Einleitung
Einer der interessantesten Teile meiner Arbeit ist die Korrespondenz, die ich von Lesern bekomme, die ihre eigenen Szenarien und Fragen beschreiben. Ich höre oft von Leuten, die ihre aktuellen VPN-Lösungen durch DirectAccess ersetzen möchten. Ich freue mich zwar immer zu hören, dass Leute über die Bereitstellung von DirectAccess nachdenken (zum Teil, weil mein Mann mit UAG DirectAccess arbeitet und diese Nachricht ihn glücklich macht), aber ich muss sie daran erinnern, dass DirectAccess zwar viele Eigenschaften aufweist, die Sie möglicherweise an VPN denken lassen, DirectAccess ist kein VPN. In der Tat ist es viel mehr. Eine Möglichkeit zu verstehen, wie sich der DirectAccess-Client vom VPN-Client unterscheidet, besteht darin, ihn mit anderen Clienttypen in Ihrem Netzwerk in Beziehung zu setzen und die Konnektivitäts- und Sicherheitsprobleme zu betrachten, die bei jedem dieser Clienttypen wichtig sind.
Clienttypen
Nehmen wir zu Beginn dieser Diskussion an, dass es drei allgemeine Clienttypen gibt, die Domänenmitglieder sind und unter Ihrer administrativen Kontrolle stehen. Jeder der Clienttypen würde mehr oder weniger als „verwalteter Client“ betrachtet:
- Der „bolted-in“ corpnet Client
- Der Roaming Remote Access VPN Client
- Der DirectAccess Client
Der „Bolted-In“ Corpnet Client
Der „bolted-in“ Corpnet Client ist ein System, das buchstäblich eingeschraubt werden kann oder auch nicht, aber so oder so, es verlässt nie das Unternehmens-Intranet. Dieses System ist ein Domänenmitglied, wird ständig verwaltet und ist niemals anderen Netzwerken ausgesetzt. Der Internetzugang wird immer von einer Inspektionsfirewall auf Anwendungsebene gesteuert, z. B. einer TMG-Firewall. USB- und andere Wechseldatenträgersteckplätze sind entweder administrativ oder physisch gesperrt, und der physische Zugang zum Gebäude, in dem es sich befindet, ist nur Mitarbeitern und begleiteten Gästen gestattet. Auf diesen Systemen ist Anti-Malware-Software installiert, sie werden über Gruppenrichtlinien oder ein anderes Verwaltungssystem konfiguriert, um die gewünschte Sicherheitskonfiguration beizubehalten, und der Netzwerkzugriffsschutz (Network Access Protection, NAP) ist im Netzwerk aktiviert, um zu verhindern, dass sich nicht autorisierte Systeme mit dem Netzwerk verbinden und auf Unternehmensressourcen zugreifen. Die Windows-Firewall mit erweiterter Sicherheit ist aktiviert und konfiguriert, um das Risiko von Bedrohungen durch Netzwerkwürmer zu verringern.
Dieses Konzept des „bolted-in“ corpnet Clients kommt dem Ideal des sicheren Clients so nahe, wie man es sich vorstellen kann:
- Das System ist niemals nicht vertrauenswürdigen Netzwerken ausgesetzt.
- Das System wird immer verwaltet.
- Das System steht immer unter der Kontrolle der Unternehmens-IT.
- Der Zugriff auf das System ist auf Mitarbeiter und begleitete Gäste beschränkt.
- “ Out of Band“ Der Zugriff auf das System ist eingeschränkt, da Ports für Wechselmedien administrativ oder physisch deaktiviert sind.
- Eine Application Layer Inspection Internet Firewall wie TMG verhindert, dass Benutzer Exploits aus dem Internet herunterladen.
- NAP reduziert das Risiko, dass sich nicht verwaltete Clients mit dem Netzwerk verbinden und Malware aus anderen Netzwerken verbreiten.
- Es ist unwahrscheinlich, dass das System gestohlen wird, da physische Maßnahmen ergriffen wurden, um den Client an die physische Infrastruktur zu „binden“.
Während Sie sich vorstellen können, dass dies das ideale System in Bezug auf die Netzwerksicherheit ist, wie realistisch ist diese Charakterisierung? Wie viele Client-Systeme haben Sie jetzt, die das Corpnet nie verlassen? Und selbst mit diesen Kontrollen, wie immun sind diese Maschinen gegen Angriffe? Betrachten Sie Folgendes:
- Social Engineering ist eine gängige Methode, die es Angreifern ermöglicht, physischen Zugriff auf Maschinen zu erhalten, auf die gezielt zugegriffen wird, sodass Malware und Trojaner auf „eingeschraubten“ Corpnet-Clients installiert werden können.
