Úvod
Jeden z nejvíce zajímavých částí mé práce je korespondence, kterou jsem dostal od čtenáře podrobně své vlastní scénáře a otázek. Často slyším od lidí, kteří chtějí nahradit svá současná řešení VPN DirectAccess. Zatímco já jsem vždy rádi, že slyším, že lidé uvažují o nasazení technologie DirectAccess (v části, protože můj manžel pracuje s UAG DirectAccess, a že zprávy mu dělá radost), musím jim připomenout, že zatímco technologie DirectAccess má mnoho vlastností, které by mohl dělat si myslíte, že VPN, DirectAccess není VPN. Ve skutečnosti je to mnohem víc. Jeden způsob, jak pochopit, jak klient DirectAccess se liší od VPN client je dát to do souvislostí s jinými typy klientů v síti a podívejte se na připojení a bezpečnostní otázky, které jsou důležité s každou z těchto typům klientů.
Typy Klientů
Pro zahájení této diskuse, předpokládejme, že existují tři obecné typy klientů, které jsou členy domény a jsou pod administrativní kontrolu. Každý z typů klientů by byl ve větší či menší míře považován za „spravovaného klienta:
- „šroubované-v“ síti corpnet klient
- roaming klient VPN vzdáleného přístupu
- klient DirectAccess
„Šroubované-V“ síti Corpnet Klient
„šroubované-v“ síti corpnet klienta je systém, který může nebo nemusí být doslova přišroubovaný, v, ale buď jak buď, to nikdy neopustí firemní intranet. Tento systém je členem domény, je vždy spravovaný systém a nikdy není vystaven žádným jiným sítím. Jeho přístup k Internetu je vždy řízen firewallem pro kontrolu aplikační vrstvy, jako je firewall TMG. USB a další vyměnitelné mediální sloty jsou administrativně nebo fyzicky uzamčeny a fyzický přístup do budovy, kde sídlí, je povolen pouze zaměstnancům a doprovodným hostům. Tyto systémy mají anti-malware software nainstalován, jsou nastaveny prostřednictvím Zásad Skupiny nebo jiné řízení systému, k udržení požadované konfigurace zabezpečení, a Network Access Protection (NAP) je povoleno na síti, aby se zabránilo nepoctiví systémy připojení k síti a přístup k firemním zdrojům. Brána Firewall systému Windows s pokročilým zabezpečením je povolena a nakonfigurována tak, aby snížila riziko hrozeb způsobených síťovými červy.
Tento koncept „šroubované-v“ síti corpnet klient dostane tak blízko, jak chcete-ideální pro bezpečné klienta jako jeden může představit,:
- systém je nikdy vystavena nedůvěryhodných sítí.
- systém je vždy spravován.
- systém je vždy pod kontrolou podnikového IT.
- přístup do systému je omezen na zaměstnance a doprovázené hosty.
- „mimo pásmo“ přístup do systému je omezen, protože porty pro vyměnitelná média jsou administrativně nebo fyzicky deaktivovány.
- internetový firewall pro kontrolu aplikační vrstvy, jako je TMG, zabraňuje uživatelům stahovat exploity z Internetu.
- NAP snižuje riziko nespravované klientům připojení k síti a šíření malware získané z jiných sítí.
- je nepravděpodobné, že systém bude odcizena z fyzických opatření přijatých k „šroub na“ klienta k fyzické infrastruktuře.
i když si můžete představit, že je to ideální systém z hlediska zabezpečení sítě, jak realistická je tato charakteristika? Kolik klientských systémů máte nyní, že nikdy neopustí corpnet? A i když jsou tyto kontroly zavedeny, jak imunní jsou tyto stroje k útoku? Zvažte následující:
- Sociální inženýrství je běžná metoda, která umožňuje útočníkům získat fyzický přístup k zařízení, které jsou specificky zaměřené tak, aby malware a Trojské koně, může být instalován na „šroubované-v“ síti corpnet klienty.
- I s fyzickými porty zakázána, je pravděpodobné, že uživatelé budou mít přístup k alespoň optický disk – v takovém případě malware získané z některé vnější konání může potenciálně najít svou cestu na „šroubované-v“ síti corpnet klienta.
- Zatímco aplikační vrstva inspection firewall může jít dlouhou cestu směrem k prevenci malware a Trojské koně, od vstupu do corpnet, pokud firewall nemá provádět odchozí SSL (HTTPS) inspekce, je v podstatě bezcenný, protože Trojské koně mohou používat zabezpečené (a uninspected) SSL kanál k dosažení jejich správci. Kromě toho mohou uživatelé využít anonymních serverů proxy prostřednictvím neočekávaného připojení SSL.
