เป็นเรื่องดีอยู่แล้วที่องค์กรจะใช้งาน VPN อย่างไรก็ดีก็ยังเร็วเกินไปที่จะมั่นใจได้หากไม่มีการตั้งค่าอย่างเหมาะสม ด้วยเหตุนี้เอง NSA จึงออกคำแนะนำสำหรับองค์กรเพื่อเป็นแนวทางให้ใช้งาน IPSec VPN อย่างมั่นคงปลอดภัย
คำแนะนำมีดังนี้
1.) กระชับพื้นที่ในการถูกโจมตี เช่น ทำ Rule เพื่อการคัดกรองทราฟฟิคตามพอร์ท โปรโตคอล และไอพีที่สามารถใช้งานอุปกรณ์ VPN ได้ โดยอาจใช้ความสามารถจาก IPS เข้ามาเพื่อตอบโจทย์ตรงนี้
2.) ตรวจสอบอัลกอริทึมในการเข้ารหัสว่าคอมไพล์กับ Committee on National Security Systems Policy (CNSSP) หรือไม่ ให้แน่ใจว่า Policy ของ ISAKMP/IKE และ IPSec ไม่อนุญาตใช้งานอัลกอริทึมที่ล้าสมัยไปแล้ว
3.) อย่าใช้ค่า Default เช่น หน้า Wizard ที่แนะนำพื้นฐานทั้งหมด สคิร์ปต์ หรือการตั้งค่าจาก Vendor ที่ตั้งค่าแบบ Default เอาไว้ เพราะอาจไม่ได้ทำมาอย่างมั่นคงปลอดภัย
4.) โละ Cryptography suite ที่ไม่ได้มาตรฐานหรือเลิกใช้แล้วเพื่อกันการโจมตีแบบ Downgrade Attack
5.) แพตช์ช่องโหว่ให้ล่าสุดอยู่เสมอ ซึ่งมีการแจ้งเตือนหลายครั้งแล้วถึงช่องโหว่ใน Vendor หลายเจ้า โดยสามารถศึกษาข่าวเก่าได้จาก TechTalkThai