¿La conexión VPN cliente-servidor de una computadora portátil debe durar días?

3

Durante los últimos días estuve experimentando con dejar que mi computadora portátil hibernara en lugar de apagarme a diario (siempre he sido un tipo de apagado, pero estoy intentando actualizarme). Mientras viajaba por negocios, utilicé la VPN corporativa para volver a conectarme a la red de la empresa para correo electrónico, acceso a archivos, etc. Ingresé a nuestra VPN usando un token de software que requiere un PIN para obtener la contraseña de inicio de sesión secundaria (un número pseudoaleatorio). Durante los dos días siguientes cambié mi ubicación y mi red WiFi varias veces, simplemente hibernando la computadora portátil y nunca la apagué. Esperaba que la conexión VPN persistiera durante breves tiempos de hibernación (por ejemplo, una hora más o menos), pero me sorprendió mucho cuando, después de 8 horas de hibernación durante la noche, la conexión VPN había persistido. Nunca tuve que volver a ingresar el número desde el token de software. Esperaba un mensaje como "perdón - se acabó el tiempo. Vuelva a ingresar su clave de token"

Miré tanto en Information Security Stack Exchange como en línea en general y no encontré ninguna guía clara. Noté que varias organizaciones que proporcionan VPN, como las universidades, establecen claramente en sus Preguntas Frecuentes sobre VPN que la VPN expiraría después de 8 horas y los usuarios tendrían que volver a ingresar sus credenciales.

Veo una vulnerabilidad: si alguien tenía mi contraseña de inicio de sesión (la cual escribo cada vez para reactivar la computadora, por lo que simplemente podrían grabarme un video al ingresar) y luego obtiene la computadora, ahora tienen acceso VPN a mi empresa. . Me parece que derrotar el propósito de la ficha suave.

¿Se considera una práctica recomendada de seguridad "suspender" la conexión VPN de forma predeterminada, lo que obliga a volver a ingresar la credencial? Si es así, ¿cuál sería un buen período de referencia para computadoras portátiles en viajes de negocios?

    
pregunta Stone True 16.06.2016 - 16:53
fuente

1 respuesta

2

Esto dependerá completamente del caso de uso para la mayoría del personal.

Si normalmente se ejecutan sesiones de larga duración porque sus aplicaciones o trabajo lo requieren, entonces puede estar seguro de que tratar de pasar a una sesión más corta causará problemas.

Si la mayoría de las aplicaciones ejecutan aplicaciones que pueden funcionar sin supervisión y solo es necesario revisarlas más tarde, puede ser apropiado un período de sesión muy corto.

Esta es una de esas áreas en las que debe sopesar la facilidad de uso y la seguridad. Si está en una posición en la que alguien que le robe su computadora portátil y haga un video o lo vea entrar a su PIN es un riesgo realista, quizás sea apropiado conversar con su equipo de TI. Así que no, no existe una "mejor práctica", ya que dependerá completamente de sus requisitos.

La mayoría de las organizaciones con las que he trabajado tienen un token RSA o un token suave como parte de la conexión, por lo que tendrían que robar el token, conocer el nombre de usuario, la contraseña y el PIN. Todo sin que yo lo sepa, ya que podría llamarlo y cancelarlo si supiera que fue robado.

    
respondido por el Rory Alsop 16.06.2016 - 17:42
fuente

Lea otras preguntas en las etiquetas