O cliente quer rotear todo o meu tráfego de internet através de sua VPN, mas por quê?

Navegue suas respostas
1

Atualmente, estou trabalhando com um cliente no setor de saúde. Parte do trabalho envolverá contato com informações confidenciais de saúde do paciente (PHI). O cliente usa a AWS e mantém seus dados confidenciais dentro de uma nuvem privada virtual.

É necessário que eu me conecte a um servidor VPN para obter acesso aos serviços da AWS. Eles usam o cliente OpenVPN.

Mas eles têm a VPN configurada para que, quando eu estiver conectado a ela, todo o meu tráfego na Internet seja canalizado através do servidor VPN, não apenas o limite de tráfego para seus recursos de rede. Isso diminui a minha conexão com a internet para cerca de 1,5 Mbps, o que não é o ideal.

Eu falei com eles e eles disseram "as regras de segurança impedem qualquer pessoa de qualquer endereço IP, exceto o endpoint VPN, de obter qualquer informação sobre nossas instâncias." Mas a menos que eu esteja perdendo alguma coisa, isso realmente não responde à minha pergunta.

Existe alguma vantagem real de segurança para eles configurarem sua VPN dessa maneira?

    
por Matt Alexander 17.11.2017 / 07:15

2 respostas

7

Você (basicamente) tem dois modos ao se conectar a uma VPN:

  • tunelamento completo: todo o tráfego passa pelo túnel VPN; esta é a configuração que seu cliente usa

  • tunelamento dividido: somente o tráfego destinado à rede remota passa pela VPN; outro tráfego (internet) não

Existem dois riscos envolvidos no tunelamento dividido:

1 - sua conexão com a Internet pode ser comprometida e um invasor pode obter acesso à rede remota através de sua máquina. Sua conexão pode ser segura ou não. O cliente não tem como controlar a segurança da sua conexão com a Internet, portanto, eles garantem que você não tenha acesso à Internet, além da conexão que controlam, enquanto estiver conectado à rede deles.

2 - como explicado por Ron Maupin em um comentário, um usuário dentro da rede remota pode ignorar a segurança interna para obter acesso à Internet através de sua conexão VPN. Eles podem usar isso para procurar sites perigosos ou exportar dados confidenciais.

Além disso, alguns clientes VPN também realizam verificações personalizadas em sua máquina, geralmente para verificar se há software antivírus e se está atualizado, antes de conceder acesso a recursos corporativos.

    
por 17.11.2017 / 08:56
5

Pessoalmente, como um colega consultor, se um cliente impusesse esse tipo de controle sobre mim enquanto realizava um trabalho para eles, eu diria "Sim, eu entendo. Obrigado." e então eu continuaria a ir sobre o negócio que me contratou para. Eu salvaria qualquer navegação não pertinente na internet até que eu estivesse no meu tempo e em minha própria rede. Espero que você esteja fazendo essa pergunta como um exercício acadêmico e não em uma tentativa de contornar seus controles ou para tentar convencê-los de que você acha que eles estão errados.

Se eu não for contratado para implementar, auditar ou aconselhar o cliente sobre suas práticas de segurança atuais, não é da minha conta como consultor questionar essas práticas ou tentar evitá-las.

Como consultor, não cabe a mim impor minha vontade, opiniões ou preferências ao cliente, e não é da minha conta apontar "tudo o que estão fazendo de errado", a menos que isso faça parte do meu contrato contratado. com o cliente. Você encontrará muitos cenários com clientes que o deixarão abanando a cabeça ou imaginando por quê. A melhor coisa a fazer é manter suas opiniões para si mesmo e continuar com o trabalho que eles contrataram e estão pagando por você. É claro, também é nosso dever cuidar dos melhores interesses de nossos clientes, para que possa haver momentos em que você precise falar sobre algo, mas esse não é um desses momentos.

    
por 17.11.2017 / 15:09

Tags

Configuração do desligamento de falta de energia via APC UPS's Qual deve ser a configuração da memória?