Abbiamo firewall meno recenti che non consentono di pianificare i tempi di up / down delle connessioni VPN e stiamo lavorando con un client che dovrà connettersi ad esso in momenti diversi ogni giorno. Quali sono i rischi per la sicurezza (se esistono) di lasciare aperta una connessione VPN a un client?
Abbiamo il profilo completamente bloccato per accedere solo a 1 server specifico tramite 1 protocollo.
Il rischio presentato in un tunnel sempre disponibile è trascurabile, soprattutto se il traffico che lo attraversa è limitato dalle norme del firewall e monitorato per attività sospette.
Il rischio maggiore è un sistema compromesso sulla loro estremità, che viene negato da una buona politica firewall e dal monitoraggio IPS / IDS. Un rischio molto più trascurabile sarebbe un tunnel di imposizione: un sistema canaglia con le loro credenziali IP e pre-condivise o XAUTH. Anche allora, stanno ancora entrando nella politica e IPS / IDS.
Difesa in profondità significa che questo è generalmente un buon compromesso di rischio - dovrebbe essere sicuro per mantenere il tunnel disponibile in ogni momento.
Non dovresti averne bisogno, i firewall sono progettati per eliminare VPN dopo un periodo di inattività. Le VPN arrivano solo quando c'è domanda in primo luogo.
Può darsi che tu abbia una sorta di pacchetto keepalive che sta inchiodando la connessione, come il monitoraggio del traffico o un ping costante. Questo non è un problema dal punto di vista della sicurezza, a patto che si rinegozi le chiavi in base al tempo e al throughput dei dati.