- pokud byl Trojan nainstalován na klientovi corpnet“ bolted-in“, dobře napsaný Trojan by použil HTTP nebo SSL pro připojení k jeho řadiči a pravděpodobně se připojil k webu, který dosud nebyl kategorizován jako „Nebezpečný“. I když organizace použila přístup“ bílého seznamu „k zabezpečení, útočník by mohl unést nízkoprofilový“ bezpečný web “ (možná s otravou DNS) a instruovat trojského koně, aby se připojil k tomuto webu, aby mohl přijímat řídicí příkazy.
- uživatelé se mohou pokusit obejít vaše ovládací prvky, pokud nemohou navštívit stránky nebo získat přístup k internetovým zdrojům, které si přejí. Pokud uživatelé používají bezdrátové připojení, které lze snadno odpojit od firemní bezdrátové sítě a připojit se k tethered telefon pro přístup k prostředkům, které jsou blokovány firemní firewall a poté se znovu připojit k síti corpnet poté, co se dostanou, co chtějí. Uživatelé se buď bezdrátové nebo kabelové připojení může být schopen snadno připojit do bezdrátové „vzduch kartu“ připojit k nefiltrovanému sítě a ohrozit zařízení prostřednictvím branou. V tomto scénáři klient corpnet „přišroubovaný“ náhle převezme některé z charakteristik roamingového klienta vzdáleného přístupu.
nejde o to, že provádění bezpečnostní due diligence je poučením z marnosti. Místo toho by mělo být jasné, že i v ideální situaci klienta corpnet“ přišroubovaného “ existuje mnoho věcí, které se mohou pokazit a vést k bezpečnostnímu incidentu. Stále musíte udělat vše pro to, abyste se ujistili,že vaše stroje jsou bezpečné, aktuální a dobře spravované – ale musíte uvést do perspektivy, jak se tito „izolovaní“ a nepohybliví klienti corpnet srovnávají s jinými typy systémů firemních klientů.
konečně a možná nejdůležitější, stojí za zvážení, zda koncept klienta corpnet „šroubovaný“ může být pouze akademickým zájmem. Kolik z těchto klientů dnes existuje v podnikových sítích-zejména v sítích, kde většina zaměstnanců jsou znalostní pracovníci? V úkolu pracovníka prostředí, možná si myslíte, VDI jako schůdné řešení, protože úkoly, které vykonávají, nevyžadují širokou škálu funkcí, které poskytuje kompletní prostředí PC, ale znalostní pracovníci potřebují flexibilitu a výkon poskytovaných plně funkční PC platformu. Kromě toho stále více společností uznává výhody práce z domova a stále více zaměstnanců pracuje z domova nebo se připojuje k corpnetu, zatímco jeden na silnici. Což nás přivádí k:
Roaming Klient VPN Vzdáleného Přístupu
V roce 1990, „šroubované-v“ síti corpnet klient byl normou. Ve druhé dekádě 21. století jsou pracovníci mnohem mobilnější a šroubovaný klient ustoupil roamingovému klientovi VPN pro vzdálený přístup. Znalostní pracovníci mají výkonné notebooky se vzít do práce, do svých domovů, aby zákazník weby, do hotelů, na konferencích, letištích a kdekoliv jinde na světě, kde je připojení k Internetu. A v mnoha případech, poté, co byl v jedné nebo více z těchto míst, přinášejí tyto notebooky zpět na corpnet.
roamingový klient VPN pro vzdálený přístup představuje velmi odlišný profil hrozby ve srovnání s mýtickým klientem corpnet“ bolted-in“. Jako „šroubované-v“ síti corpnet klienta, tyto stroje jsou členy domény, anti-malware nainstalován software, brána Firewall systému Windows s Pokročilým zabezpečením povolena, a jsou zpočátku nakonfigurován tak, aby být plně v souladu s firemní bezpečnostní politiky. Roamingový klientský počítač VPN, když je poprvé doručen uživateli, je stejně bezpečný jako klient corpnet“ bolted-in“.
tento stav konfigurace a zabezpečení však netrvá dlouho. Uživatel se nemusí připojit k corpnetu přes připojení VPN několik dní nebo týdnů. Nebo se uživatel může připojit denně po dobu jednoho nebo dvou týdnů a poté se několik měsíců nepřipojí. Během mezidobí roamingový klientský počítač VPN pomalu, ale jistě vypadne z souladu. Zásady skupiny nejsou aktualizovány, antivirové aktualizace mohou být dokončeny nepravidelně, jiný software proti malwaru může být zastaralý. Kontroly zabezpečení a dodržování předpisů, které jsou uloženy klientům umístěným na corpnet, nemusí nikdy najít cestu k roamingovým klientům VPN se vzdáleným přístupem, protože se včas nepřipojí přes VPN.
