web-dev-qa-db-ja.com

パブリックAP:キャプティブポータルとVPNの開始の間の脆弱性ウィンドウを減らす方法は?

パブリックAP(コーヒーショップの無料WiFiなど)経由でアクセスするときは常にMacでVPNを使用しています

キャプティブポータル(同意画面)にいて、まだVPNを開始していない時間帯について、どのくらい心配する必要がありますか?私の直感は「たくさん」です。

パブリックAPを使用するように誘惑されたときの最善の方法は何ですか

それは次のようなものでしょうか?

  • VPNを開始する前に更新を試行するブラウザータブがない

  • 接続しようとするバックグラウンドプロセスの数を最小限に抑える

別のアプローチは、「可能な場合は常にパブリックAPをパントし、代わりに電話を介してVPN接続にテザリングする」ことだと思います。データを噛み砕きます。

よりセキュリティに精通している人々は何を提唱していますか?

4
Bucky

別のアプローチは、「可能な場合は常にパブリックAPをパントし、代わりに電話を介してVPN接続にテザリングする」ことだと思います。データを噛み砕きます。

リスクには基本的に2つの戦略があります(パブリックAPでのサーフィン)。

  • 消去:使用しない
  • 緩和:情報が開示される可能性と影響を減らすための予防策を講じます。

キャプティブポータル(同意画面)にいて、まだVPNを開始していない時間帯について、どのくらい心配する必要がありますか?

VPNは、データトラフィックを暗号化するだけで役に立ちます。これは、パブリックAPでサーフィンする際の主な懸念事項であると理解しました。とにかく「キャプティブポータル」を通過するまでサーフィンできなくなるので、開いたタブが「同意画面」だけである限り、ブラウジングの観点からはそれほどリスクはないと思います。

ただし、Macを起動すると、一部のアプリケーションはネットワーク接続を待機して非常に興奮します。パブリックAPに接続するとすぐに、インターネットに接続しようとします(「キャプティブポータル」を開くよりも高速であるため、失敗します。それらがどのように構築されたかによっては、情報が漏洩するリスクがあります。例えば:

  • URL内のパスワード[スニファーがキャッチ]
  • DNSスプーフィング[アプリケーションが想定しているアプリケーションを装ったアプリケーション]
  • 以前に開かれた、またはインストールされたブラウザのタブ[ここでは、タイムアウトによって保護される可能性があります])

その他の考慮事項

転送中のデータの開示に重点を置いていますが、不明なAPに接続する際には他のリスクもあります。

ただし、脆弱なアプリケーションがリッスンしている開いているポートを攻撃するためにポートをスキャンすることで、誰かがポートをスキャンする可能性があることを覚えておいてください(他の多くの一例)。 VPNはここでは役に立ちません。

3
user69377

2つのエンタープライズレベルのアプローチがあります(もちろん禁止されていることを除いて!多くの人が行っています)。

OSファイアウォールは、すべてのアプリケーションからの直接接続を禁止するように作成できます。これを一部のアプリと組み合わせて、初期VPN接続を処理できます。短時間またはVPN接続が確立されるまでインターネットに直接アクセスできるようにする必要があります。キャプティブポータルページへのアクセスを可能にするために、ブラウザも埋め込まれていることが理想的です。それは実際には合理的に安全な作業方法です。

代わりに、CiscoクライアントなどのサードパーティのVPNコネクタを使用することもできます。ただし、Macのセキュリティについてはよく知らないので、何が利用できるかわかりません。 OpenVPNはキャプティブポータル用に安全に設定できると聞いていますが、私もよくわかりません。私が見た中で最高のVPNクライアントは、最初のポイントと同様に機能します。埋め込みブラウザを含むクライアントにのみ受け入れられるhttp(s)を除くすべてのネットワークトラフィックをブロックします。 VPN接続が確立されると、完全なネットワークアクセスが再び有効になります。 Windowsでは、GINAログインコンポーネントをVPN対応バージョンに置き換えるクライアントを使用することもできます。これにより、ログイン中にもネットワークドライブを安全にマウントできます。

2
Julian Knight