web-dev-qa-db-ja.com

2つのネットワークに同時に接続することのセキュリティリスク

私の雇用主は、仕事用ネットワークの外で仕事用ラップトップを使用するときに、セキュリティの推奨事項のリストを発行します。セキュリティに関する推奨事項は、データの盗難、ウイルス、その他の不正アクセスなどのリスクに関連しています。私が理解しているほとんどの推奨事項ですが、これは私を驚かせました:

特に2つの異なるネットワーク(ケーブルとwifiなど)に同時に接続しないでください。VPNで[雇用者ネットワーク]に接続している場合は特にそうです。

ケーブルとwifiの両方で同時に接続するというセキュリティ上のリスクはありますか? VPNはこれを悪化させますか?または、この推奨事項は直接役に立ちませんか?

16
gerrit

リスクは、実際には自分のシステムではなく、企業ネットワークに対するものです。私は、プライベートネットワークが安全なファイアウォールを介してのみインターネットに接続されており、VPNを介してそのプライベートネットワークにアクセスできると想定しています。

マシンをパブリックネットワークとVPNに同時に接続させると、メインファイアウォールをバイパスするプライベートネットワークの新しい接続になります。これは、どのセキュリティチームもひどい設定と見なしているものです。外部の攻撃者がファイアウォールを通過することなく、マシンを介してプライベートネットワークにアクセスする可能性があり、セキュリティチームがその痕跡を残す可能性はありません。

心配する必要はありません。この推奨事項は、企業VPNを取得するとすぐに一般的になります。

27
Serge Ballesta

ルーティングテーブルに応じて(企業のラップトップはルートテーブルエントリを定義している場合があります)、ネットワークアダプターの設定、VPNユーザーのトラフィックをフィルターする境界ファイアウォールの有無、IPSまたはIDS、 2つのネットワーク(ケーブル+ wifi、ケーブル+ホットスポットアドホック)(ケーブル+ケーブル)(ブリッジ)(ネットワークが共有として設定されている場合)に接続すると、両方のネットワークのホストが互いにルーティング可能になり、これら2つのネットワーク間でパケットを送受信できるようになります。

つまり、ネットワークがラップトップを信頼している何らかのEPS(エンドポイント保護ソフトウェア)がある場合でも、これらの2つのネットワークを前述の構成にすると、信頼できないホストからの要求は信頼できるものとして扱われる可能性があります。あなたのラップトップからの要求として。

接続がブリッジされていない場合は、接続して2つのネットワーク間でパケットを通過させるルーティングの問題が発生した後でも、心配する必要はありません。非常に基本的には、VPN接続を許可する境界ファイアウォールは、VPNクライアントから発信されていないIPからのパケットを拒否する必要があるためです。

10
Rashad Novruzov

企業ネットワークはほぼ確実に複数のゾーンまたはセキュリティエリアに分割されます。それらの間には、ファイアウォールやその他のセキュリティシステムがあり、これらの領域へのアクセスを制御します。

適切に構成されていないセキュリティデバイスであるマシンを2つのネットワークに同時に接続すると、これら2つのネットワーク間に制御されていないブリッジが作成されます。おそらく2つの異なるセキュリティゾーンにあるネットワーク。安全性の低いゾーンに侵入できたが、セキュリティシステムに侵入して安全性の高いゾーンに侵入できなかった(またはまだ到達できなかった)場合、コンピュータをそのゾーンへのブリッジとして使用して、ITが持つセキュリティシステムを回避できるようになります。構築され、慎重に構成されています。

最悪の場合、一方の側でパブリックネットワーク(オープンなWLANまたはインターネットカフェなど)に接続し、もう一方の側でVPNを介して企業ネットワークの奥深くにあるセキュアゾーンに接続して、複数のセキュリティ層を無効にします。

3
Tom

ほとんどの企業VPNクライアントは(ファイアウォールとルーティングルールによって)、企業VPNに接続するときに、接続している可能性のある他のすべてのネットワークから意図的にコンピューターを隔離します。これは、外部から企業ネットワークに接続するための中間としてコンピュータが使用されないようにするためです。

複数のネットワークに接続する場合、送信接続(VPN接続自体を含む)に使用するネットワークを決定し、必要に応じていつでもそれを変更するかどうかは、コンピューターのオペレーティングシステム次第です。このような変更により、次のことが起こります。

  1. 保護されていない通信を残してVPN接続を切断します(正常なVPN設定では、企業リソースへのそれ以上の通信はできなくなりますが、確実に確認することはできません)。
  2. コンピューターを企業VPNと保護されていないネットワークの両方に同時に接続できるようにするさまざまなファイアウォール/ルーティングルールを提示します。これにより、悪意のある俳優が、コンピュータの未知またはパッチされていない脆弱性を使用して、保護されていないネットワークから企業のネットワークにアクセスできる可能性があります。
1
fraxinus