DirectAccess vs. VPN: ne eivät ole sama asia

Johdanto

yksi kiinnostavimmista osa-alueista työssäni on kirjeenvaihto, jonka saan lukijoilta heidän omien skenaarioidensa ja kysymyksiensä selvittämiseksi. Kuulen usein ihmisiä, jotka haluavat korvata nykyiset VPN-ratkaisut DirectAccess. Vaikka olen aina iloinen kuullessani, että ihmiset harkitsevat Directaccessin käyttöönottoa (osittain siksi, että Mieheni työskentelee UAG Directaccessin kanssa ja että uutiset tekevät hänet onnelliseksi), minun on muistutettava heitä siitä, että vaikka Directaccessillä on monia ominaisuuksia, jotka saattavat saada sinut ajattelemaan VPN: ää, DirectAccess ei ole VPN. Itse asiassa se on paljon enemmän. Yksi tapa ymmärtää, miten DirectAccess-asiakas eroaa VPN-asiakasohjelmasta, on asettaa se oikeisiin mittasuhteisiin muiden verkkoasiakkaiden kanssa ja tarkastella yhteys-ja tietoturvaongelmia, jotka ovat tärkeitä jokaiselle näistä asiakastyypeistä.

asiakastyypit

aloittakaamme tämä keskustelu olettaen, että on olemassa kolme yleistä asiakastyyppiä, jotka ovat verkkotunnuksen jäseniä ja ovat hallinnollisessa hallinnossasi. Kutakin asiakastyyppiä pidettäisiin” hallittuna asiakkaana ” suuremmassa tai pienemmässä määrin:

  • ”bolted-in” corpnet client
  • roaming remote access VPN client
  • The DirectAccess client

”Bolted-In ”Corpnet-asiakas

” bolted-in ” corpnet-asiakas on järjestelmä, joka saattaa tai ei ole kirjaimellisesti pultattu sisään, mutta joka tapauksessa se ei koskaan poistu yrityksen intranetistä. Tämä järjestelmä on verkkotunnuksen jäsen, se on aina hallittu järjestelmä ja se ei koskaan altistu muille verkoille. Sen Internet-yhteyttä ohjataan aina sovelluskerroksen tarkastuspalomuurilla, kuten TMG-palomuurilla. USB ja muut irrotettavat mediapaikat ovat joko hallinnollisesti tai fyysisesti suljettuja, ja fyysinen pääsy rakennukseen, jossa se sijaitsee, on sallittu vain työntekijöille ja saatettaville vieraille. Näihin järjestelmiin on asennettu haittaohjelmistojen torjuntaohjelmisto, ne on määritetty ryhmäkäytännön tai jonkin muun hallintajärjestelmän avulla halutun suojauskokoonpanon ylläpitämiseksi, ja Verkonkäyttösuojaus (Verkonkäyttösuojaus) on käytössä verkossa, jotta estetään rogue-järjestelmien yhdistäminen verkkoon ja pääsy yrityksen resursseihin. Edistyneellä tietoturvalla varustettu Windowsin palomuuri on käytössä ja määritetty vähentämään verkkomatojen tuomien uhkien riskiä.

tämä ”pultatun” corpnet-asiakkaan käsite pääsee niin lähelle turvallisen asiakkaan ihannetta kuin voi kuvitella:

  • järjestelmä ei koskaan altistu epäluotettaville verkoille.
  • järjestelmä on aina hallittu.
  • järjestelmä on aina corporate IT: n hallinnassa.
  • järjestelmään pääsevät vain työntekijät ja saattajat.
  • ”Out of band” pääsy järjestelmään on rajoitettu, koska portit irrotettava media ovat hallinnollisesti tai fyysisesti pois käytöstä.
  • sovelluskerroksen tarkastus Internetin palomuuri, kuten TMG, estää käyttäjiä lataamasta urotöitä Internetin kautta.
  • NAP vähentää riskiä, että hallitsemattomat asiakkaat kytkeytyvät verkkoon ja levittävät muista verkoista saatuja haittaohjelmia.
  • on epätodennäköistä, että järjestelmä varastetaan johtuen fyysisistä toimenpiteistä, joilla asiakas ”pultataan” fyysiseen infrastruktuuriin.

