Oi pessoal,
Minha empresa tem alguns funcionários que viajam e ficam em hotéis sem qualquer segurança na Wi-Fi. Temo que alguém esteja escaneando/monitorando a rede.
Qual a forma mais segura deles usarem esse tipo de Wi-Fi de hotel?
Devo pedir que eles conectem ao VPN corporativo (túnel completo) quando estiverem viajando?
Meu ambiente é Cisco, temos Cisco NGFW, Cisco AMP, Umbrella.
Obrigado, pessoal
Certifique-se de impor o firewall do Windows para redes públicas. A maior parte do tráfego web é criptografada (embora nem tudo), então, se houver preocupações, faça com que eles se conectem à VPN corporativa.
Sim, a VPN de túnel completo criptografará o tráfego na rede não criptografada.
Túnel, não túnel, tanto faz.
Apenas observe seus certificados SSL.
Se você usar túnel e alguém estiver fazendo man-in-the-middle e seu cliente permitir certificados não confiáveis, o túnel não fará diferença.
Se conectar e não usar túnel, mas validar os certificados SSL antes de fazer login em qualquer site, você estará protegido… salvo pelo firewall local e senha de usuário.
Configure seu Cisco NGFW para suportar conexões VPN AnyConnect. Exija que seus usuários usem o AnyConnect antes de navegar. O AnyConnect criptografará todo o tráfego, o que impedirá que malfeitores próximos vejam algo útil.
VPN de túnel completo. Force todo o tráfego, e não importa qual Wi-Fi seja usado, a menos que alguém quebre a VPN e, nesse caso, você terá muito mais problemas.
Este assunto seria melhor postado num grupo de reddit voltado para segurança de TI.
Seu post não faz muito sentido. Qual rede eles estão ‘escaneando/monitorando’?
Eles devem usar a VPN se precisarem de recursos protegidos. Se precisarem de O365, aplicativos web, etc., basta usá-los.
Edição: para qualquer voto negativo, a maior parte do tráfego já está criptografada de qualquer forma, e isso não é uma questão de proteger sua rede corporativa, mas de proteger o usuário. Na minha opinião, não é conteúdo adequado para este grupo.
AnyConnect com início automático antes do login.
Hotspot pessoal e VPN.
VPN de todo o tráfego, que será criptografado antes do Wi-Fi e você estará protegido.
Se a questão for garantir que o tráfego não possa ser espionado, a única maneira fácil de fazer isso é impor uma VPN sempre ligada, que você possa controlar rigorosamente e túnelar todo o tráfego. Não confie na suposição de que, porque a maioria do tráfego web é criptografada, seus usuários são inteligentes o suficiente para ignorar avisos do navegador ou verificar o cadeado em cada site que visitam. E o que dizer do tráfego não-web, como email, VoIP, IM, etc?
Concordo com as ideias de VPN e firewall do Windows. Você pode verificar o AnyConnect Start Before Logon. Isso estabelecerá uma VPN mesmo antes do usuário fazer login no laptop com Windows.
Igualmente importante, se não mais, seria a educação do usuário final, que é sua primeira linha de defesa!!
Obrigado, pessoal! Vocês são os melhores!
Get Palo firewall and connect with GlobalProtect em VPN de túnel completo.
Vocês têm um bom grupo de segurança de TI?
Refiro-me à rede aberta. Tenho medo que alguém esteja escaneando a rede do hotel.
Quero que eles naveguem com segurança enquanto viajam a trabalho.
r/AskNetsec ou r/cybersecurity.
E se o tráfego for escaneado? Quase todo o tráfego na internet hoje em dia é https e, portanto, criptografado.
Quem se importa se alguém estiver. Pode haver alguém espionando o ISP. Ou espionando o roteador do hotel.