Zdá se, že téměř každý měsíc je vydáno oznámení PSIRT o CVE ovlivňujícím Fortinet SSLVPN. Stojí to vůbec za to?
Samozřejmě, že každá společnost vydává upozornění, ale téměř měsíčně a na jedinou funkci.
Tato komponenta je aktivně cílená napříč prodejci, protože je aktivně používána.
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=sslvpn
Fortinet byl v posledních letech více zranitelný.
Ale to není nic výjimečného pro ně. Samozřejmě, každý musí určit, jaké riziko je ochoten akceptovat…
Je to běžný cíl pro bezpečnostní výzkumníky, protože je široce využíván.
SSL-VPN je z hlediska bezpečnosti odpad, protože každý prodejce trvá na používání svého vlastního řešení místo tvorby nebo používání open source řešení. Neslyšíte žádné zprávy o tom, že IPsec dostal kritické CVE.
Pulse a PAN měly podobné problémy, stejně tak SonicWall nebo Sophos nebo Barracuda. Můj názor je: oddělte vzdálený přístup od vašeho síťového zařízení. Osobně jsem velkým příznivcem řešení SASE, ale provozujeme také VPN na vlastním místě, jen na oddělených zařízeních a odlišných prodejcích.
Všechno připojené k WAN bez přísných ACL může být napadeno. To je prostě tak. Používejte EDR, rychle opravujte, to je vše, co můžete dělat.
Jsem si jist, že většina základních mechanismů, jak je SSLVPN spojení zpracováváno, je větším problémem. Ovlivňuje prakticky všechny revize firmware, když je chyba nalezena. Jak již někdo zmínil, je to komponenta, která je cílem u všech prodejců.
Upřednostňuji mít svůj VPN gateway za zařízením schopným detekce v síti, které zároveň poskytuje geo-filtering. Vím, že to nebude přidávat větší hodnotu, ale může poskytnout více kontroly.
Fortinet je jedním z největších hráčů v kybernetické bezpečnosti. Je dobře, že výrobce tak často opravuje bezpečnostní mezery a neustále kontroluje svůj kód. To má nejvyšší bezpečnostní standardy. Bohužel je SSL VPN velmi populárním vstupním bodem pro škodlivé aktéry. Jednou z možností je také navázat spojení přes Fortinet SASE, a pak nemusíte provozovat SSL VPN na bráně, protože funguje v cloudu Fortinet.
IPSec každý den! Nikdy žádné problémy.
Letos je to Fortinet. Loni to bylo Palo Alto. Před dvěma lety Cisco. Příští rok bude něco jiného.
Vaše jediné možnosti jsou:
- SASE/ZTNA
- Používat open source řešení s méně funkcemi. Méně funkcí = méně chyb.
- Neumožňovat vzdálený přístup vůbec
Proč nazývám open source řešení s méně funkcemi: ani OpenVPN, ani ocserv (SSL VPN server kompatibilní s AnyConnect) nepodporují SAML 2.0
Další věc: zpochybňuji, zda ocserv podporuje celý průmyslový standard RADIUS a může zpracovávat RADIUS zprávy Access-Challenge od FortiAuthenticator, které vás vyzývají k zadání rotačního kódu. Plánuji vytvořit testovací prostředí, abych to vyzkoušel.
Vím, že ASA to podporuje pro AnyConnect, stejně tak i řada dalších komerčních řešení.
VPN je nejvíce exponovanou funkcí firewallu směrem k WAN, takže tato funkce je hlavním cílem pro každý firewall a jakého prodejce byste místo toho vybrali? Stačí hledat jejich CVE na VPN 
Vlastně mi “líbí” to, že chyby jsou odhalovány a patchovány, více bych se obával, kdyby několik měsíců žádné chyby nebyly objeveny u tak exponované funkce od jakéhokoliv prodejce - známý/patchovaný bug není problém, ale neznámý/ještě nezveřejněný bug je to, čeho se bojím nejvíce.