DirectAccess versus VPN: de er ikke de samme

introduktion

en af de mest interessante dele af mit arbejde er den korrespondance, jeg får fra læsere, der beskriver deres egne scenarier og spørgsmål. Jeg hører ofte fra folk, der ønsker at erstatte deres nuværende VPN-løsninger med DirectAccess. Mens jeg altid er glad for at høre, at folk tænker på at implementere DirectAccess (delvis fordi min mand arbejder med UAG DirectAccess, og at nyhederne gør ham glad), må jeg minde dem om, at mens DirectAccess har mange egenskaber, der kan få dig til at tænke på VPN, er DirectAccess ikke en VPN. Faktisk er det meget mere. En måde at forstå, hvordan DirectAccess-klienten adskiller sig fra VPN-klienten, er at sætte den i perspektiv med andre typer klienter på dit netværk og se på de tilslutnings-og sikkerhedsproblemer, der er vigtige for hver af disse klienttyper.

typer af klienter

for at starte denne diskussion, lad os antage, at der er tre generelle typer klienter, der er domænemedlemmer og er under din administrative kontrol. Hver af klienttyperne vil blive betragtet som en” administreret klient ” i større eller mindre grad:

  • den” bolted-in ” corpnet klient
  • roaming fjernadgang VPN klient
  • DirectAccess klient

” Bolted-In “Corpnet-klienten

” bolted-in ” corpnet-klienten er et system, der måske eller måske ikke bogstaveligt talt boltes ind, men uanset hvad forlader det aldrig virksomhedens intranet. Dette system er et domænemedlem, er et altid styret system og udsættes aldrig for andre netværk. Dens internetadgang styres altid af en applikationslaginspektion brandvæg, såsom en TMG brandvæg. USB og andre flytbare medier slots er enten administrativt eller fysisk låst ned, og fysisk adgang til bygningen, hvor den er bosat, er kun tilladt for medarbejdere og eskorterede gæster. Disse systemer er installeret, er konfigureret via Group Policy eller et andet styringssystem for at opretholde den ønskede sikkerhedskonfiguration, og nap (Netværksadgangsbeskyttelse) er aktiveret på netværket for at forhindre rogue-systemer i at oprette forbindelse til netværket og få adgang til virksomhedsressourcer. Avanceret sikkerhed er aktiveret og konfigureret til at reducere risikoen for trusler indført af netværk orme.

dette koncept af” bolted-in ” corpnet-klienten kommer så tæt på idealet om sikker klient, som man kan forestille sig:

  • systemet er aldrig udsat for ikke-betroede netværk.
  • systemet styres altid.
  • systemet er altid under kontrol af virksomhedens IT.
  • adgang til systemet er begrænset til medarbejdere og eskorterede gæster.
  • “Out of band” adgang til systemet er begrænset, fordi porte til flytbare medier er administrativt eller fysisk deaktiveret.
  • et programlag inspektion Internet brandmur såsom TMG forhindrer brugere i at hente udnytter fra over Internettet.
  • NAP reducerer risikoen for, at ikke-administrerede klienter opretter forbindelse til netværket og spreder ondsindet program, der er opnået fra andre netværk.
  • det er usandsynligt, at systemet vil blive stjålet på grund af fysiske foranstaltninger, der er truffet for at “bolt ind” klienten til den fysiske infrastruktur.

mens du måske forestiller dig, at dette er det ideelle system med hensyn til netværkssikkerhed, hvor realistisk er denne karakterisering? Hvor mange klientsystemer har du nu, der aldrig forlader corpnet? Og selv med disse kontroller på plads, hvor immun er disse maskiner til at angribe? Overvej følgende:

