การเลือกใช้งาน VPN ให้ปลอดภัยตามแบบฉบับของ CISA และ NSA [Part 1]

เมื่อปลายเดือนกันยายนที่ผ่านมา CISA และ NSA ได้ออกประกาศเอกสารที่เกี่ยวกับการเลือกใช้งานและตั้งค่า VPN หรือ Virtual Private Network อย่างไรให้เหมาะสม และมีความปลอดภัย เนื่องด้วยสถานการณ์ Covid-19 ในปัจจุบัน ทำให้มีการ Work from home กันมากขึ้น และแนวโน้มว่าหลังจากสถานการณ์กลับมาเป็นปกติแล้ว ไอเดียของการ Work from Anywhere ที่จะเข้ามาสร้างรูปแบบของการทำงานใหม่ จะยังคงถูกนำมาใช้ในหลาย ๆ องค์กร การใช้งาน VPN จึงเข้ามามีบทบาทสำคัญในการสร้างความปลอดภัยในการใช้งานจากระยะไกล วันนี้ผมเลยอยากจะมาบอกเล่ารายละเอียดต่าง ๆ ในเอกสารที่ทาง CISA และ NSA ได้แนะนำแนวทางการเลือกใช้และตั้งค่า VPN ให้ปลอดภัย ที่องค์กรหรือบุคคลทั่วไปสามารถที่จะนำไปปรับใช้ได้ ในเบื้องต้นกันก่อนครับ

*** เหมาะสำหรับบุคคลทั่วไปที่สนใจ และผู้ที่ทำงานสายไอที ***

CISA และ NSA คือใคร?

Cybersecurity and Infrastructure Security Agency (CISA) หรือ สำนักงานความมั่นคงทางอินเทอร์เน็ตและโครงสร้างพื้นฐาน เป็นหน่วยงานที่ทำหน้าที่พัฒนาด้านความปลอดภัยทางด้านไซเบอร์ของรัฐบาลสหรัฐ

Source : https://en.wikipedia.org/wiki/Cybersecurity_and_Infrastructure_Security_Agency

National Security Agency (NSA) หรือ สำนักงานความมั่นคงแห่งชาติ เป็นหน่วยงานข่าวกรองระดับชาติของกระทรวงกลาโหมสหรัฐ มีความรับผิดชอบในการเฝ้าระวัง รวบรวมข้อมูลข่าวสารจากทั่วโลก เพื่อประโยชน์ในการสืบข่าวกรอง และ ต่อต้านข่าวกรองต่างๆทั้งในและนอกประเทศ

Source : https://en.wikipedia.org/wiki/National_Security_Agency

VPN คืออะไร แบบภาษาบ้าน ๆ เพื่อทำความรู้จัก VPN ในเบื้องต้น

Source : https://computersciencewiki.org/index.php/VPN

VPN หรือ Virtual Private Network (ในที่นี้ผมขอพูดถึงแค่ Remote access VPN ที่นำมาใช้กับการทำงานในออฟฟิศทั่วไปอย่างเดียวก่อนนะครับ) ไอเดียของการเชื่อมต่อแบบ VPN ก็คือการสร้างช่องทางพิเศษ หรือท่อ (Tunnel) ที่เชื่อมต่อระหว่างเครื่องเรา [กรอบสีส้ม] กับระบบภายในของออฟฟิศเรา (Intranet) [กรอบสีเขียว] (ตามรูปด้านบน) โดยที่ช่องทางพิเศษนี้มีการป้องกันเป็นอย่างดี ไม่ให้บุคคลภายนอกสามารถรับรู้ข้อมูลที่อยู่ภายในท่อนี้ได้ ทำให้ข้อมูลสำคัญที่ถูกส่งจากต้นทาง (เครื่องของเรา) ไปยัง ปลายทาง (ออฟฟิศของเรา) จะไม่รั่วไหลไปสู่บุคคลอื่น เช่น แฮกเกอร์ หรือผู้ให้บริการ (ตามรูปด้านล่าง) ซึ่งก็คือ เราสามารถที่จะเข้าถึงพวกไฟล์สำคัญของออฟฟิศ หรือระบบหลังบ้าน (back-end system) ได้อย่างปลอดภัย และมีความเป็นส่วนตัว โดยเราสามารถสร้างท่อเชื่อมต่อกับออฟฟิศเราได้จากทุกที่ผ่านอินเทอร์เน็ต ไม่ว่าเราจะอยู่ที่ไหนก็ตาม ทำให้เรารู้สึกเหมือนกับว่าเรากำลังนั่งทำงานอยู่ที่ออฟฟิศเลยครับ

*** ISP หรือ Internet service provider หมายถึง ผู้ให้บริการอินเตอร์เน็ต ***

*** Intranet หมายถึง ระบบเครือข่ายที่ใช้ภายในองค์กร ***

Source : https://knowbynish.blogspot.com/2020/08/what-is-vpn-and-how-to-use-vpn.html

อย่างไรก็ตาม การเลือกใช้งาน VPN ที่ไม่เหมาะสม อาจทำให้เกิดความเสี่ยงที่ผู้ไม่ประสงค์ดีใช้เป็นช่องทางในการก่อกวน สร้างความเสียหาย และขโมยข้อมูลสำคัญของเราไปได้ ซึ่งมีรูปแบบการโจมตีที่หลากหลาย และจะเพิ่มมากยิ่งขึ้น หากไม่ได้มีการป้องกันที่ถูกต้องและเหมาะสม