roaming VPN klient padá další a další z vašeho definovanými dodržování bezpečnosti, konfigurace a problém se stává zvětší, protože stroj je připojen k počtu sítí nízkého a neznámé věřit. Tyto neřízené nebo špatně spravované sítě může být plné síťové červy a počítače mohou být vystaveny pro uživatele, kteří mají fyzický nebo logický přístup k počítači a kteří by jinak neměli přístup k počítači, pokud to bylo nikdy opustit corpnet.
co se stane, když uživatel přivede Tento počítač, který vypadl z souladu, zpět do podnikové sítě? Co když se počítač stal ohrožen červy, viry, trojskými koni a jinými formami malwaru? Škody může být omezena, pokud máte Přístup k Síti povolena Ochrana na síti, ale kolik sítí proměnily na ZDŘÍMNOUT, i když to bylo k dispozici pro let jako součást Windows Server 2008 a výše uvedené platformě?
uživatel by samozřejmě nemusel ohrožený počítač vracet zpět do sítě. Předpokládejme, že uživatel připojil počítač k řadě různých sítí, vystavil počítač řadě uživatelů neznámé důvěry a skončil s kompromitovaným počítačem. Poté musí uživatel po třech měsících změnit své heslo, aby se připojil přes VPN, aby provedl změnu hesla. Potenciálně katastrofální výsledky zabezpečení by byly stejné, jako kdyby byl počítač skutečně vrácen do fyzické podnikové sítě.
Jak můžete vidět, roaming VPN klient trpí řadu bezpečnostních problémů, ve srovnání s historickými „přišroubován“ klienta:
- roaming je klient VPN je připojen k síti corpnet pro přerušovanou nebo někdy nikdy – a proto spadá mimo dosah Zásad Skupiny a dalších řídicích systémů.
- roaming VPN klient je vystaven neudržovaných a špatně spravované sítě, čímž se zvyšuje potenciál „útočník povrch“, na které roamingu vzdálený přístup VPN klient je vystaven, v porovnání se strojem, který nikdy neopouští corpnet.
- roaming VPN klienti mohou získat přístup k Internetu a uživatelé si mohou dělat, co chtějí, zatímco je připojen na Internetové stránky, protože tam je obvykle žádné filtrování Internetového připojení VPN klient není připojen k síti corpnet.
- pokud je klient VPN nakonfigurován tak, aby zakázal rozdělené tunelování, může být nucen používat brány pro firemní přístup k Internetu během připojení klienta. Jakmile je však připojení VPN přerušeno, může uživatel znovu dělat, co chce – a může sdílet jakýkoli malware nebo trojské koně počítač získaný při odpojení od VPN, když se znovu připojí.
- Uživatelé mohou vyhnout připojení k VPN, protože přihlašovací časy jsou pomalé, připojení je v rozporu, a celý VPN zkušenost je méně než optimální, což dále zvyšuje riziko pádu z dodržování bezpečnosti a zvyšuje riziko pro kompromis.
roaming VPN klient je tedy výrazně liší z hlediska bezpečnosti, ve srovnání s „šroubované-v“ síti corpnet klienta:
- zásady Skupiny mohou nebo nemusí být aktualizovány včas.
- antivirový software může nebo nemusí být včas aktualizován.
- Anti-malware software může nebo nemusí být aktualizován včas.
- jiné metody správy a řízení mohou nebo nemusí být schopny klienta včas znovu nakonfigurovat.
- počet lidí, kteří mají přístup k fyzické VPN klientský počítač je potenciálně větší, než ti, kteří mají přístup k „šroubované-v“ síti corpnet klienta, včetně nejen uživatel, rodinní příslušníci a přátelé, ale také lidé, kteří ve skutečnosti může ukrást počítač.
hlavním rozdílem mezi roaming VPN client a „šroubované-v“ síti corpnet klienta je, že VPN klient ne vždy podařilo, a že je vystavena větší počet programových a fyzické hrozby. Nicméně, tam jsou způsoby, jak zmírnit některé z těchto hrozeb a mnoho firem již zavedených metod, aby tak učinily, jako je například následující:
- Nasazení šifrování disku (například BitLocker) tak, že pokud je počítač ukraden, disk nelze číst pomocí „offline útok“. Šifrování disku může také použít přístupovou metodu založenou na „klíči“ k disku, takže pokud je stroj vypnutý, stroj se nespustí bez klíče.
- vyžadující dvoufaktorové ověření pro přihlášení do stroje, přičemž druhý faktor je také nutný k odemknutí zařízení nebo jeho probuzení ze spánku.
- nasazení NAP nebo podobných technologií pro testování zabezpečení koncových bodů před tím, než je stroji povolen přístup k corpnet. Pokud stroj nemůže opravit, není povolen přístup corpnet.