  • Social engineering er en almindelig metode, der gør det muligt for angribere at få fysisk adgang til maskiner, der er specifikt målrettet, så ondsindede programmer og trojanere kan installeres på “boltede” corpnet-klienter.
  • selv med fysiske porte deaktiveret, er det sandsynligt, at brugerne vil få adgang til mindst et optisk drev – i hvilket tilfælde ondsindet program opnået fra nogle eksterne mødested potentielt kan finde vej til “bolted-in” corpnet klient.
  • mens en applikationslaginspektion kan gå langt i retning af at forhindre ondsindede programmer og trojanere i at komme ind i corpnet, hvis brandmuren ikke udfører udgående SSL (HTTPS) inspektion, er det i det væsentlige værdiløst, fordi trojanere kan bruge den sikre (og uinspekterede) SSL-kanal til at nå deres controllere. Derudover kan brugerne drage fordel af anonyme fuldmagter gennem en uventet SSL-forbindelse.
  • hvis en Trojan blev installeret på “bolted-in” corpnet-klienten, ville en velskrevet Trojan bruge HTTP eller SSL til at oprette forbindelse til sin controller og sandsynligvis oprette forbindelse til et sted, der endnu ikke er kategoriseret som “farligt”. Selv hvis organisationen brugte en “hvid liste” tilgang til sikkerhed, kunne angriberen kapre et “sikkert sted” med lav profil (måske med DNS-forgiftning) og instruere trojanen om at oprette forbindelse til det sted, så den kan modtage kontrolkommandoer.
  • brugere kan forsøge at omgå dine kontroller, hvis de ikke kan besøge sider eller få adgang til internetressourcer, de ønsker. Hvis brugerne bruger trådløse forbindelser, kan de nemt afbryde forbindelsen til virksomhedens trådløse og oprette forbindelse til en bundet telefon for at få adgang til ressourcer, der er blokeret af virksomhedens brandvæg og derefter oprette forbindelse igen til corpnet, når de får det, de ønsker. Brugere med enten en trådløs eller kabelforbindelse kan muligvis nemt tilslutte et trådløst” luftkort ” for at oprette forbindelse til et ufiltreret netværk og kompromittere maskinen gennem den alternative Port. I dette scenario tager” bolted-in ” corpnet-klienten pludselig nogle af egenskaberne ved roaming-fjernadgangsklienten.

pointen er ikke, at udførelse af sikkerhed due diligence er en lektion i nytteløshed. I stedet, hvad der skal være klart, er, at selv i den ideelle situation for den “boltede” corpnet-klient, der er mange ting, der kan gå galt og føre til en sikkerhedshændelse. Du skal stadig gøre alt, hvad du kan for at sikre, at dine maskiner er sikre, opdaterede og godt styrede – men du skal sætte perspektiv på, hvordan disse “isolerede” og immobile corpnet-klienter sammenligner med andre typer virksomhedsklientsystemer.

endelig og måske vigtigst er det værd at overveje, om begrebet “bolted-in” corpnet-klienten måske kun er af akademisk interesse. Hvor mange af disse klienter findes på virksomhedsnetværk i dag – især netværk, hvor størstedelen af medarbejderne er videnarbejdere? I et opgavearbejdermiljø kan du tænke på VDI som en levedygtig løsning, fordi de opgaver, de udfører, ikke kræver den brede vifte af funktionalitet, der leveres af et komplet PC-miljø, men videnarbejdere har brug for fleksibilitet og strøm, der leveres af en fuldt aktiveret PC-platform. Derudover anerkender flere og flere virksomheder fordelene ved telearbejde, og flere og flere ansatte arbejder hjemmefra eller opretter forbindelse til corpnet, mens man er vejen. Hvilket bringer os til:

Roaming Remote Access VPN Client

i 1990 ‘ erne var “bolted-in” corpnet-klienten normen. I det andet årti af det 21.århundrede er arbejderne langt mere mobile, og den indlagte klient har givet plads til roaming remote access VPN-klienten. Videnarbejdere har magtfulde bærbare computere, de tager på arbejde, til deres hjem, til kundesider, til hoteller, til konferencer, til lufthavne og andre steder i verden, hvor der er en internetforbindelse. Og i mange tilfælde, efter at have været på en eller flere afdisse steder bringer de disse bærbare computere tilbage til corpnet.

roaming remote access VPN-klienten udgør en meget anden trusselprofil sammenlignet med den mytiske “bolted-in” corpnet-klient. Ligesom” bolted-in ” corpnet-klienten er disse maskiner domænemedlemmer, har installeret anti-ondsindet program, har vinduer med avanceret sikkerhed aktiveret og er oprindeligt konfigureret til at være fuldt kompatible med virksomhedens sikkerhedspolitik. Roaming VPN-klientcomputeren, når den først leveres til brugeren, er lige så sikker som “bolted-in” corpnet client.

denne konfiguration og sikkerhedstilstand varer dog ikke længe. Brugeren opretter muligvis ikke forbindelse til corpnet via VPN-forbindelsen i dage eller uger. Eller brugeren kan oprette forbindelse dagligt i en uge eller to og derefter ikke oprette forbindelse i et par måneder. I mellemtiden falder roaming VPN-klientcomputeren langsomt men sikkert ud af overholdelse. Gruppepolitikken opdateres ikke, antivirusopdateringer kan gennemføres på uregelmæssig basis, andre programmer kan falde forældede. Sikkerhed og compliance kontrol, der pålægges klienter placeret på corpnet kan aldrig finde vej til roaming fjernadgang VPN klienter, fordi de undlader at forbinde over VPN i tide.

roaming VPN-klienten falder længere og længere ud af din definerede konfiguration af sikkerhedsoverholdelse, og problemet forstørres, fordi maskinen er forbundet til et antal netværk med lav og ukendt tillid. Disse ikke-administrerede eller dårligt administrerede netværk kan være fulde af netværksorm, og computeren kan blive udsat for brugere, der har fysisk eller logisk adgang til computeren, og som ellers ikke ville have adgang til computeren, hvis den aldrig skulle forlade corpnet.

