Se una connessione VPN client-server aziendale laptop dura per giorni?

3

Negli ultimi giorni stavo sperimentando con il letargo del mio laptop contro lo spegnimento giornaliero (sono sempre stato un ragazzo fermo, ma sto cercando di aggiornarmi). Durante i viaggi di lavoro ho utilizzato la VPN aziendale per riconnettermi alla rete aziendale per e-mail, accesso ai file, ecc. Ho effettuato l'accesso alla nostra VPN utilizzando un soft-token che richiede un PIN per ottenere la password di accesso secondario (a numero pseudo-casuale). Nei due giorni successivi ho cambiato più volte la mia posizione e la rete WiFi, semplicemente ibernando il portatile e non spegnendolo mai. Mi aspettavo che la connessione VPN persistesse per brevi periodi di ibernazione (ad esempio un'ora circa), ma rimasi molto sorpreso quando dopo 8 ore di ibernazione durante la notte, la connessione VPN era persistita. Non ho mai dovuto reinserire il numero dal token software. Mi ero aspettato un messaggio sulla falsariga di "mi dispiace - il tempo scaduto. Reinserisci la chiave token per favore"

Ho guardato sia allo scambio di informazioni sulla sicurezza dello stack sia online in generale e non ho trovato alcuna indicazione chiara. Ho notato che diverse organizzazioni che forniscono VPN, come le università, affermano chiaramente nelle loro domande frequenti sulle VPN che la VPN scadrà dopo 8 ore e gli utenti dovrebbero reinserire le proprie credenziali.

Vedo una vulnerabilità: se qualcuno ha la mia password di accesso (che digito ogni volta per riattivare il computer, in modo che possano semplicemente inserirmi nel video) e poi ottiene il computer, ora hanno accesso VPN nella mia azienda . Mi sembra di sconfiggere lo scopo del token soft.

È considerata una best practice di sicurezza quella di "time out" della connessione VPN su una base predeterminata, forzando il rientro delle credenziali? Se sì, quale sarebbe un buon periodo di riferimento per i laptop sui viaggi d'affari?

    
posta Stone True 16.06.2016 - 16:53
fonte

1 risposta

2

Questo dipenderà interamente dal caso d'uso per la maggior parte del personale.

Se in genere eseguono sessioni a lungo termine perché le loro applicazioni o il lavoro lo richiedono, puoi essere certo che provare a passare a una sessione più breve causerà problemi.

Se eseguono principalmente applicazioni che possono funzionare senza sorveglianza e devono essere controllate solo in un secondo momento, potrebbe essere appropriato un tempo di sessione molto breve.

Questa è una delle aree in cui è necessario valutare l'usabilità e la sicurezza. Se sei in una posizione in cui qualcuno ruba il tuo laptop e video o ti guarda mentre inserisci la tua spilla è un rischio realistico, allora forse è appropriato avere una conversazione con il tuo team IT. Quindi no, non esiste una "best practice" in quanto dipende interamente dalle tue esigenze.

La maggior parte delle organizzazioni con cui ho lavorato hanno un token RSA o un token soft come parte della connessione, quindi dovrebbero rubare il token, conoscere il nome utente, la password e il PIN. Tutto senza che io sappia, come potrei chiamare e cancellarlo se sapessi che è stato rubato.

    
risposta data 16.06.2016 - 17:42
fonte

Leggi altre domande sui tag