AP pubblico: come ridurre la finestra di vulnerabilità tra Captive Portal e avviare VPN?

4

Uso sempre una VPN sul mio Mac quando accedo ad AP pubblici (come il WiFi gratuito nella caffetteria)

Quanto dovrei preoccuparmi della finestra temporale in cui sono nel captive portal (la schermata di accordo) e non ho ancora avviato la mia VPN? La mia impressione è "molto".

Quali sono i migliori approcci quando sei tentato di utilizzare un AP pubblico?

Sarebbe qualcosa di simile:

  • Non hai alcuna scheda del browser che tenterà di aggiornare prima di ottenere la VPN è iniziata

  • Riduci a icona il numero di processi in background che tenteranno di connettere

Suppongo che un altro approccio sia "punt su AP pubblico ogni volta che è possibile, e invece legare ad una connessione VPN sul telefono". Comunque mastica i dati.

Che cosa difendono i più esperti di sicurezza?

    
posta Bucky 09.08.2015 - 00:34
fonte

2 risposte

3

I suppose another approach is "punt on public AP whenever possible, and tether to a VPN connection over your phone instead". Chews up data though.

Hai fondamentalmente due strategie per il tuo rischio (navigare su un AP pubblico).

  • Eliminazione: non utilizzarlo
  • Mitigazione: Prendere precauzioni per ridurre la probabilità e l'impatto di avere informazioni divulgate.

How much should I worry about the window of time where I am in the captive portal (the agreement screen) and have not yet started my VPN?

VPN ti aiuterà semplicemente crittografando il tuo traffico di dati, che ho capito come la tua principale preoccupazione quando navighi su un AP pubblico. Non sarai in grado di navigare comunque finché non passerai il "captive portal", quindi non vedo molti rischi qui da una prospettiva di navigazione, purché l'unica scheda che hai aperto sia la "schermata di accordo".

Tuttavia, una volta avviato il tuo Mac, alcune delle tue applicazioni sono molto eccitate in attesa di una connessione di rete. Non appena ci si connette all'AP pubblico cercheranno di connettersi a Internet (che non funzionerà perché probabilmente saranno più veloci di quelli che aprono il "captive portal". A seconda di come sono stati costruiti, c'è il rischio di rivelare informazioni. ad esempio:

  • Password in un url [Catturato da uno sniffer]
  • DNS spoofing [Un'applicazione che finge di essere quella che l'applicazione si aspetta]
  • Schede del browser precedentemente aperte o installate [Anche qui potresti essere protetto da un timeout])

Other considerations

Sei strongmente focalizzato sulla divulgazione dei dati in transito, tuttavia ci sono altri rischi quando ti colleghi ad un AP sconosciuto.

Tuttavia tieni a mente (un esempio di molti altri) che qualcuno potrebbe scansionare le tue porte per attaccare quelle aperte che hanno applicazioni vulnerabili ad ascoltarle. La VPN non ti aiuterà qui.

    
risposta data 09.08.2015 - 09:32
fonte
1

Esistono due approcci a livello di impresa (a parte il banning, ovviamente, che molti fanno).

Il firewall del sistema operativo può essere messo al bando delle connessioni dirette da tutte le applicazioni. Questo può essere combinato con alcune app per gestire la connessione VPN iniziale. Dovrebbe essere fatto per consentire l'accesso diretto a Internet per un breve periodo o fino a quando non viene stabilita la connessione VPN. Idealmente dovrebbe anche avere un browser integrato per consentire l'accesso alle pagine del captive portal. Questo è in realtà un modo abbastanza sicuro di lavorare.

L'alternativa è usare un connettore VPN di terze parti come il client CISCO. Tuttavia, temo di non avere familiarità con la sicurezza dei Mac, quindi non so cosa potrebbe essere disponibile. Mi è stato detto che OpenVPN può essere configurato in modo sicuro per captive portal ma, ancora una volta, non mi è familiare ho paura. I migliori client VPN che ho visto funzionano in modo simile al mio primo punto. Bloccano tutto il traffico di rete ad eccezione di http (s), che viene accettato solo nel client che contiene un browser incorporato. Una volta effettuata la connessione VPN, abilitano nuovamente l'accesso completo alla rete. Con Windows, è anche possibile avere un client che sostituisce il componente di login GINA con una versione di VPN - questo consente il montaggio sicuro delle unità di rete anche durante il login.

    
risposta data 18.09.2015 - 10:15
fonte

Leggi altre domande sui tag