Hvad sker der, når brugeren bringer denne computer, der er faldet ud af overholdelse, tilbage til virksomhedsnetværket? Hvad hvis computeren blev kompromitteret af orme, vira, trojanere og andre former for virus? Skaden kan være begrænset, hvis du har Netværksadgangsbeskyttelse aktiveret på netværket, men hvor mange netværk har faktisk slået NAP til, selvom det har været tilgængeligt i årevis som en del af platformen Server 2008 og derover?

selvfølgelig behøver brugeren ikke engang at bringe den kompromitterede computer tilbage til netværket. Antag, at brugeren havde tilsluttet computeren til et antal forskellige netværk, udsat computeren for et antal brugere med ukendt tillid og endte med en kompromitteret computer. Derefter skal brugeren ændre sin adgangskode efter tre måneder, så han opretter forbindelse via VPN for at udføre adgangskodeændringen. De potentielt katastrofale sikkerhedsresultater ville være de samme, som hvis computeren faktisk blev returneret til det fysiske virksomhedsnetværk.

som du kan se, lider roaming VPN-klienten af en række sikkerhedsproblemer sammenlignet med den historiske” bolted In ” – klient:

  • roaming VPN-klienten er forbundet til corpnet på intermitterende basis – eller nogle gange aldrig-og falder derfor uden for rækkevidde af Gruppepolitik og andre styringssystemer.
  • roaming VPN-klienten udsættes for ikke-administrerede og dårligt administrerede netværk, hvilket øger den potentielle “angriberoverflade”, som roaming remote access VPN-klienten udsættes for, sammenlignet med den maskine, der aldrig forlader corpnet.
  • roaming VPN-klienterne kan få adgang til internettet, og brugerne kan gøre hvad de vil, mens de er forbundet til internetsider, fordi der typisk ikke er nogen filtrering af internetforbindelser, når VPN-klienten ikke er forbundet til corpnet.
  • hvis VPN-klienten er konfigureret til at deaktivere split tunneling, kan den blive tvunget til at bruge virksomhedens Internetadgangsportaler i den tid, klienten er tilsluttet. Men når VPN-forbindelsen er droppet, kan brugeren gøre, hvad han vil igen – og kan dele eventuelle ondsindede programmer eller trojanere, som computeren har erhvervet, mens den er afbrudt fra VPN ‘ en, når den opretter forbindelse igen.
  • brugere undgår muligvis at oprette forbindelse til VPN, fordi logontiderne er langsomme, forbindelsen er inkonsekvent, og hele VPN-oplevelsen er mindre end optimal, hvilket yderligere øger risikoen for at falde ud af sikkerhedsoverholdelse og øger risikoen for kompromis.

roaming VPN-klienten er derfor markant forskellig fra et sikkerhedsperspektiv sammenlignet med den” boltede ” corpnet-klient:

  • Gruppepolitik opdateres muligvis ikke rettidigt.
  • antivirusprogrammer opdateres muligvis ikke rettidigt.
  • programmer til bekæmpelse af ondsindede programmer opdateres muligvis ikke rettidigt.
  • andre styrings-og kontrolmetoder kan muligvis ikke omkonfigurere klienten rettidigt.
  • antallet af personer, der har adgang til den fysiske VPN-klientcomputer, er potentielt større end dem, der har adgang til en “bolted-in” corpnet-klient, herunder ikke kun brugerens familiemedlemmer og venner, men også folk, der faktisk kan stjæle computeren.

nøgleforskellen mellem roaming VPN-klienten og “bolted-in” corpnet-klienten er, at VPN-klienten ikke altid styres, og at den udsættes for et større antal programmatiske og fysiske trusler. Der er dog måder at afbøde nogle af disse trusler på, og mange virksomheder har allerede introduceret metoder til at gøre det, såsom følgende:

  • implementering af diskkryptering (såsom BitLocker), så hvis en maskine bliver stjålet, kan disken ikke læses ved hjælp af et “offline angreb”. Diskkryptering kan også anvende en” nøgle ” – baseret adgangsmetode til disken, så hvis maskinen er slukket, starter maskinen ikke uden nøglen.
  • kræver tofaktorautentificering for at logge på maskinen, og den anden faktor kræves også for at låse maskinen op eller vække den fra søvn.
  • implementering af NAP eller lignende teknologier til test af slutpunktssikkerhed, før maskinen får adgang til corpnet. Hvis maskinen ikke kan afhjælpe, er det ikke tilladt corpnet adgang.
  • sikring af, at brugerkonti, der bruges til at logge ind på netværket, ikke er de samme som administrative konti, der bruges til at administrere netværksservere og-tjenester, for at forhindre elevationsangreb.
  • skubber datacentret væk fra alle klienter, både VPN og corpnet beliggende klienter, så datacentret er fysisk og logisk adskilt fra hele klientpopulationen.

brug af en af flere af disse afbødninger vil gå langt i retning af at reducere den potentielle trussel, der udsættes for VPN-klienter med fjernadgang. Selvom det måske ikke udjævner feltet med “bolted-in” corpnet-klienten, kan der være scenarier, hvor roaming remote access VPN-klienten faktisk kan udgøre en lavere risiko. Vi vil undersøge en af dem senere i denne artikel.

