions VPN
Examiner ses connexions VPN permet de voir si elles sont aussi sûres que possible. Tout d’abord, il n’est pas inutile de passer en revue ses paramètres afin d'optimiser la gestion des systèmes. Dans un autre article, notre confrère de CSO avait abordé la question de l’usage du split tunneling dans un VPN en relation avec Office 365. Pendant de nombreuses années, la meilleure pratique était de faire passer tout le trafic via le tunnel VPN. Mais avec l’usage du click-to-run et d'Office 365, il est désormais recommandé de diviser ce trafic et de faire passer le service Office 365 par la connexion Internet de l'utilisateur, et de diriger le trafic nécessaire aux tâches de bureau par le VPN.
Si vous utilisez Always On VPN de Microsoft avec l’édition 1709 ou ultérieure de Windows 10 Enterprise et que le périphérique client est relié au domaine, vous pouvez configurer la fonction de tunnel de périphérique. Cette dernière permet à l'ordinateur d'établir une connexion Always On VPN avant que l'utilisateur ne se connecte. Cela permet d'utiliser les informations d'identification mises en cache sans risque. Cet aspect est important, compte tenu du nombre de nouveaux utilisateurs qui se connectent à distance pour la première fois, qui n’a pas pu recevoir de formation sur l'installation et l’utilisation du VPN. Le tunnel de périphérique permet également aux administrateurs de gérer à distance des clients Always On VPN connectés sans qu'un utilisateur ne soit connecté. Enfin, le tunnel de périphérique peut permettre de résoudre les problèmes auxquels sont confrontés les utilisateurs quand les administrateurs modifient et réinitialisent les mots de passe des travailleurs distants ou quand les utilisateurs ont recours à la réinitialisation des mots de passe en libre-service (SSPR).
Filtrer le trafic VPN
Trop souvent, les entreprises se contentent de mettre en place des VPN sans prendre de mesures supplémentaires pour protéger et défendre les ouvertures de VPN. Les attaquants essayent toujours de s’introduire dans les réseaux d’entreprise par les connexions VPN. Il est donc important de définir des règles strictes de filtrage du trafic pour limiter les ports, les protocoles et les adresses IP du trafic réseau aux appareils VPN. Si vous n’avez pas la possibilité de filtrer une adresse IP spécifique (et c'est clairement le cas actuellement), il faut configurer son pare-feu pour qu'il assure l'inspection et la surveillance du trafic IPsec et qu'il inspecte les négociations de session IPsec.
Si vous disposez d’un routeur Cisco, les exemples de liste de contrôle des accès (LCA) suivants permettent de limiter le trafic ISAKMP aux seuls pairs connus :
Access-list deny-ike extended permit udp eq isakmp
Access-list deny-ike extended permit udp eq 4500
Access-list deny-ike extended permit esp
Access-list deny-ike extended deny udp any eq isakmp
Access-list deny-ike extended deny udp any eq
Ensuite, définissez les paramètres et les suites cryptographiques pour qu'ils soient les plus sécurisés possibles. Si vous utilisez des paramètres cryptographiques obsolètes, les attaquants peuvent rompre la connexion et la confidentialité du trafic n’est plus assurée. Comme indiqué dans un document de Cisco, vous pouvez consulter les IPSec SA utilisés actuellement en entrant les commandes suivantes :
• Pour afficher les paramètres utilisés par les IPSec SA actuels, tapez la commande :
show crypto ipsec sa detail
• Pour afficher toutes les IKE SA actuelles à un pair, tapez la commande :
show crypto isakmp sa
Comme indiqué dans la section Configuration des réseaux privés virtuels IPsec (Configuring IPsec Virtual Private Networks), les paramètres minimums recommandés pour ISAKMP/IKE par la norme CNSSP 15 du Committee on National Security Systems Policy à partir de juin 2020 sont les suivants :
• Groupe Diffie-Hellman : 16
• Cryptage : AES-256
• Hash : SHA-384
Pour tout autre fournisseur, consultez la documentation relative à votre pare-feu ou contactez votre fournisseur.
Vérifier les paramètres du VPN
Il faut aussi vérifier les paramètres par défaut ou les assistants utilisés pour configurer le VPN, car ils peuvent avoir activé des paramètres vulnérables plus anciens. La vérification peut se faire pendant la configuration du VPN sur le pare-feu. Si la configuration date de plusieurs années, il y a de fortes chances que les paramètres choisis à l'époque ne soient plus suffisants aujourd’hui. Même si cette étape peut être perturbante, vérifiez vos configurations VPN.
Par exemple, pour les dispositifs Cisco SA, la NSA recommande l’IKEv2, car la mise en œuvre de l'IKEv1 ne prend en charge que le SHA1. Utilisez les commandes suivantes pour configurer ISAKMP/IKE et IPsec Configuration :
IKEv2 :
crypto ikev2 policy 1
encryption [aes-256|aes-gcm-256]
integrity [sha384|sha512]
group [16|20]
IPsec :
crypto ipsec ikev2 ipsec-proposal
protocol esp encryption [aes-256|aes-gcm-256]
protocol esp integrity [sha-384|sha512]
Appliquer les patchs VPN
Comme on a pu le voir avec la vulnérabilité affectant le VPN Pulse, le déploiement de correctifs sur une solution VPN est essentiel pour la sécurité. Comme l'a fait remarquer l'US-Cert, le 24 avril 2019, Pulse Secure publiait un premier avis et des mises à jour logicielles corrigeant de multiples vulnérabilités. Pourtant, le 24 août 2019, Bad Packets a constaté que plus de 14 500 serveurs VPN étaient toujours vulnérables dans le monde : ces serveurs VPN n’avaient pas été corrigés et avaient besoin d'une mise à jour. Les attaques sur les VPN Pulse auraient pu être évitées par simple application du correctif livré par l’éditeur. La vérification des processus d’application des correctifs est importante pour vous assurer que vous pourrez installer les correctifs pour les pares-feux et autres plates-formes VPN en temps voulu.