vaikka saatat kuvitella tämän olevan ihanteellinen järjestelmä kannalta verkon turvallisuus, kuinka realistinen on tämä Luonnehdinta? Montako asiakasjärjestelmää sinulla on, jotka eivät poistu corpnet ’ sta? Ja vaikka nämä säätimet ovat paikoillaan, kuinka immuuneja nämä koneet ovat hyökkäämään? Harkitsehan seuraavia asioita:

  • Social engineering on yleinen menetelmä, jonka avulla hyökkääjät pääsevät fyysisesti käsiksi erityisesti kohdennettuihin koneisiin, jotta ”bolted-in” corpnet-asiakkaille voidaan asentaa haittaohjelmia ja troijalaisia.
  • vaikka fyysiset portit on poistettu käytöstä, on todennäköistä, että käyttäjille annetaan pääsy ainakin optiseen asemaan – jolloin jostakin ulkopuolisesta paikasta hankittu haittaohjelma voi mahdollisesti löytää tiensä ”bolted-in” corpnet-asiakasohjelmaan.
  • vaikka sovelluskerroksen tarkastus palomuuri voi auttaa estämään haittaohjelmien ja troijalaisten pääsyn corpnetiin, jos palomuuri ei suorita lähtevää SSL (HTTPS) – tarkastusta, se on pohjimmiltaan arvoton, koska troijalaiset voivat käyttää turvallista (ja näkymätöntä) SSL-kanavaa saavuttaakseen ohjaimensa. Lisäksi käyttäjät voivat hyödyntää anonyymejä välityspalvelimia odottamattomalla SSL-yhteydellä.
  • jos troijalainen asennettaisiin ”bolted-in” – corpnet-asiakasohjelmaan, hyvin kirjoitettu troijalainen käyttäisi HTTP-tai SSL-protokollaa yhteyden muodostamiseen ohjaimeensa ja todennäköisesti muodostaisi yhteyden sivustoon, jota ei ole vielä luokiteltu ”vaaralliseksi”. Vaikka organisaatio käyttäisi ”valkoisen listan” lähestymistapaa turvallisuuteen, hyökkääjä voisi kaapata matalan profiilin ”turvallinen sivusto” (ehkä DNS myrkytys) ja ohjeistaa troijalainen yhteyden kyseiseen sivustoon, jotta se voi vastaanottaa ohjauskomennot.
  • käyttäjät voivat yrittää kiertää hallintaasi, jos he eivät pysty käymään sivustoilla tai käyttämään haluamiaan Internet-resursseja. Jos käyttäjät käyttävät langattomia yhteyksiä, he voivat helposti katkaista yrityksen wireless ja yhteyden kytkettyyn puhelimeen käyttää resursseja, jotka on estetty yrityksen palomuuri ja sitten uudelleen corpnet kun he saavat mitä he haluavat. Käyttäjät, joilla on joko langaton tai langallinen yhteys, voivat helposti kytkeä langattoman ”ilmakortin” suodattamattomaan verkkoon ja vaarantaa koneen vaihtoehtoisen yhdyskäytävän kautta. Tässä skenaariossa ”bolted-in” corpnet-asiakas ottaa yhtäkkiä joitakin roaming-etäkäyttöasiakkaan ominaisuuksia.

pointti ei ole se, että turvallisuus due diligence on opetus turhuudesta. Sen sijaan, mitä pitäisi olla selvää, että jopa ihanteellinen tilanne ”bolted in” corpnet asiakas, on monia asioita, jotka voivat mennä pieleen ja johtaa tietoturvaloukkaukseen. Sinun on vielä tehtävä kaikki voitavasi varmistaaksesi, että koneesi ovat turvallisia, ajan tasalla ja hyvin hoidettuja – mutta sinun on nähtävä, miten nämä ”eristetyt” ja liikkumattomat corpnet-asiakkaat vertautuvat muuntyyppisiin yritysasiakasjärjestelmiin.