DirectAccess-klienten

nu kommer vi til emnet for DirectAccess-klienten. Ligesom VPN-klienten kan denne computer flytte fra corpnet, til et hotelværelse, til et konferencecenter, til en lufthavn og til andre steder, hvor en roaming fjernadgang VPN-klient kan være placeret. DirectAccess-klienten vil i sin levetid være forbundet til både betroede og ikke-betroede netværk, ligesom roaming remote access VPN-klienten, og risikoen for fysisk kompromis med computeren svarer også til den, der ses med roaming remote access VPN-klienten. Det ser således ud til, at resultatet af en sammenligning mellem DirectAccess-klienten og VPN-klienten er, at de i det væsentlige er de samme fra et trusselperspektiv.

der er dog nogle væsentlige forskelle mellem roaming remote access VPN-klienten og DirectAccess-klienten:

  • DirectAccess-klienten administreres altid. Så længe DirectAccess-klientcomputeren er tændt og forbundet til internettet, har DirectAccess-klienten forbindelse med administrationsservere, der holder DirectAccess-klienten inden for overholdelse af sikkerhedskonfiguration.
  • DirectAccess-klienten kan altid serviceres. Hvis det er nødvendigt at oprette forbindelse til DirectAccess-klienten for at udføre brugerdefineret programkonfiguration eller fejlfinding af et problem på DirectAccess-klienten, er der ikke noget problem at få adgang, fordi forbindelsen mellem DirectAccess-klienten og IT-administrationsstationerne er tovejs.
  • DirectAccess-klienten bruger to separate tunneler til at oprette forbindelse. DirectAccess-klienten har kun adgang til styrings-og konfigurationsinfrastrukturen gennem den første tunnel. Generel netværksadgang er ikke tilgængelig, før brugeren logger på og opretter infrastrukturtunnelen.

når du sammenligner DirectAccess-klienten med VPN-klienten til fjernadgang, kan DirectAccess-klienten præsentere en meget lavere trusselprofil end VPN-klienten, fordi DirectAccess-klienten altid er inden for kommando og kontrol af virksomhedens IT. Dette står i skarp kontrast til de roaming fjernadgang VPN-klienter, der måske eller måske ikke opretter forbindelse til virksomhedsnetværket i lange perioder, hvilket fører til konfigurationsentropi, der kan øge risikoen for systemkompromis markant. Derudover kan de ovennævnte afbødninger, der gælder for VPN-klienten til fjernadgang, også bruges sammen med DirectAccess-klienten.

her er hvor vi når punktet for at gøre en kritisk skelnen: når man sammenligner roaming remote access VPN-klienten med DirectAccess-klienten, peger alle beviser på, at DirectAccess-klienten udgør en lavere trusselprofil. Sammenligninger mellem DirectAccess-klienten og” bolted-in “corpnet – klienten er sandsynligvis kun af akademisk interesse-da få organisationer har disse” bolted-in “- klienter længere,og de fleste virksomheder gør det muligt for brugere med VPN-adgang at nå corpnet-ressourcer, og både VPN-klienter og DirectAccess-klienter vil flytte ind og ud af virksomhedsnetværket, hvilket gør opdelingen mellem” corpnet-klienten “og” fjernklienten ” næsten meningsløs ud fra et sikkerhedsperspektiv.

konklusion

jeg har hørt en række mennesker udtrykke bekymring over de mulige trusler, som en DirectAccess klient kan præsentere for virksomhedens netværk på grund af sin “altid-on” kapacitet. Imidlertid udtrykkes denne bekymring uden at overveje konteksten for DirectAccess-klienten, og hvordan den sammenlignes med den traditionelle VPN-klient til fjernadgang. Fra analyserne i denne artikel skal det være klart på dette tidspunkt, at fordi DirectAccess-klienten altid administreres, altid opdateres og altid inden for kommando og kontrol af virksomhedens IT, er dens trusselprofil faktisk meget lavere end den, der præsenteres af VPN-klienten til fjernadgang.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.

Previous post Havemyter-lær sandheden om havearbejde
Next post du gør det forkert: forme dit skæg