- zajištění toho, aby uživatelské účty používané k přihlášení do sítě nebyly stejné jako účty správy používané ke správě síťových serverů a služeb, aby se zabránilo útokům na výšku.
- odsunutí datacentra od všech klientů, VPN I corpnet, tak, aby bylo Datacentrum fyzicky a logicky odděleno od celé populace klientů.
použití jednoho z více těchto zmírnění povede dlouhou cestu ke snížení potenciální hrozby vystavené klientům VPN vzdáleného přístupu. I když možná není vyrovnání pole s“ přišroubovaným “ klientem corpnet, mohou existovat scénáře, kdy roamingový klient VPN pro vzdálený přístup může ve skutečnosti představovat nižší riziko. Jeden z nich prozkoumáme později v tomto článku.
klient DirectAccess
nyní se dostáváme k předmětu klienta DirectAccess. Jako VPN klient, tento počítač se může pohybovat od corpnet, na hotelovém pokoji, konferenční centrum, letiště, a nikde jinde, že roaming vzdálený přístup VPN client mohly být umístěny. Technologie DirectAccess klienta, v jeho životě, bude připojen k důvěryhodné a nedůvěryhodné sítě, stejně jako roaming klient VPN vzdáleného přístupu, a riziko fyzického ohrožení počítače je také podobný s roaming klient VPN vzdáleného přístupu. Zdá se tedy, že výsledkem srovnání mezi klientem DirectAccess a klientem VPN je, že jsou z hlediska hrozby v podstatě stejné.
Nicméně, tam jsou některé významné rozdíly mezi roamingu vzdálený přístup VPN klienta a klient DirectAccess:
- klient DirectAccess je vždy podařilo. Dokud je klientský počítač DirectAccess zapnutý a připojen k Internetu, bude mít klient DirectAccess připojení se servery pro správu, které udržují klienta DirectAccess v souladu s konfigurací zabezpečení.
- klient DirectAccess je vždy provozuschopný. Pokud JE třeba spojit, aby klient DirectAccess provádět vlastní konfigurace softwaru nebo řešení problémů problém na DirectAccess klienta, není problém získat přístup, protože připojení mezi klient DirectAccess a řízení stanic, je obousměrný.
- klient DirectAccess používá pro připojení dva samostatné tunely. Klient DirectAccess má přístup pouze ke správě a konfigurační infrastruktuře prostřednictvím prvního tunelu. Obecný přístup k síti není k dispozici, dokud se uživatel nepřihlásí a nevytvoří tunel infrastruktury.
Při porovnání technologie DirectAccess klienta pro vzdálený přístup VPN klient, klient DirectAccess může představovat mnohem menší hrozbu, než je profil VPN klienta, protože klient DirectAccess je vždy v rámci velení a řízení podnikového IT. To je v ostrém kontrastu k roamingu klienti VPN vzdáleného přístupu, které mohou nebo nemusí připojit k podnikové síti po dlouhou dobu, což vede k konfigurační entropie, které mohou výrazně zvýšit riziko systému kompromis. Kromě toho lze výše uvedená zmírnění, která se vztahují na klienta VPN pro vzdálený přístup, použít také s klientem DirectAccess.
zde se dostáváme k bodu kritického rozlišení: při porovnání roamingového klienta VPN vzdáleného přístupu s klientem DirectAccess všechny důkazy ukazují na skutečnost, že klient DirectAccess představuje nižší profil hrozby. Srovnání mezi DirectAccess klienta a „šroubované-v“ síti corpnet klienta jsou pravděpodobně z akademického zájmu pouze – od několik organizací, které tyto „šroubované-v“ klienti už většina firem umožňuje uživatelům s VPN přístup k dosažení corpnet zdrojů,a to jak VPN klienti a klienti DirectAccess se bude pohybovat dovnitř a ven z firemní sítě, aby rozdělení mezi „corpnet klient“ a „remote client“ prakticky bezvýznamné z pohledu bezpečnosti.
Závěr
slyšel jsem počet lidí, kteří vyjadřují znepokojení nad možnými hrozbami, že DirectAccess klient může předložit k podnikové síti, vzhledem k jeho „vždy-na“ schopnosti. Tato obava je však vyjádřena bez ohledu na kontext klienta DirectAccess a na to, jak se porovnává s tradičním klientem VPN pro vzdálený přístup. Z analýzy uvedené v tomto článku, by mělo být jasné, v tuto chvíli, protože klient DirectAccess je vždy podařilo, vždy aktualizován, a to vždy v rámci velení a řízení podnikového IT, jeho škodlivý profil je ve skutečnosti mnohem nižší, než, že předložený klient VPN vzdáleného přístupu.