lopuksi ja ehkä tärkeimmäksi, on syytä pohtia, olisiko ”pultattu” corpnet-asiakaskonsepti vain akateemisesti kiinnostava. Kuinka monta näistä asiakkaista on nykyään yritysverkoissa-erityisesti verkoissa, joissa suurin osa työntekijöistä on tietotyöläisiä? Task worker environment, saatat ajatella VDI kuin toteuttamiskelpoinen ratkaisu, koska tehtävät he suorittavat eivät vaadi laajan valikoiman toimintoja tarjoamia täyden PC ympäristö, mutta knowledge työntekijät tarvitsevat joustavuutta ja voimaa tarjoamia täysin käytössä PC-alustan. Lisäksi yhä useammat yritykset tunnustavat etätyön edut ja yhä useammat työntekijät työskentelevät kotoa tai yhteyden corpnet kun yksi tie. Joka tuo meidät:

Roaming Remote Access VPN Client

1990-luvulla ”pultattu” corpnet-asiakas oli normi. 2000-luvun toisella vuosikymmenellä työntekijät ovat paljon liikkuvampia ja pultattu asiakas on väistynyt roaming-etäyhteyden VPN-asiakkaan tieltä. Tietotyöntekijöillä on tehokkaita kannettavia tietokoneita, joita he vievät töihin, koteihinsa, asiakassivustoille, hotelleihin, konferensseihin, lentokentille ja minne tahansa muualle maailmaan, jossa on Internet-yhteys. Ja monissa tapauksissa, oltuaan yhdessä tai useammassa näistä paikoista, he tuovat nämä kannettavat tietokoneet takaisin corpnet.

roaming – etäyhteyden VPN-asiakas muodostaa hyvin erilaisen uhkaprofiilin kuin myyttinen ”pultattu” corpnet-asiakas. Kuten ”bolted-in” corpnet-asiakas, nämä koneet ovat verkkotunnuksen jäseniä, niihin on asennettu haittaohjelmien torjuntaohjelmisto, niissä on Windowsin palomuuri, jossa on kehittynyt suojaus, ja ne on alun perin määritetty täysin yrityksen suojauskäytännön mukaisiksi. Roaming VPN-asiakastietokone, kun se toimitetaan käyttäjälle ensimmäisen kerran, on yhtä turvallinen kuin ”pultattu” corpnet-asiakas.

kyseinen kokoonpano ja turvallisuustila eivät kuitenkaan kestä kauaa. Käyttäjä ei välttämättä muodosta yhteyttä CORPNET VPN-yhteyden kautta päiviin tai viikkoihin. Tai käyttäjä saattaa muodostaa yhteyden päivittäin viikon tai kaksi, ja sitten olla muodostamatta muutaman kuukauden. Välivaiheen aikana verkkovieraileva VPN-asiakastietokone putoaa hitaasti mutta varmasti pois vaatimustenmukaisuudesta. Ryhmäkäytäntöä ei päivitetä, virustorjuntapäivitykset saattavat valmistua epäsäännöllisesti, muut haittaohjelmien torjuntaohjelmat saattavat vanhentua. Corpnetissä sijaitseville asiakkaille asetetut tietoturva-ja vaatimustenmukaisuusvalvonnat eivät ehkä koskaan löydä tietään verkkovierailun etäyhteyden VPN-asiakkaille, koska ne eivät pysty muodostamaan yhteyttä VPN: n kautta ajoissa.

verkkovieraileva VPN-asiakas putoaa yhä kauemmas määrittelemästäsi tietoturvamäärityksestä, ja ongelma suurenee, koska kone on kytketty useisiin alhaisen ja tuntemattoman luottamuksen verkkoihin. Nämä hallitsemattomat tai huonosti hoidetut verkot saattavat olla täynnä verkkomatoja ja tietokone saattaa altistua käyttäjille, joilla on fyysinen tai looginen pääsy tietokoneeseen ja joilla ei muuten olisi pääsyä tietokoneeseen, jos se ei koskaan poistu corpnet.

mitä tapahtuu, kun käyttäjä tuo vaatimuksesta pudonneen tietokoneen takaisin yritysverkkoon? Mitä jos tietokone vaarantuisi madoista, viruksista, troijalaisista ja muista haittaohjelmista? Vahinko voi olla vähäinen, jos verkkoyhteyden suojaus on käytössä verkossa, mutta kuinka moni verkko on itse asiassa ottanut NAP-järjestelmän käyttöön, vaikka se on ollut saatavilla jo vuosia osana Windows Server 2008 and above-alustaa?

