Public AP: ¿Cómo reducir la ventana de vulnerabilidad entre Captive Portal y el inicio de VPN?

  

Supongo que otro enfoque es "apostar en AP público siempre que sea posible, y conectarse a una conexión VPN a través de tu teléfono". Sin embargo, mastica los datos.

Básicamente tiene dos estrategias para su riesgo (navegar en un AP público).

• Eliminación: No lo uso
• Mitigación: tomar precauciones para reducir la probabilidad y el impacto de que se divulgue información.

  

¿Cuánto debo preocuparme por la ventana de tiempo en la que estoy en el portal cautivo (la pantalla de acuerdo) y aún no he iniciado mi VPN?

VPN solo te ayudará a cifrar el tráfico de datos, lo que entendí como tu principal preocupación al navegar en un AP público. No podrá navegar de todos modos hasta que pase el "portal cautivo", por lo que no veo mucho riesgo aquí desde una perspectiva de navegación, siempre y cuando la única pestaña que haya abierto sea "pantalla de acuerdo".

Sin embargo, una vez que inicia su Mac, algunas de sus aplicaciones están muy emocionadas esperando una conexión de red. Tan pronto como se conecte con el AP público, intentarán conectarse a Internet (lo cual fallará, ya que probablemente serán más rápidos que usted abriendo el "portal cautivo". Dependiendo de cómo se crearon, existe el riesgo de revelar información). por ejemplo:

• Contraseña en una url [Atrapado por un sniffer]
• Suplantación de DNS [Una aplicación que pretende ser la que su aplicación espera]
• Las pestañas del navegador se abrieron o instalaron complementos [Aunque aquí podría estar protegido por un tiempo de espera])

  

Otras consideraciones

Está muy concentrado en la divulgación de datos en tránsito, sin embargo, existen otros riesgos cuando se conecta a un AP desconocido.

Sin embargo, tenga en cuenta (un ejemplo de muchos otros) que alguien puede escanear sus puertos para atacar a los abiertos que tienen aplicaciones vulnerables que lo escuchan. VPN no te ayudará aquí.

Hay dos enfoques de nivel empresarial (aparte de la prohibición, por supuesto, lo que muchos hacen).

Se puede hacer que el firewall del SO prohíba las conexiones directas de todas las aplicaciones. Esto se puede combinar con alguna aplicación para manejar la conexión VPN inicial. Se debe hacer para permitir el acceso directo a Internet por un período corto o hasta que se realice la conexión VPN. Lo ideal es que también tenga un navegador integrado para permitir el acceso a las páginas del portal cautivo. Esa es en realidad una forma de trabajo razonablemente segura.

La alternativa es usar un conector VPN de terceros como el cliente CISCO. Sin embargo, me temo que no estoy familiarizado con la seguridad de Mac, por lo que no sé qué podría estar disponible. Me han dicho que OpenVPN puede configurarse de forma segura para el portal cautivo, pero una vez más, no estoy familiarizado, me temo. Los mejores clientes VPN que he visto funcionan de manera similar a mi primer punto. Bloquean todo el tráfico de la red, excepto los http (s) que solo se aceptan en el cliente que contiene un navegador integrado. Una vez que se realiza la conexión VPN, se habilita nuevamente el acceso completo a la red. Con Windows, también es posible tener un cliente que reemplace el componente de inicio de sesión de GINA con una versión compatible con VPN, lo que también permite el montaje seguro de las unidades de red durante el inicio de sesión.