¿Una conexión de Internet separada aumenta la seguridad para los usuarios remotos?

6

El administrador de nuestra red ha solicitado que un solo empleado remoto compre un módem separado en su casa para el tráfico de "trabajo". Cuestiono si esta es una práctica de seguridad legítima de cualquier tipo, especialmente porque otros empleados acceden a los recursos de la compañía desde su casa todo el tiempo utilizando su ISP compartido en la casa.

La única diferencia entre este usuario y otros es que tienen un teléfono IP de Cisco. Sin embargo, con el cifrado habilitado, no veo cómo tener un módem separado mejora la seguridad, excepto que la red no tendrá otros dispositivos en él, suponiendo que el usuario sea compatible. Sin embargo, el teléfono de Cisco utiliza VPN, lo que creo que se encarga de aislar el tráfico.

¿Le está pidiendo a un usuario que tenga dos módems separados, uno para el ocio y otro para el trabajo, una solicitud de seguridad legítima que mejora la seguridad, o esto realmente no mejora la seguridad en absoluto?

    
pregunta J K 17.09.2014 - 00:57
fuente

4 respuestas

3

Creo que hay muchos factores que podrían convertirlo en una solicitud legítima:

  • otras personas en el hogar que pueden necesitar segregación de red
  • equilibrio de carga
  • equipo antiguo (obteniendo un módem más nuevo)
  • configuraciones de VPN

Yo mismo he hecho la misma solicitud a cierto empleado remoto para asegurar la separación de uso dentro de la casa de ese empleado. A veces es simplemente para asegurar que el tráfico de trabajo no compita con el tráfico pesado de la casa.

Edit

Las redes públicas son redes públicas, ya sea Internet o una red doméstica. Si su empresa tiene controles establecidos para atravesar de forma segura Internet, deberían tener los mismos controles en una red doméstica, en igualdad de condiciones. Pero, en casa, no todas las cosas son iguales. Los usuarios domésticos tienen acceso físico a los puntos finales. Eso puede cambiar el modelo de riesgo, dependiendo de la situación.

    
respondido por el schroeder 17.09.2014 - 01:01
fuente
1

Solo para aclarar, cuando dices modem, ¿te refieres a eso? ¿O quieres decir enrutador o módem / enrutador?

Sin una comprensión más profunda de la infraestructura en el extremo de los empleadores, honestamente no veo cómo tener un módem separado aumentará la seguridad. Es más importante que el túnel dividido esté deshabilitado en el cliente VPN.

La mayoría de los enrutadores de clase residencial modernos permiten crear segmentos de red o DMZ separados.

Pedirle a un usuario de jonrones que tenga una conexión a Internet completamente separada por "razones de seguridad" no tiene sentido. ¿Qué impide que alguien además del empleado se conecte a esta conexión de Internet? ¿Qué impide que el empleado utilice esta conexión a Internet separada para actividades de ocio?

A menos que el empleador también esté implementando un enrutador de propiedad y control corporativo en la casa del empleado en esta conexión a Internet por separado, realmente no han separado nada. Todo lo que han hecho es poner una carga financiera innecesaria sobre el empleado.

    
respondido por el k1DBLITZ 17.09.2014 - 15:20
fuente
0

Hay un valor de seguridad legítimo en esta configuración, si se implementa correctamente. Si ese valor excede el costo y la complejidad tendría que determinarse caso por caso.

El valor de seguridad es este: si los dispositivos de trabajo (PC de trabajo, teléfono) están en una red físicamente separada, los dispositivos en sí mismos no pueden ser atacados por otros dispositivos en el hogar que puedan estar infectados y comportarse maliciosamente. No es necesariamente el tráfico que se está protegiendo (que es cuidado por una VPN, como usted mencionó) sino los dispositivos que generan el tráfico. Si puede poseer la computadora o el teléfono, entonces tiene los datos antes de que estén cifrados y, potencialmente, incluso la capacidad de pivotar en la red corporativa.

Esto es similar a no permitir que las personas traigan dispositivos personales al trabajo y los conecten a la red, pero en el hogar para un empleado remoto tiene un poco más de valor que generalmente no tendrá visibilidad de su red doméstica ... Es probable que no haya IDS corriendo allí, y ciertamente no hay alertas que lleguen al NoC si su computadora portátil está siendo atacada por la caja de juegos de su adolescente feliz con la descarga. La forma más fácil de garantizar que esto no suceda es colocar los dispositivos de trabajo en una pila de red físicamente separada.

    
respondido por el Xander 17.09.2014 - 18:58
fuente
0

En concepto, es una propuesta que vale la pena, pero se necesita cierta reflexión y esfuerzo para ser efectivo. Si el personal de TI lo exige, la compañía también debe pagarlo, de lo contrario, el usuario obtendrá la línea y el módem / enrutador más baratos disponibles y, a menudo, esto significa inseguridad de alguna manera. Está invitando a una situación de enlace más débil.

Solo tiene una conexión independiente sin controlar, monitorear y asegurar el CPE (el módem (¿dsl?)) y los dispositivos de usuario tienen poco sentido. El CPE también debería admitir la autenticación previa al inicio y de capa de enlace de algún tipo. A modo de ilustración, he escaneado un router wifi de Soho que no está en la estantería y descubrí que no permite ataques de DNS tan avanzados. Excelente para secuestrar conexiones.

El cifrado no es de ninguna manera una garantía de seguridad. Si ofrece privacidad y unicidad (no repudio), eso es todo. Si en un extremo de la conexión se compromete un dispositivo, el cifrado puede ser una amenaza, ya que puede evitar la detección de la amenaza en vuelo.

La buena protección de EndPoint hace mucho y es esencial para alguien que trabaja desde su casa, más que tener una conexión dedicada. Esa es mi opinión sobre esto, por supuesto.

    
respondido por el Saint Crusty 18.09.2014 - 16:45
fuente

Lea otras preguntas en las etiquetas