web-dev-qa-db-ja.com

マルチホームネットワークの問題はどれほど深刻ですか?

マルチホームとは、ワイヤレス接続などを介してインターネットに接続すると同時にLANに接続することを聞いた言葉です。

これは非常に深刻であると聞いたので、私が聞いた特定の大企業は、即座に発砲可能な犯罪にしています。

説明されているように、Joe Hackerはインターネット接続を介してマシンを侵害し、LANにアクセスできるようになります。

これに関する私の質問は、

  1. これは本当に巨大なセキュリティホールですか?
  2. これは(もしあれば)VPNに接続することとどのように異なりますか?それは同じことではありません。
  3. これは、LANとパブリックワイヤレスネットワークに同時に接続することとどのように異なりますか?
  4. LANに接続されていること、ワイヤレスで接続されていること、およびVPNシナリオの両方について、これからどのように保護しますか?
networkingsecurityvpnwifimulti-homed
3
Robert MacLean

  1. Massiveは議論の余地がありますが、セキュリティの問題です。ラップトップマシン(この場合)はインターネットに直接接続されていますそして LANは、一方を他方から保護するための企業ファイアウォール対策を講じていません。

  2. VPNは暗号化されたセッションであり、外部マシンから内部リソースへのアクセスを提供します。多くの点で、感染したPCが依然としてLANに問題を引き起こす可能性がある表面では似ていますが、この場合、トラフィックは、頻繁に監視され、さらに保護できる企業デバイス(VPNサーバー、ファイアウォールなど)を通過します。侵入検知やリスクを最小限に抑えることができるその他のサービスを備えています。対照的に、あなたの例では、PCは侵入者とLANの間の唯一のものです。

  3. 「パブリックワイヤレスネットワーク」は通常、私にとって「インターネット」を意味するため、ここでの違いはわかりません。しかし、同じことが当てはまります。PCはネットワーク間のブリッジとして機能しており、その目的のために保護または設計されていません。

  4. セキュリティで保護されていないマシンからのリモートアクセスは、常にセキュリティ上の課題です。これが、多くの企業のマシンにSymantec Endpoint Securityなどのファイアウォールソフトウェアが装備されており、侵入防止、ウイルススキャン、およびその他のセキュリティメカニズムでさらに保護された承認済みの方法(VPN)を介してLANにアクセスする必要がある理由です。

6
Kevin Kuphal

マルチホーミングは、2つの異なるネットワーク接続に同時に接続しています。 2枚のネットワークカードなど。ただし、セキュリティの問題は、単一の物理接続を介してトンネリングされる追加の仮想ネットワーク接続で説明したように、それだけではありません。

ネットワークセキュリティの専門家は、防御しようとしているネットワークの攻撃対象領域を増やすため、この種の構成を真剣に受け止めます。ワークステーションを企業のイントラネットとパブリックインターネットの間で(ClearWireモデムなどを介して)ブリッジすると、実際にはすべての企業の保護がバイパスされ、2つの間にあるのはマシンだけです。したがって、セキュリティ管理者はそれに注意を払う必要があります。

  1. これは本当に大規模なセキュリティホールですか?かなり大きいです、はい、正しく管理すれば軽減できますが。重要なのはそれを管理することです。不正なClearWireモデムまたは3Gネットワ​​ークドングルは「管理対象」とは見なされないため、最大のペナルティが発生します。
  2. もしあれば)これはVPNに接続することとどのように異なりますか?それは同じことではありませんか? VPNが会社によって管理されている場合、そのVPNに設定できる標準がありますトラフィックが管理されていることを確認してください。または、そうでない場合は、少なくとも、どのユーザーがなんとか通過した悪いトラフィックの原因であるかを知ることができます。一方、VPNが何らかの理由でホームネットワークに対して実行しているVPNである場合、それは「管理されていない」ものとしてカウントされ、#1として扱われます。ホームネットワークがファイアウォールで保護されている場合でも、6つは日曜日のものでした。
  3. (もしあれば)これは、LANとパブリックワイヤレスネットワークに同時に接続することとどのように異なりますか?セキュリティマネージャーに関する限り、の未確認のリモート部分へのVPN接続を確立するインターネットとパブリックワイヤレスネットワークへの接続は、リスク管理に関してはまったく同じです。
  4. これからどのように保護しますか?これは猫とネズミのゲームです。 VPN接続のアウトバウンドを防ぐために、ファイアウォールはVPNのようなトラフィックをブロックしようとするように構成されています。ワイヤレス接続を防ぐために、資産インベントリおよびネットワークアクセス制御ソフトウェアは、許可されているよりも多くのネットワーク接続を持つワークステーションを識別できます。これにより、必要なアクションがトリガーされます。ユーザーは気が利いていて、ほとんどのネットワークアクセス制御を回避する方法を見つけるでしょう(最近はほとんどすべてがHTTPを介してトンネリングできます)ので、このゲームは絶えず進化しています。

覚えておくべきことは、セキュリティマネージャーの観点からは、ホームネットワークへのVPN、階下のスターバックスへのワイヤレス接続、またはインターネット上で裸のClearWireモデムの間に、リスクに関して実際の違いはないということです。 。これらにはそれぞれさまざまなレベルのリスクがありますが、それらを真に自動的に区別することは不可能です。したがって、それぞれを、リモート接続が裸のインターネットに向けられているかのように扱う必要があります。

4
sysadmin1138

基本的に、インバウンド接続またはアウトバウンド接続、あるいはその両方を使用して、会社が設定したセキュリティを迂回します。これらのセキュリティ対策には、従業員のインターネットへのアクセスを制限することが含まれます。そのため、別のワイヤレス接続を取得すると、アウトバウンド接続に設定されたファイアウォールを完全に回避できます。これにより、従業員は会社の時間を無駄にするだけでなく、侵害されたWebサイトを介して内部ネットワークにウイルスを導入する可能性があります。

あるいは、ハッカーに企業ネットワークへの直接ルートを提供し、そこから攻撃を開始することもできます。同様の問題が過去に発生し、IT部門に問い合わせることなく、誰かが会社へのダイヤルアップアクセス用に独自のモデムをセットアップしました。その後、攻撃者は内部ネットワークに完全にアクセスできるようになりました。ヘルム峡谷の要塞のようなものです。誰かが排水のために石の壁に穴を掘るとき、17フィートの厚さの石の壁を持つことはそれほど重要ではありません。

4
Ernie

このコンテキストでマルチホームが使用されるのを聞いたことがありません。マルチホームとは、通常、1台のマシンが複数のアダプターカードを介して2つ以上のネットワークに接続することを意味します。

あなたが説明しているのは、LANにログオンしている間のインターネットブラウジングです。これにはリスクがありますが、同時に実行しているかどうかに関係なく、リスクはほとんど関係ありません。

これらのリスクを軽減するために実行できる手順は多数あります。それは巨大なセキュリティホールですか?かもね。

スプリットトンネリングを使用している場合は、VPNへの接続を「マルチホーム」と見なすことができると思います。

編集して追加

たとえば、マルチホームファイアウォールからのWebサーフィンは、最善のアイデアではありません。

0
GregD