Una connessione Internet separata aumenta la sicurezza per gli utenti remoti?

Naviga le tue risposte
6

Il nostro amministratore di rete ha richiesto che un singolo dipendente remoto acquisti un modem separato nella loro casa per il traffico "di lavoro". Mi chiedo se si tratti di una pratica di sicurezza legittima di qualsiasi tipo, soprattutto perché gli altri dipendenti accedono alle risorse aziendali da casa sempre utilizzando il proprio ISP condiviso.

L'unica differenza tra questo utente e gli altri è che hanno un telefono IP Cisco. Tuttavia, con la crittografia abilitata, non vedo come avere un modem separato accresca la sicurezza, tranne che la rete non avrà altri dispositivi su di essa supponendo che l'utente sia conforme. Tuttavia, il telefono Cisco utilizza la VPN, che a mio avviso si preoccupa di isolare il traffico.

Chiedere a un utente di disporre di due modem separati, uno per il tempo libero e uno per il lavoro, una richiesta di sicurezza legittima che migliori la sicurezza, oppure non migliora affatto la sicurezza?

    
posta J K 17.09.2014 - 00:57
fonte

4 risposte

3

Penso che ci siano molti fattori che potrebbero renderlo una richiesta legittima:

  • altre persone nella casa che potrebbero aver bisogno di segregazione di rete
  • bilanciamento del carico
  • vecchia attrezzatura (ottenere un modem più recente)
  • Configurazioni VPN

Io stesso ho fatto la stessa richiesta a un dipendente remoto per garantire la separazione di utilizzo all'interno della casa di quel dipendente. A volte è semplicemente necessario assicurarsi che il traffico del lavoro non sia in concorrenza con il traffico domestico pesante.

Modifica

Le reti pubbliche sono reti pubbliche, indipendentemente dal fatto che siano Internet o una rete domestica. Se la tua azienda dispone di controlli per attraversare in modo sicuro Internet, dovrebbero avere gli stessi controlli su una rete domestica, a parità di condizioni. Ma a casa non tutte le cose sono uguali. Gli utenti domestici hanno accesso fisico agli endpoint. Questo può cambiare il modello di rischio, a seconda della situazione.

    
risposta data 17.09.2014 - 01:01
fonte
1

Giusto per chiarire, quando dici il modem - intendi proprio questo? O intendi router o modem / router?

Senza una comprensione approfondita dell'infrastruttura a carico dei datori di lavoro, onestamente non vedo come avere un modem separato aumenti la sicurezza. È più importante che lo split tunneling sia disabilitato sul client VPN.

La maggior parte dei moderni router di classe home consente di creare segmenti di rete separati o DMZ.

Chiedere a un utente homer di avere una connessione Internet completamente separata per "ragioni di sicurezza" è asinino. Cosa impedisce a chiunque, oltre al dipendente, di collegarsi a questa connessione Internet? Cosa impedisce al dipendente di utilizzare questa connessione Internet separata per le attività del tempo libero?

A meno che il datore di lavoro non stia installando un router aziendale di proprietà e controllato nella casa del dipendente su questa connessione Internet separata, non hanno realmente separato nulla. Tutto ciò che hanno fatto è un onere finanziario non necessario per il dipendente.

    
risposta data 17.09.2014 - 15:20
fonte
0

Esiste un valore di sicurezza legittimo in questa configurazione, se implementato correttamente. Se quel valore superi il costo e la complessità dovrebbe essere determinata caso per caso.

Il valore di sicurezza è questo: se i dispositivi di lavoro (PC di lavoro, telefono) si trovano su una rete fisicamente separata, i dispositivi stessi non possono essere attaccati da altri dispositivi domestici che potrebbero essere infetti e comportarsi male. Non è necessariamente il traffico che viene protetto (che è gestito da una VPN, come hai detto) ma i dispositivi che generano il traffico. Se possiedi il computer o il telefono, disponi dei dati prima che siano crittografati e potenzialmente anche la possibilità di ruotare nella rete aziendale.

Questo è simile a non consentire alle persone di portare in viaggio dispositivi di proprietà personale e collegarli alla rete, ma a casa per un dipendente remoto ha un valore leggermente maggiore in quanto generalmente non si avrà visibilità sulla propria rete domestica ... Probabilmente non ci sono IDS in esecuzione, e non ci sono certamente avvisi che entrano in NoC se il loro laptop viene attaccato dalla loro scatola da gioco per adolescenti con download. Il modo più semplice per evitare che ciò accada è mettere i dispositivi di lavoro su uno stack di rete fisicamente separato.

    
risposta data 17.09.2014 - 18:58
fonte
0

Nel concetto è una proposta degna, ma ci vuole un po 'di pensiero e sforzo per diventare efficace. Se lo staff IT lo richiede, l'azienda deve anche pagarlo, altrimenti l'utente otterrà la linea più economica e il modem / router disponibile ed a buon mercato spesso significa in qualche modo insicuro. Sta invitando una situazione di collegamento più debole.

Solo una connessione separata senza il controllo, il monitoraggio e la messa in sicurezza del CPE (il modem (dsl?)) e il / i dispositivo / i utente / i hanno poco senso. Il CPE dovrebbe anche supportare l'autenticazione pre-boot e di livello link di qualche tipo. A titolo di esempio, ho scansionato un router wifi soho off-the-shelve e ho scoperto che non consente attacchi DNS così avanzati. Ottimo per dirottare le connessioni.

La crittografia non è affatto una garanzia di sicurezza. Se offre privacy e unicità (non ripudio), è tutto. Se a una estremità della connessione un dispositivo viene compromesso, la crittografia può persino rappresentare una minaccia, poiché può impedire il rilevamento in volo della minaccia.

Una buona protezione EndPoint è molto importante ed è essenziale per qualcuno che lavora da casa, più che avere una connessione dedicata. Questa è la mia opinione su questo naturalmente.

    
risposta data 18.09.2014 - 16:45
fonte

Leggi altre domande sui tag

L'invio di password semplici su SSL come parte di un processo di aggiornamento della password è errato? Perché un server anonimo non può richiedere un certificato client?