- Selbst wenn physische Ports deaktiviert sind, ist es wahrscheinlich, dass Benutzer Zugriff auf mindestens ein optisches Laufwerk erhalten – in diesem Fall kann Malware, die von einem externen Ort stammt, möglicherweise auf den „eingeschraubten“ Corpnet-Client gelangen.
- Eine Application Layer Inspection Firewall kann zwar einen großen Beitrag dazu leisten, dass Malware und Trojaner nicht in das Corpnet gelangen, aber wenn die Firewall keine ausgehende SSL-Inspektion (HTTPS) durchführt, ist sie im Wesentlichen wertlos, da Trojaner den sicheren (und nicht inspizierten) SSL-Kanal verwenden können, um ihre Controller zu erreichen. Darüber hinaus können Benutzer anonyme Proxys über eine unerwartete SSL-Verbindung nutzen.
- Wenn ein Trojaner auf dem „eingeschraubten“ Corpnet-Client installiert wäre, würde ein gut geschriebener Trojaner HTTP oder SSL verwenden, um eine Verbindung zu seinem Controller herzustellen, und höchstwahrscheinlich eine Verbindung zu einer Site herstellen, die noch nicht als „gefährlich“ eingestuft wurde. Selbst wenn die Organisation einen „White-List“ -Ansatz für die Sicherheit verwendete, könnte der Angreifer eine „sichere Site“ mit niedrigem Profil (möglicherweise mit DNS-Vergiftung) entführen und den Trojaner anweisen, sich mit dieser Site zu verbinden, damit er Steuerbefehle empfangen kann.
- Benutzer können versuchen, Ihre Steuerelemente zu umgehen, wenn sie keine Websites besuchen oder nicht auf die gewünschten Internetressourcen zugreifen können. Wenn Benutzer drahtlose Verbindungen verwenden, können sie problemlos die Verbindung zum Unternehmens-WLAN trennen und eine Verbindung zu einem angebundenen Telefon herstellen, um auf Ressourcen zuzugreifen, die von der Unternehmensfirewall blockiert werden. Benutzer mit einer drahtlosen oder kabelgebundenen Verbindung können möglicherweise problemlos eine drahtlose „Luftkarte“ anschließen, um eine Verbindung zu einem ungefilterten Netzwerk herzustellen und die Maschine über das alternative Gateway zu kompromittieren. In diesem Szenario übernimmt der „eingeschraubte“ Corpnet-Client plötzlich einige der Eigenschaften des Roaming-RAS-Clients.
Der Punkt ist nicht, dass die Durchführung von Security Due Diligence eine Lektion in Sinnlosigkeit ist. Stattdessen sollte klar sein, dass selbst in der idealen Situation des „eingeschraubten“ Corpnet-Clients viele Dinge schief gehen und zu einem Sicherheitsvorfall führen können. Sie müssen immer noch alles tun, um sicherzustellen, dass Ihre Maschinen sicher, auf dem neuesten Stand und gut verwaltet sind – aber Sie müssen relativieren, wie diese „isolierten“ und unbeweglichen Corpnet-Clients mit anderen Arten von Firmenkundensystemen verglichen werden.
Schließlich und vielleicht am wichtigsten ist es eine Überlegung wert, ob das Konzept des „bolted-in“ corpnet Client nur von akademischem Interesse sein könnte. Wie viele dieser Kunden gibt es heute in Unternehmensnetzwerken – insbesondere in Netzwerken, in denen die Mehrheit der Mitarbeiter Wissensarbeiter sind? In einer Task-Worker-Umgebung können Sie sich VDI als praktikable Lösung vorstellen, da die Aufgaben, die sie ausführen, nicht die breite Palette von Funktionen erfordern, die von einer vollständigen PC-Umgebung bereitgestellt werden, aber Wissensarbeiter benötigen die Flexibilität und Leistung, die von einer vollständig aktivierten PC-Plattform bereitgestellt werden. Darüber hinaus erkennen immer mehr Unternehmen die Vorteile der Telearbeit und immer mehr Mitarbeiter arbeiten von zu Hause aus oder verbinden sich unterwegs mit dem Corpnet. Das bringt uns zu:
Der Roaming-Remote-Access-VPN-Client
In den 1990er Jahren war der „eingeschraubte“ Corpnet-Client die Norm. Im zweiten Jahrzehnt des 21.Jahrhunderts sind die Mitarbeiter viel mobiler und der eingeschraubte Client ist dem Roaming-Remote-Access-VPN-Client gewichen. Wissensarbeiter verfügen über leistungsstarke Laptops, die sie zur Arbeit, zu Hause, zu Kundenstandorten, zu Hotels, zu Konferenzen, zu Flughäfen und überall sonst auf der Welt mitnehmen, wo es eine Internetverbindung gibt. Und in vielen Fällen bringen sie diese Laptops nach einem oder mehreren dieser Standorte zurück ins Corpnet.
