AP pubblico: come ridurre la finestra di vulnerabilità tra Captive Portal e avviare VPN?

I suppose another approach is "punt on public AP whenever possible, and tether to a VPN connection over your phone instead". Chews up data though.

Hai fondamentalmente due strategie per il tuo rischio (navigare su un AP pubblico).

• Eliminazione: non utilizzarlo
• Mitigazione: Prendere precauzioni per ridurre la probabilità e l'impatto di avere informazioni divulgate.

How much should I worry about the window of time where I am in the captive portal (the agreement screen) and have not yet started my VPN?

VPN ti aiuterà semplicemente crittografando il tuo traffico di dati, che ho capito come la tua principale preoccupazione quando navighi su un AP pubblico. Non sarai in grado di navigare comunque finché non passerai il "captive portal", quindi non vedo molti rischi qui da una prospettiva di navigazione, purché l'unica scheda che hai aperto sia la "schermata di accordo".

Tuttavia, una volta avviato il tuo Mac, alcune delle tue applicazioni sono molto eccitate in attesa di una connessione di rete. Non appena ci si connette all'AP pubblico cercheranno di connettersi a Internet (che non funzionerà perché probabilmente saranno più veloci di quelli che aprono il "captive portal". A seconda di come sono stati costruiti, c'è il rischio di rivelare informazioni. ad esempio:

• Password in un url [Catturato da uno sniffer]
• DNS spoofing [Un'applicazione che finge di essere quella che l'applicazione si aspetta]
• Schede del browser precedentemente aperte o installate [Anche qui potresti essere protetto da un timeout])

Other considerations

Sei strongmente focalizzato sulla divulgazione dei dati in transito, tuttavia ci sono altri rischi quando ti colleghi ad un AP sconosciuto.

Tuttavia tieni a mente (un esempio di molti altri) che qualcuno potrebbe scansionare le tue porte per attaccare quelle aperte che hanno applicazioni vulnerabili ad ascoltarle. La VPN non ti aiuterà qui.

Esistono due approcci a livello di impresa (a parte il banning, ovviamente, che molti fanno).

Il firewall del sistema operativo può essere messo al bando delle connessioni dirette da tutte le applicazioni. Questo può essere combinato con alcune app per gestire la connessione VPN iniziale. Dovrebbe essere fatto per consentire l'accesso diretto a Internet per un breve periodo o fino a quando non viene stabilita la connessione VPN. Idealmente dovrebbe anche avere un browser integrato per consentire l'accesso alle pagine del captive portal. Questo è in realtà un modo abbastanza sicuro di lavorare.

L'alternativa è usare un connettore VPN di terze parti come il client CISCO. Tuttavia, temo di non avere familiarità con la sicurezza dei Mac, quindi non so cosa potrebbe essere disponibile. Mi è stato detto che OpenVPN può essere configurato in modo sicuro per captive portal ma, ancora una volta, non mi è familiare ho paura. I migliori client VPN che ho visto funzionano in modo simile al mio primo punto. Bloccano tutto il traffico di rete ad eccezione di http (s), che viene accettato solo nel client che contiene un browser incorporato. Una volta effettuata la connessione VPN, abilitano nuovamente l'accesso completo alla rete. Con Windows, è anche possibile avere un client che sostituisce il componente di login GINA con una versione di VPN - questo consente il montaggio sicuro delle unità di rete anche durante il login.