Jakarta (PARADE.ID)- Badan Keamanan Nasional (NSA) Amerika Serikat (AS) menerbitkan panduan mengamankan IP Security (IPsec) Virtual Private Networks (VPNs). Panduan ini menyoroti pentingnya menggunakan kriptografi yang kuat guna melindungi informasi sensitif yang terkandung dalam lalu lintas saat melintasi jaringan yang tidak dipercaya selama terhubung ke server jarak jauh.
Rekomendasi ini menekankan pentingnya bagi organisasi/perusahaan yang bertransformasi dengan memindahkan sebagian besar tenaga kerjanya ke pekerjaan jarak jauh sejak awal pandemi Covid-19.
“VPN sangat esensial dalam akses jarak jauh dan menghubungkan situs (jarak jauh) dengan aman, tetapi tanpa konfigurasi yang tepat, manajemen tambalan (patch), dan pengerasan (hardening), VPN juga sangat rentan terhadap serangan,” tulis NSA dalam sebuah pernyataan dilansir Bleeping Computer, 2 Juli 2020.
Di antara tindakan yang perlu dilakukan oleh admin jaringan untuk memastikan keamanan VPN seperti organisasi harus mengurangi permukaan serangan, selalu menyesuaikan pengaturan default VPN, dan segera tambal keamanan setelah diterbitkan vendor.
Berikut lima rekomendasi NSA untuk VPN yang aman:
1. Kurangi permukaan serangan terhafap VPN.
2. Verifikasi bahwa algoritma kriptografi sesuai dengan Committee on National Security Systems Policy (CNSSP).
3. Hindari menggunakan pengaturan VPN default.
4. Hapus suite kriptografi yang tidak digunakan atau tidak sesuai.
5. Terapkan pembaruan yang disediakan vendor (mis. Tambalan) untuk gateway VPN dan klien.
Untuk menindaklanjuti rekomendasi tersebut, pengguna juga diminta melakukan beberapa hal. Pertama-tama, administrator disarankan untuk menerapkan aturan penyaringan lalu lintas ketat yang dirancang untuk membatasi port, protokol, dan alamat IP yang dapat digunakan untuk terhubung ke perangkat VPN.
Jika ini tidak memungkinkan, Sistem Pencegahan Intrusi (IPS) dapat membantu “memantau lalu lintas IPsec yang tidak diinginkan dan memeriksa negosiasi sesi IPsec.”
Admin juga perlu memastikan bahwa kebijakan ISAKMP/IKE dan IPsec tidak mengizinkan algoritma kriptografi usang untuk menghindari kompromi kerahasiaan data.
Ketika masuk ke pengaturan VPN default, NSA merekomendasikan menghindari penggunaan wizards, skrip, atau default setting yang disediakan vendor karena mereka mungkin mengkonfigurasi kebijakan ISAKMP/IKE dan IPsec yang tidak patuh.
Menghapus suite kriptografi yang tidak sesuai dan tidak digunakan termasuk sangat direkomendasikan untuk mempertahankan terhadap serangan downgrade, di mana endpoint VPN dipaksa untuk menegosiasikan suite kriptografi yang tidak patuh dan tidak aman, memaparkan lalu lintas VPN terenkripsi pada upaya dekripsi.
Kemudian memastikan tambalan/patch yang disediakan vendor terbaru diterapkan sesegera mungkin, sehingga mengurangi kerentanan keamanan yang baru ditemukan, terutama yang memengaruhi gateway VPN dan klien.
NSA juga mengeluarkan panduan yang memberikan administrator contoh konfigurasi VPN IPsec dan instruksi spesifik tentang cara implementasi tindakan di atas dan memastikan konfigurasi VPN yang paling aman.
Pentingnya Mengamankan VPN
Enkripsi VPN yang sudah usang dapat membahayakan data. Oktober 2019, NSA memperingatkan tentang beberapa kelompok Advanced Persistent Threat (APT) yang didukung negara yang secara aktif membuat persenjataan CVE-2019-11510, CVE-2019-11539, dan kerentanan CVE-2018-13379 untuk membahayakan perangkat VPN yang rentan.
NSA juga mengeluarkan mitigasi untuk klien Pulse Secure, Palo Alto, dan Fortinet, serta rekomendasi tentang cara memperkeras konfigurasi keamanan VPN.
Januari 2020, CISA memperingatkan organisasi untuk menambal server Pulse Secure VPN guna mempertahankan diri dari serangan yang sedang berlangsung, yang mencoba mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE) yang dilacak sebagai CVE-2019-11510.
Peringatan ini mengikuti peringatan lain yang juga dikeluarkan oleh CISA pada Oktober 2019, hingga kemudian NSA menerbitkan hal serupa kemudian diikuti Badan Keamanan Siber Nasional Inggris (NCSC), serta Badan Keamanan Siber Kanada.
Di bulan yang sama, peringatan keamanan FBI menyatakan hacker yang didukung negara melanggar jaringan entitas keuangan AS dan jaringan pemerintah kota AS setelah mengeksploitasi server yang rentan terhadap eksploitasi CVE-2019-11510.
Maret 2020, CISA mengatakan penjahat cyber berhasil menyebarkan ransomware pada sistem rumah sakit AS dan entitas pemerintah dengan bantuan kredensial Active Directory yang dicuri berbulan-bulan setelah mengeksploitasi server Pulse Secure VPN yang tidak dipasangi kerentanan CVE-2019-11510.
Masih bulan yang sama, CISA berbagi tips yang dirancang untuk membantu orang-orang mengimplementasikan program kerja dari rumah dalam rangka mengamankan VPN perusahaan dengan benar. Faktanya, penjahat cyber telah memfokuskan serangan pada pekerja jarak jauh.
(cyberthreat/PARADE.ID)