Der Roaming Remote Access VPN Client stellt ein ganz anderes Bedrohungsprofil dar als der mythische „bolted-in“ Corpnet Client. Wie der „eingeschraubte“ Corpnet-Client sind diese Computer Domänenmitglieder, haben Anti-Malware-Software installiert, haben die Windows-Firewall mit erweiterter Sicherheit aktiviert und sind anfänglich so konfiguriert, dass sie vollständig mit der Unternehmenssicherheitsrichtlinie kompatibel sind. Der Roaming-VPN-Client-Computer ist bei der ersten Auslieferung an den Benutzer so sicher wie der „eingeschraubte“ Corpnet-Client.
Dieser Konfigurations- und Sicherheitsstatus hält jedoch nicht lange an. Möglicherweise stellt der Benutzer über die VPN-Verbindung tagelang oder wochenlang keine Verbindung zum Corpnet her. Oder der Benutzer kann eine oder zwei Wochen lang täglich eine Verbindung herstellen und dann einige Monate lang keine Verbindung herstellen. In der Zwischenzeit fällt der Roaming-VPN-Client-Computer langsam aber sicher aus der Compliance. Gruppenrichtlinien werden nicht aktualisiert, Antiviren-Updates werden möglicherweise unregelmäßig abgeschlossen, andere Anti-Malware-Software ist möglicherweise veraltet. Sicherheits- und Compliance-Kontrollen, die Clients im Corpnet auferlegt werden, finden möglicherweise nie den Weg zu den Roaming-RAS-VPN-Clients, da sie keine zeitnahe Verbindung über das VPN herstellen können.
Der Roaming-VPN-Client fällt immer weiter aus Ihrer definierten Sicherheits-Compliance-Konfiguration heraus und das Problem wird vergrößert, da der Computer mit einer Reihe von Netzwerken mit geringer und unbekannter Vertrauenswürdigkeit verbunden ist. Diese nicht verwalteten oder schlecht verwalteten Netzwerke können voller Netzwerkwürmer sein, und der Computer kann Benutzern ausgesetzt sein, die physischen oder logischen Zugriff auf den Computer haben und sonst keinen Zugriff auf den Computer hätten, wenn er das Corpnet niemals verlassen würde.
Was passiert, wenn der Benutzer diesen Computer, der nicht mehr konform ist, wieder in das Unternehmensnetzwerk einbringt? Was ist, wenn der Computer durch Würmer, Viren, Trojaner und andere Formen von Malware kompromittiert wurde? Der Schaden kann begrenzt sein, wenn Sie den Netzwerkzugriffsschutz im Netzwerk aktiviert haben, aber wie viele Netzwerke haben NAP tatsächlich aktiviert, obwohl es seit Jahren als Teil der Windows Server 2008-Plattform und höher verfügbar ist?
Natürlich müsste der Benutzer den kompromittierten Computer nicht einmal zurück ins Netzwerk bringen. Angenommen, der Benutzer hatte den Computer mit einer Reihe verschiedener Netzwerke verbunden, den Computer einer Reihe von Benutzern unbekannten Vertrauens ausgesetzt und einen kompromittierten Computer erhalten. Dann muss der Benutzer sein Passwort nach drei Monaten ändern, damit er sich über VPN verbindet, um die Passwortänderung durchzuführen. Die potenziell katastrophalen Sicherheitsergebnisse wären die gleichen, als ob der Computer tatsächlich an das physische Unternehmensnetzwerk zurückgegeben würde.
Wie Sie sehen können, leidet der Roaming-VPN-Client unter einer Reihe von Sicherheitsproblemen im Vergleich zum historischen „eingeschraubten“ Client:
- Der Roaming-VPN-Client ist zeitweise oder manchmal nie mit dem Corpnet verbunden und fällt daher außerhalb der Reichweite von Gruppenrichtlinien und anderen Verwaltungssystemen.
- Der Roaming-VPN-Client ist nicht verwalteten und schlecht verwalteten Netzwerken ausgesetzt, wodurch die potenzielle „Angreiferoberfläche“, der der Roaming-RAS-VPN-Client ausgesetzt ist, im Vergleich zu der Maschine, die das Corpnet niemals verlässt, erhöht wird.
