Wireless Hotspot Security

5

Temos dúvidas sobre nossa equipe que usa pontos de acesso sem fio para se conectar à nossa LAN. Usamos uma VPN para se conectar à nossa rede e eles podem transferir dados usando um aplicativo proprietário. A pequena navegação na web que eles fazem é direcionada ao nosso servidor proxy e, portanto, requer que a VPN seja estabelecida primeiro.

Então, minha pergunta é a seguinte: Como podemos proteger melhor o laptop a partir do momento em que ele é iniciado até a conexão VPN?
Eles podem ser conectados a uma rede aberta e insegura por muitos minutos antes de iniciar a VPN.

Nossa preocupação não é tanto farejar dados (já que os dados só serão enviados pela VPN), mas que alguém poderia se conectar ao laptop e comprometê-lo antes da conexão VPN.

Firewalls pessoais são uma opção, mas eles precisam ser efetivos sem entrada do usuário (e de preferência gerenciados centralmente).

Eu estaria interessado em saber como os outros abordaram esse problema e quais soluções eles encontraram.

Atualização:

Uma parte implícita dessa pergunta que eu realmente não fiz é: você considera o firewall do Windows suficientemente robusto, com políticas adequadas, para bloquear o acesso de entrada ou você usa soluções de terceiros?

    
por Chris 31.05.2009 / 17:22

8 respostas

3

Proteger um laptop para funcionários e conectar-se via pontos de acesso é uma tarefa muito difícil, envolvendo segurança em vários níveis e pode ser muito cara em termos de soluções.

Se os dados são dessa importância em sua rede, o que é óbvio, você pode tentar essas coisas ou implementações.

  1. Proteja a unidade física criptografando e bloqueando o sistema, impedindo a execução de qualquer script ou instalação de qualquer programa.
  2. Envie atualizações de segurança testadas regularmente.
  3. Mantenha as regras de firewall rígidas e permita que elas sejam desativadas pelos usuários.
  4. incentive os usuários ou instrua os usuários (MAIS IMPORTANTES) a usar ou conectar somente redes seguras. Também os instrua sobre as ameaças por meio de e-mails ou mensagens e assim por diante.
  5. Desative a rede local usando a política de VPN remota (já vimos isso em ação em quase todos os lugares) para que os dados não possam ser transmitidos para nenhuma outra rede.
  6. Se o custo não é um problema e os dados são de extrema importância, o laptop deve ser um thin client com implementações acima e deve usar um servidor de apresentação citrix ou xen para se conectar a um terminal remoto e trabalhar em ambiente seguro.
por 31.05.2009 / 19:34
2

Você só precisa configurar um firewall em cada laptop para bloquear todo o tráfego de rede (saída e entrada), exceto o pacote necessário para montar e executar a conexão VPN.

No Windows, as configurações do firewall podem ser facilmente gerenciadas pela configuração do GPO no Active Directory.

    
por 31.05.2009 / 17:41
2

Acho que, para ser mais específico, você permitiria que a interface sem fio principal aceitasse os pacotes de "home" (o pool de endereços do servidor VPN) e negasse todos os outros tráfegos de entrada. Em seguida, você configuraria o firewall para permitir que todo o tráfego fosse permitido pelo dispositivo VPN. Parece que você já tem a filtragem adequada coberta no nível da VPN.

    
por 31.05.2009 / 19:30
1

Como dito antes - o firewall do Windows gerenciado pelo AD funcionará. Além disso, você gostaria de definir a senha da conta de administrador local como algo strong. Na minha empresa, implementamos um utilitário de todo o domínio que gerencia centralmente senhas de administradores locais. E você também quer ter todas as atualizações de segurança neles.

    
por 31.05.2009 / 19:29
1

Se você estiver preocupado apenas com os compromissos de entrada até que a VPN esteja conectada, force o Firewall do Windows a ser ativado, bloqueando todo o tráfego de entrada sem exceção. Isso não impedirá o tráfego de saída que inicia uma resposta de entrada, mas bloqueará qualquer tráfego iniciado no exterior até que a VPN seja conectada, o que parece ser sua preocupação declarada. Algumas das outras respostas aqui levam um ou mais passos adiante, se você precisar.

    
por 31.05.2009 / 19:46
0

É o compromisso usual entre conveniência e segurança - você nunca pode ter os dois, infelizmente.

Eu sei que essa não é a resposta que você procura - mas acho que a coisa mais importante aqui é educar os usuários e talvez limitar / restituir quem usa um laptop e quem não usa.

Suponho que você já esteja bloqueando o sistema operacional / software do laptop o máximo possível, mas obviamente isso não significa que ele seja seguro (só que é um pouco mais seguro).

    
por 31.05.2009 / 17:37
0

Veja um recurso do Windows 2008 chamado Proteção do acesso à rede (NAP ) Permite definir políticas sobre o estado das máquinas que você permitirá na sua VPN antes que elas tenham acesso total à sua rede. Por exemplo, você pode certificar-se de que os computadores cliente AV estão atualizados ou estão corrigidos corretamente. Há um monte de políticas que você pode configurar para isso. Ele também tem a capacidade de colocar o cliente em quarentena para que você consiga corrigir essas coisas automaticamente antes de permiti-las na rede.

Isso não responde exatamente à sua pergunta, pois os computadores já estão na VPN, mas acho que essa é provavelmente a melhor abordagem. isto é, conecte-os a uma rede isolada, assegure-se de que eles passam os cheques e, em seguida, conceda-lhes acesso total.

    
por 31.05.2009 / 19:44
0

Alguns clientes VPN são capazes de impor tal política. O cliente VPN Check Point adicionou esse recurso por volta de 2000/2001.

    
por 02.06.2009 / 01:20

Tags