รูปแบบการโจมตีผ่าน VPN ที่เคยเกิดขึ้นและอาจจะเกิดขึ้นอีก

Source : https://ubunlog.com/en/a-vulnerability-was-discovered-that-allows-hijacking-vpn-connections/

โดยทั่วไปแล้ว หลังจากมีการค้นพบช่องโหว่ของอุปกรณ์ หรือ Common Vulnerabilities and Exposures (CVEs) ก็จะมีการเปิดเผยกระบวน หรือสคริปต์ที่ใช้ในการโจมตีสู่สาธารณะ เพื่อที่จะให้ผู้ที่ใช้งานอุปกรณ์นั้น ๆ ได้ทำการทดสอบกับระบบของตัวเอง ซึ่งสคริปต์การโจมตีเหล่านี้ ในบางครั้ง ก็ถูกนำไปใช้ในการโจมตีกับระบบที่ยังไม่ได้มีการแก้ไข หรืออัพเดต ในรูปแบบต่าง ๆ เช่น

• Credential harvesting การหลอกล่อให้เปิดเผยบัญชีผู้ใช้งาน
• Remote code execution (RCE) of arbitrary code on the VPN device การรันคำสั่งจากระยะไกลผ่านชุดคำสั่งบนอุปกรณ์ที่เชื่อมต่อ VPN
• Cryptographic weakening of encrypted traffic sessions การเลือกใช้ Algorithms ในการเข้ารหัสที่อ่อนแอเกินไป
• Hijacking of encrypted traffic sessions การขโมยข้อมูล sessions ที่ถูกเข้ารหัส
• Arbitary reads of sensitive data (e.g., configurations, credential, keys) from the device การเข้าถึงไฟล์สำคัญโดยไม่ได้รับอนุญาต

แล้วทำอย่างไร เราถึงจะมั่นใจได้ว่าเราใช้งาน VPN ได้อย่างปลอดภัย ?

Source : Selecting and Hardening Remote Access VPN Solutions Information Sheet

• Selecting standards-based VPNs from reputable vendors หรือการเลือกใช้ผู้ให้บริการ VPN ที่ผ่านการตรวจสอบ และมีความน่าเชื่อถือ มีผลงานที่แสดงให้เห็นว่าสามารถที่จะแก้ไขช่องโหว่ที่เกิดขึ้นได้อย่างรวดเร็ว และ ทำตามแนวปฏิบัติที่ถูกต้อง ด้วยการใช้การยืนยันตัวตนที่มีความปลอดภัยสูง (Strong Authentication credentials)
• Hardening the VPN against compromise ลดพื้นที่ในการโจมตีของ VPN server ลง เป็นการลดโอกาสที่จะเกิดช่องโหว่ในเหล่าแฮกเกอร์ใช้เป็นช่องทางในการโจมตีได้

— เลือกใช้งานการเข้ารหัสที่มีความปลอดภัย (IKE/IPsec)

— อนุญาตให้เข้าถึงการใช้งานฟังก์ชันต่างๆ เท่าที่จำเป็นเท่านั้น

— ป้องกันและสำรวจที่มาที่ไปของการเชื่อมต่อ VPN เสมอ

VPN เข้ามามีส่วนในการช่วยให้การทำงานของเรามีความปลอดภัยมากขึ้น แต่ในแง่ของการใช้งาน VPN นั้น ยังมีทั้งความเสี่ยงให้เราต้องพิจารณาอยู่ เพราะเนื่องจากเป็นช่องทางในการส่งข้อมูลสำคัญ และเข้าถึงทรัพยากรภายในองค์กร จึงอาจตกเป็นเป้าของผู้ไม่ประสงค์ดีได้ ดังนั้นการเลือกใช้งานผู้ให้บริการ VPN ควรเป็นที่ที่ได้รับการตรวจสอบ มีมาตรฐาน มีความน่าเชื่อถือเพียงพอ รวมถึงการเพิ่มความปลอดภัย โดยการตั้งค่าให้ถูกต้องและเหมาะสม จึงมีความสำคัญ เพราะจะช่วยลดความเสี่ยงที่จะเกิดขึ้นได้ ทำให้องค์กรและผู้ใช้งานมีความมั่นใจในการใช้งานมากขึ้น โดยใน part ต่อไป เราจะมาลงรายละเอียดในเรื่องของการสร้างความปลอดภัยให้กับการใช้งาน VPN ในเชิง Technical และลงลึกรายละเอียดมากยิ่งขึ้นกันครับ อย่าลืมไปติดตามกันต่อนะครับบบ J …

#Cybersecurity #VPN #SecureVPN #CISA #NSA

Ref:

• https://media.defense.gov/2021/Sep/28/2002863184/-1/-1/0/CSI_SELECTING-HARDENING-REMOTE-ACCESS-VPNS-20210928.PDF
• https://us-cert.cisa.gov/ncas/current-activity/2021/09/28/cisa-and-nsa-release-guidance-selecting-and-hardening-vpns
• https://www.techtalkthai.com/nsa-and-cisa-guide-how-to-select-and-harden-your-vpn/
• https://computersciencewiki.org/index.php/VPN
• https://en.wikipedia.org/wiki/National_Security_Agency
• https://en.wikipedia.org/wiki/Cybersecurity_and_Infrastructure_Security_Agency
• https://knowbynish.blogspot.com/2020/08/what-is-vpn-and-how-to-use-vpn.html
• https://ubunlog.com/en/a-vulnerability-was-discovered-that-allows-hijacking-vpn-connections/