- Die Roaming-VPN-Clients können auf das Internet zugreifen und die Benutzer können tun, was sie wollen, während sie mit Internetseiten verbunden sind, da es normalerweise keine Filterung von Internetverbindungen gibt, wenn der VPN-Client nicht mit dem Subnetz verbunden ist.
- Wenn der VPN-Client so konfiguriert ist, dass Split-Tunneling deaktiviert wird, ist er möglicherweise gezwungen, während der Verbindungszeit des Clients Unternehmensinternet-Zugangs-Gateways zu verwenden. Sobald die VPN-Verbindung jedoch unterbrochen ist, kann der Benutzer wieder tun, was er will – und kann Malware oder Trojaner freigeben, die der Computer erworben hat, während er vom VPN getrennt wurde, wenn er erneut eine Verbindung herstellt.
- Benutzer vermeiden möglicherweise die Verbindung zum VPN, da die Anmeldezeiten langsam sind, die Konnektivität inkonsistent ist und die gesamte VPN-Erfahrung nicht optimal ist.
Der Roaming-VPN-Client unterscheidet sich daher aus sicherheitstechnischer Sicht erheblich vom „eingeschraubten“ Corpnet-Client:
- Die Gruppenrichtlinie kann zeitnah aktualisiert werden oder auch nicht.
- Antivirensoftware wird möglicherweise nicht rechtzeitig aktualisiert.
- Anti-Malware-Software wird möglicherweise nicht rechtzeitig aktualisiert.
- Andere Verwaltungs- und Kontrollmethoden können den Client möglicherweise nicht rechtzeitig neu konfigurieren.
- Die Anzahl der Personen, die Zugriff auf den physischen VPN-Client-Computer haben, ist möglicherweise größer als die Anzahl derjenigen, die Zugriff auf einen „eingeschraubten“ Corpnet-Client haben, einschließlich nicht nur der Familienmitglieder und Freunde des Benutzers, sondern auch Personen, die den Computer tatsächlich stehlen könnten.
Der Hauptunterschied zwischen dem Roaming-VPN-Client und dem „eingeschraubten“ Corpnet-Client besteht darin, dass der VPN-Client nicht immer verwaltet wird und einer größeren Anzahl von programmatischen und physischen Bedrohungen ausgesetzt ist. Es gibt jedoch Möglichkeiten, einige dieser Bedrohungen zu mildern, und viele Unternehmen haben bereits Methoden eingeführt, um dies zu tun, z. B. die folgenden:
- Bereitstellen von Festplattenverschlüsselung (z. B. BitLocker), damit bei Diebstahl eines Computers die Festplatte nicht mithilfe eines „Offline-Angriffs“ gelesen werden kann. Die Festplattenverschlüsselung kann auch eine „Schlüssel“ -basierte Zugriffsmethode auf die Festplatte verwenden, sodass die Maschine ohne den Schlüssel nicht gestartet wird, wenn die Maschine ausgeschaltet wird.
- Erfordert eine Zwei-Faktor-Authentifizierung, um sich an der Maschine anzumelden, wobei der zweite Faktor auch erforderlich ist, um die Maschine zu entsperren oder aus dem Ruhezustand zu wecken.
- Bereitstellen von NAP oder ähnlichen Technologien zum Testen der Endpunktsicherheit, bevor dem Computer der Corpnet-Zugriff gewährt wird. Wenn der Computer keine Fehlerbehebung durchführen kann, ist ihm kein Corpnet-Zugriff gestattet.
- Sicherstellen, dass Benutzerkonten, die zum Anmelden am Netzwerk verwendet werden, nicht mit Administratorkonten identisch sind, die zum Verwalten von Netzwerkservern und -diensten verwendet werden, um Elevationsangriffe zu verhindern.
- Zurückdrängen des Rechenzentrums von allen Clients, sowohl VPN- als auch Corpnet-Clients, sodass das Rechenzentrum physisch und logisch von der gesamten Clientpopulation getrennt ist.
Die Verwendung einer oder mehrerer dieser Maßnahmen trägt wesentlich dazu bei, die potenzielle Bedrohung durch Ras-VPN-Clients zu verringern. Obwohl das Feld mit dem „eingeschraubten“ Corpnet-Client möglicherweise nicht ausgeglichen wird, kann es Szenarien geben, in denen der Roaming-RAS-VPN-Client tatsächlich ein geringeres Risiko darstellt. Wir werden eine davon später in diesem Artikel untersuchen.
