我们的网络管理员已要求一名远程员工在家中购买单独的调制解调器以用于“工作”流量。我质疑这是否是一种合法的安全做法,特别是因为其他员工一直使用他们共享的家庭 ISP 从家里访问公司资源。
此用户与其他用户之间的一个区别是他们拥有一部 Cisco IP 电话。但是,启用加密后,我看不到单独的调制解调器如何增强安全性,除非假设用户符合要求,网络上不会有其他设备。然而,Cisco 电话使用 VPN,我认为它负责隔离流量。
要求用户拥有两个独立的调制解调器,一个用于休闲,一个用于工作,是增强安全性的合法安全请求,还是根本没有真正提高安全性?
我认为有很多因素可以使它成为一个合法的请求:
我本人也向某个远程员工提出了同样的要求,以确保在该员工家中分离使用。有时只是为了确保工作流量不会与繁重的家庭流量竞争。
编辑
公共网络是公共网络,无论是互联网还是家庭网络。如果您的公司有适当的控制来安全地遍历 Internet,那么他们应该在家庭网络上拥有相同的控制,一切都是平等的。但是,在家里,并非所有事情都是平等的。家庭用户可以物理访问端点。这可以根据情况改变风险模型。
澄清一下,当你说调制解调器时——你的意思是这样吗?还是您的意思是路由器或调制解调器/路由器?
如果没有对雇主端的基础设施有更深入的了解,老实说,我不明白拥有一个单独的调制解调器将如何提高安全性。在 VPN 客户端上禁用拆分隧道更为重要。
大多数现代家庭级路由器都允许创建单独的网段或 DMZ。
出于“安全原因”要求本垒打用户拥有完全独立的互联网连接是愚蠢的。是什么阻止了员工以外的任何人接入此互联网连接?是什么阻止了员工将这种单独的互联网连接用于休闲活动?
除非雇主也在这个单独的互联网连接上在员工家中部署公司拥有和控制的路由器,否则他们并没有真正分离任何东西。他们所做的只是给员工带来了不必要的经济负担。
如果实施得当,此配置中有合法的安全价值。该价值是否超过成本和复杂性必须根据具体情况确定。
安全价值是这样的:如果工作设备(工作 PC、电话)位于物理上独立的网络上,则设备本身不会受到家中其他可能被感染和恶意行为的设备的攻击。受保护的不一定是流量(正如您提到的,由 VPN 处理),而是产生流量的设备。如果您可以拥有计算机或手机,那么您就拥有了加密之前的数据,甚至可能拥有进入公司网络的能力。
这类似于不允许人们将个人拥有的设备带入工作并将它们连接到网络,但对于远程员工在家中它具有更多价值,因为您通常不会看到他们的家庭网络......那里可能没有运行 IDS,如果他们的笔记本电脑受到他们喜欢下载的少年的游戏机的攻击,肯定不会有警报进入 NoC。确保不会发生这种情况的最简单方法是将工作设备放在物理上独立的网络堆栈上。
从概念上讲,这是一个有价值的建议,但需要一些思考和努力才能生效。如果 IT 人员要求这样做,公司也必须为此付费,否则用户将获得最便宜的线路和可用的调制解调器/路由器,而廉价通常在某种程度上意味着不安全。它正在引发最薄弱的环节。
没有控制、监视和保护 CPE((dsl?)调制解调器)和用户设备的单独连接几乎没有意义。CPE 还应该支持某种预引导和链路层身份验证。通过说明,我扫描了一个现成的 soho wifi 路由器,发现它允许不那么高级的 DNS 攻击。非常适合劫持连接。
加密绝不是安全的保证。如果提供隐私和唯一性(不可否认性),就是这样。如果在连接的一端,设备遭到破坏,加密甚至可能是一种威胁,因为它可以防止在飞行中检测到威胁。
良好的端点保护有很长的路要走,对于在家工作的人来说是必不可少的,而不是让他们使用专用连接。这当然是我对此的看法。