Quel est le niveau de sécurité de votre VPN ?
Toujours d’une importance capitale, la sécurité des réseaux privés virtuels (VPN) est désormais impérative compte tenu de la pandémie actuelle de COVID-19. Le travail à distance est rapidement devenu la nouvelle norme et, par conséquent, la demande de fonctionnalités VPN a explosé. Malheureusement, et sans surprise, les attaques contre les VPN ont également fortement augmenté. Soulignant la gravité de la situation, en mars, l'Agence de cybersécurité et de sécurité des infrastructures (CISA) du ministère de la Sécurité intérieure des États-Unis a publié l'alerte AA20-073A sur la sécurité des VPN d'entreprise.
Essentiellement, les VPN étendent le périmètre du réseau de l’entreprise et permettent aux utilisateurs d’accéder aux applications de l’entreprise n’importe où. L’infrastructure sur site devient effectivement « à un saut » (ou à un clic) de l’appareil de l’utilisateur. De même, le risque de sécurité pour les actifs de l’entreprise devient également à portée de main. Les attaquants n’auront peut-être plus besoin de compromettre des couches sophistiquées de sécurité du périmètre (proxies, WAF, détection d’intrusion, etc.), mais une seule vulnérabilité ou une implémentation non sécurisée d’un VPN pourrait exposer les actifs de l’entreprise et les informations personnelles.
Dans cet article, nous nous concentrerons sur certains des domaines clés qui sont essentiels pour évaluer la sécurité de votre VPN.
Position de sécurité des terminaux
Les utilisateurs initient généralement un tunnel VPN SSL à partir de leurs terminaux, tels que les ordinateurs de bureau, les ordinateurs portables et les mobiles. Ces points de terminaison deviennent à la fois des points d’entrée et des cibles privilégiées pour les mauvais acteurs qui tentent de les utiliser comme vecteurs d’attaque. Il est donc important de toujours s’assurer qu’un point de terminaison est sécurisé avant d’établir un tunnel VPN. La sécurité des points de terminaison est une approche stratégique visant à garantir qu'un périphérique client ne présente pas de risque de sécurité avant de se voir accorder une connexion accès à distance au réseau. Une telle stratégie peut impliquer une vérification systématique du certificat de la machine cliente et une vérification du type de client et/ou de la version du navigateur client, une vérification des correctifs du logiciel anti-spyware et antivirus, et l'inspection des règles du pare-feu client, par exemple.
L'évaluation de la posture de sécurité des points de terminaison se produit généralement au début de la session, avant l'établissement d'un tunnel VPN, mais elle peut également se produire périodiquement pendant la session VPN de l'utilisateur. L’évaluation continue de la posture de sécurité des points de terminaison atténue les risques ultérieurs en vérifiant que les points de terminaison n’ont pas été compromis après l’établissement du tunnel VPN initial.
Authentification et autorisation des utilisateurs
L'authentification consiste à vérifier l'identité des utilisateurs avant d'établir un tunnel VPN. La vérification des informations d'identification des travailleurs à distance garantit que seuls les utilisateurs légitimes ont accès aux ressources et applications internes.
Cependant, avec l’essor des méthodes de credential stuffing et de prise de contrôle de compte (ATO), un attaquant pourrait apparemment être en possession d’informations d’identification d’utilisateur valides et contourner l’authentification à facteur unique. Il devient donc essentiel de mettre en place une authentification multifacteur pour votre VPN.
Authentification multifacteur (MFA)
L'authentification multifacteur améliore la sécurité en demandant aux utilisateurs de fournir deux ou plusieurs facteurs d'authentification vérifiables avant d'établir un tunnel VPN. Cette approche permet à l’authentification multifacteur de bloquer efficacement 99,9 % des attaques de prise de contrôle de compte (ATO), selon les estimations du secteur. Les facteurs d’authentification courants sont :
- Quelque chose que l'utilisateur connaît , comme un mot de passe, un code PIN ou un geste sur le pavé tactile
- Quelque chose que l'utilisateur possède , comme un jeton physique ou logiciel ou un certificat
- Quelque chose que l'utilisateur est , c'est-à-dire une entrée biométrique, telle qu'une empreinte digitale, une analyse de la rétine ou une reconnaissance faciale ou vocale.
Une fois l'utilisateur authentifié, les politiques d'autorisation évaluent l'ensemble d'autorisations de l'utilisateur pour accorder un accès spécifique aux ressources et applications internes, ainsi que pour appliquer les restrictions appropriées. L'accès est accordé à l'aide de différents modèles d'autorisation, tels que le contrôle d'accès basé sur les rôles (RBAC). Des privilèges et préférences spécifiques peuvent être appliqués aux utilisateurs VPN en mettant en œuvre des contrôles de sécurité supplémentaires tels que les ACL lors de l'établissement du tunnel VPN.
Confidentialité et intégrité des données
Le cryptage garantit la confidentialité et l'intégrité des données lorsque les données de l'entreprise sont transmises sur des réseaux partagés ou publics via le tunnel VPN.
Pour divulguer des données confidentielles, les acteurs malveillants peuvent tenter de voler des clés privées, d’exploiter des vulnérabilités connues dans la mise en œuvre cryptographique ou de casser des paramètres cryptographiques faibles.
Lors de la configuration d’un VPN SSL, vous devez prendre en compte la gestion des échanges de clés et la force des chiffrements cryptographiques. Les versions antérieures à TLS1.3 contiennent des défauts connus dans la définition du protocole et dans leur implémentation. D'autres exploits incluent l'abus de la renégociation client et l'utilisation de primitives cryptographiques faibles, telles que les chiffrements de flux RC4 et de qualité d'exportation.
Attaques DDoS sur VPN
Lorsque la plupart ou la totalité de vos employés sont des travailleurs à distance, la disponibilité de votre serveur VPN (parfois appelé concentrateur VPN) devient également essentielle pour la continuité des activités. À l’inverse, les serveurs VPN peuvent être une cible de choix pour les acteurs malveillants qui tentent de submerger vos serveurs VPN avec des requêtes automatisées distribuées aléatoirement, rendant ainsi le VPN indisponible pour les utilisateurs légitimes.
Les VPN SSL sont accessibles via une adresse IP/URL (dans le navigateur Web ou configurés dans un client VPN), ce qui les rend sensibles aux mêmes modèles d'attaque DDoS qui ciblent les serveurs Web tels que HTTP flood, SSL flood, SSL renégociation, TCP blend attack, etc.
Par conséquent, pour assurer la continuité des activités via votre VPN, il peut être essentiel de configurer votre VPN pour détecter et atténuer les attaques DDoS dans le cadre de votre stratégie de sécurité plus large.
Autres ressources :