La password protegge un file VPN abbastanza o abbiamo bisogno di autorizzare i connettori IP?

Naviga le tue risposte
0

Abbiamo una rete AWS a cui è possibile accedere solo dopo aver effettuato il collegamento a una VPN. .opvn .

Al momento, per connettersi alla VPN, il nostro IP deve essere inserito nella whitelist di aws che può essere fatto solo da un piccolo gruppo di persone. Questo può essere fastidioso per i lavoratori remoti che non possono accedere alla VPN se questo gruppo di persone non è in linea.

Ho proposto di aggiungere l'autenticazione nome utente / password / 2 fattori alla configurazione VPN e di eliminare l'approccio alla whitelist IP, tuttavia, vi sono alcuni problemi relativi alla sicurezza.

La mia domanda è: questi dubbi sono validi? L'autenticazione basata su password sarebbe sufficiente visto che è sufficiente accedere alla console che controlla la lista bianca?

    
posta jackdh 27.04.2018 - 11:05
fonte

2 risposte

1

L'utilizzo di un IP come metodo di autenticazione non è una buona pratica. Può essere leggermente utile come secondo fattore, ma è molto meglio affidarsi a metodi di autenticazione reali. L'IP può essere falsificato in molti modi, o l'hacker potrebbe essere in grado di far rimbalzare i dati dalla tua rete, se compromette un dispositivo in esso.

Ti suggerisco di utilizzare l' autenticazione PKI abbinata a TOTP . Il TOTP dovrebbe essere più sicuro dell'utilizzo di una password, poiché un utente malintenzionato in grado di rubare la chiave privata sarà spesso in grado di installare anche un key-logger, ma ciò non sarà di aiuto con TOTP. Puoi aggiungere la password come terzo fattore se vuoi, solo per essere sicuro. Anche se la password non dovrebbe essere necessaria nell'ipotesi che i dipendenti seguano le basilari precauzioni di sicurezza, come avere il telefono con l'app TOTP bloccata, non dovresti mai fidarti degli utenti di fare le cose per bene.

PS: se vuoi davvero investire in sicurezza, puoi anche utilizzare i token fisici. Ma dovrebbe essere completamente inutile nella maggior parte dei casi.

    
risposta data 27.04.2018 - 11:17
fonte
0

Per ottenere la determinazione più istruita di ciò che è meglio per la tua organizzazione, devi verificare quali sono le soluzioni di sicurezza attuali e cosa succederebbe se avessi modificato tali misure di sicurezza.

Qual è lo scopo di avere una whitelist IP. Significa che solo gli indirizzi IP (WAN) specifici possono connettersi al tuo tunnel VPN. Se hai rimosso questa limitazione, permetti alle persone di accedere da qualsiasi luogo. Quindi chiediti questo:
1. I tuoi utenti accedono frequentemente alla connessione VPN all'estero?
2. Avere la whitelist IP ostacola le operazioni abbastanza da dettare la rimozione?
3. Gli utenti sono a rischio di compromettere le loro credenziali? (cioè utilizzano workstation insicure)
4. Stai proteggendo informazioni di alto valore?
5. Puoi modificare la whitelist per aumentare la disponibilità mantenendo anche un certo grado di sicurezza che fornisce (ad esempio, imposta la whitelist per consentire agli indirizzi I.P. dagli Stati Uniti di proteggere da persone che tentano di connettersi da altri paesi.)

Queste sono solo alcune delle domande a cui potrei pensare e sono sicuro che ce ne sono molte altre, ma dovrebbe portarti nella giusta mentalità.

    
risposta data 27.04.2018 - 14:50
fonte

Leggi altre domande sui tag

Parametro del compilatore per isolare un programma C ++ Come convertire una chiave privata del certificato certbot in "RSA codificato PEM non crittografato"?