Der DirectAccess-Client
Nun kommen wir zum Thema des DirectAccess-Clients. Wie der VPN-Client kann sich dieser Computer vom Corpnet in ein Hotelzimmer, zu einem Konferenzzentrum, zu einem Flughafen und zu einem anderen Ort bewegen, an dem sich ein Roaming-VPN-Client für den Fernzugriff befindet. Der DirectAccess-Client wird während seiner Lebensdauer sowohl mit vertrauenswürdigen als auch mit nicht vertrauenswürdigen Netzwerken verbunden, genau wie der Roaming-RAS-VPN-Client, und das Risiko einer physischen Kompromittierung des Computers ist ebenfalls ähnlich wie beim Roaming-Ras-VPN-Client. Daher scheint es, dass das Ergebnis eines Vergleichs zwischen dem DirectAccess-Client und dem VPN-Client darin besteht, dass sie aus Bedrohungsperspektive im Wesentlichen gleich sind.
Es gibt jedoch einige signifikante Unterschiede zwischen dem Roaming-RAS-VPN-Client und dem DirectAccess-Client:
- Der DirectAccess-Client wird immer verwaltet. Solange der DirectAccess-Clientcomputer eingeschaltet und mit dem Internet verbunden ist, verfügt der DirectAccess-Client über eine Verbindung mit Verwaltungsservern, die den DirectAccess-Client in Übereinstimmung mit der Sicherheitskonfiguration halten.
- Der DirectAccess-Client kann immer gewartet werden. Wenn die IT eine Verbindung zum DirectAccess-Client herstellen muss, um eine benutzerdefinierte Softwarekonfiguration durchzuführen oder ein Problem auf dem DirectAccess-Client zu beheben, besteht kein Problem mit dem Zugriff, da die Verbindung zwischen dem DirectAccess-Client und den IT-Verwaltungsstationen bidirektional ist.
- Der DirectAccess-Client verwendet zwei separate Tunnel für die Verbindung. Der DirectAccess-Client hat über den ersten Tunnel nur Zugriff auf die Verwaltungs- und Konfigurationsinfrastruktur. Der allgemeine Netzwerkzugriff ist erst verfügbar, wenn sich der Benutzer anmeldet und den Infrastrukturtunnel erstellt.
Wenn Sie den DirectAccess-Client mit dem Remotezugriffs-VPN-Client vergleichen, kann der DirectAccess-Client ein viel geringeres Bedrohungsprofil aufweisen als der VPN-Client, da der DirectAccess-Client immer unter der Kontrolle der Unternehmens-IT steht. Dies steht in krassem Gegensatz zu den Roaming-Remote-Access-VPN-Clients, die für längere Zeit eine Verbindung zum Unternehmensnetzwerk herstellen oder nicht herstellen können, was zu einer Konfigurationsentropie führt, die das Risiko von Systemkompromissen erheblich erhöhen kann. Darüber hinaus können die oben genannten Schutzmaßnahmen, die für den RAS-VPN-Client gelten, auch mit dem DirectAccess-Client verwendet werden.
Hier erreichen wir den Punkt, an dem wir eine kritische Unterscheidung treffen: beim Vergleich des VPN-Clients für den Roaming-Remotezugriff mit dem DirectAccess-Client weisen alle Beweise darauf hin, dass der DirectAccess-Client ein geringeres Bedrohungsprofil aufweist. Vergleiche zwischen dem DirectAccess-Client und dem „eingeschraubten“ Corpnet-Client sind wahrscheinlich nur von akademischem Interesse – da nur wenige Organisationen diese „eingeschraubten“ Clients mehr haben und die meisten Firmen Benutzern mit VPN-Zugang ermöglichen, auf Corpnet-Ressourcen zuzugreifen, und sowohl VPN-Clients als auch DirectAccess-Clients werden in das Unternehmensnetzwerk ein- und aussteigen, was die Trennung zwischen dem „Corpnet-Client“ und dem „Remote-Client“ aus Sicherheitssicht praktisch bedeutungslos macht.
Fazit
Ich habe gehört, dass eine Reihe von Personen Bedenken hinsichtlich der möglichen Bedrohungen geäußert haben, die ein DirectAccess-Client aufgrund seiner „Always-on“ -Funktion für das Unternehmensnetzwerk darstellen kann. Diese Besorgnis wird jedoch ohne Berücksichtigung des Kontexts des DirectAccess-Clients und des Vergleichs mit dem herkömmlichen RAS-VPN-Client zum Ausdruck gebracht. Aus den Analysen in diesem Artikel sollte an dieser Stelle klar sein, dass das Bedrohungsprofil des DirectAccess-Clients, da er immer verwaltet, immer aktualisiert und immer unter der Kontrolle der Unternehmens-IT steht, in der Tat viel niedriger ist als das des Remote Access VPN-Clients.