käyttäjän ei tietenkään edes tarvitsisi tuoda vaarantunutta tietokonetta takaisin verkkoon. Oletetaan, että käyttäjä oli liittänyt tietokoneen useisiin eri verkkoihin, altistanut tietokoneen useille tuntemattomille Trustin käyttäjille ja päätynyt vaarantuneeseen tietokoneeseen. Sitten käyttäjän on vaihdettava salasanansa kolmen kuukauden kuluttua, jotta hän muodostaa yhteyden VPN: n kautta tehdäkseen salasanan vaihdon. Mahdollisesti tuhoisat tietoturvatulokset olisivat samat kuin jos tietokone todella palautettaisiin fyysiseen yritysverkkoon.

kuten näette, verkkovieraileva VPN-asiakas kärsii useista tietoturvaongelmista verrattuna historialliseen ”bolted in” – asiakasohjelmaan:

  • verkkovieraileva VPN-asiakas on yhteydessä corpnet ’ hen ajoittain-tai joskus ei koskaan-ja jää siksi ryhmäkäytännön ja muiden hallintajärjestelmien ulottumattomiin.
  • roaming-VPN-asiakas altistuu hallitsemattomille ja huonosti hoidetuille verkoille, mikä lisää mahdollista” hyökkääjäpintaa”, jolle verkkovierailun etäyhteys-VPN-asiakas altistuu, verrattuna koneeseen, joka ei koskaan poistu corpnetistä.
  • roaming-VPN-asiakkaat voivat käyttää Internetiä ja käyttäjät voivat tehdä mitä haluavat ollessaan yhteydessä Internet-sivustoihin, koska Internet-yhteyksiä ei yleensä suodateta, kun VPN-asiakas ei ole yhteydessä corpnet-verkkoon.
  • jos VPN-asiakas on määritetty poistamaan split-tunnelointi käytöstä, se saattaa joutua käyttämään yrityksen Internet – yhdyskäytäviä sinä aikana, kun asiakas on yhteydessä. Kun VPN-yhteys kuitenkin katkaistaan, käyttäjä voi taas tehdä mitä haluaa – ja jakaa mitä tahansa haittaohjelmia tai troijalaisia, jotka tietokone on hankkinut VPN: stä irrotettuna, kun se muodostaa yhteyden uudelleen.
  • käyttäjät saattavat välttää yhteyden muodostamista VPN: ään, koska kirjautumisajat ovat hitaita, yhteydet ovat epäjohdonmukaisia ja koko VPN-kokemus on vähemmän kuin optimaalinen, mikä lisää entisestään riskiä pudota pois tietoturvan noudattamisesta ja lisää kompromissiriskiä.

roaming VPN client on siis merkittävästi erilainen turvallisuuden näkökulmasta verrattuna ”pultattu-in” corpnet client:

  • Ryhmäkäytäntö saatetaan saattaa ajan tasalle tai olla saattamatta sitä ajan tasalle.
  • viruksentorjuntaohjelmistoa voidaan päivittää tai olla päivittämättä ajoissa.
  • haittaohjelmistojen torjuntaohjelmistoa voidaan päivittää tai olla päivittämättä ajoissa.
  • muut hallinnointi-ja valvontamenetelmät voivat tai eivät voi kyetä määrittämään asiakasta uudelleen ajoissa.
  • niiden ihmisten määrä, joilla on pääsy fyysiseen VPN-asiakastietokoneeseen, on mahdollisesti suurempi kuin niiden, joilla on pääsy ”bolted-in” corpnet-asiakasohjelmaan, mukaan lukien käyttäjän perheenjäsenet ja ystävät, mutta myös ihmiset, jotka saattavat todellisuudessa varastaa tietokoneen.

keskeinen ero roaming VPN client ja” pultattu-in ” corpnet client on, että VPN client ei aina hallita, ja että se altistuu enemmän ohjelmallisia ja fyysisiä uhkia. On kuitenkin olemassa keinoja lieventää joitakin näistä uhkista ja monet yritykset ovat jo ottaneet käyttöön menetelmiä tähän, kuten seuraavat:

  • levyn salauksen (kuten BitLockerin) käyttöönotto siten, että jos kone varastetaan, levyä ei voi lukea ”offline-hyökkäyksellä”. Levyn salauksessa voidaan käyttää myös” avaimeen ” perustuvaa pääsymenetelmää levylle, jolloin koneen ollessa pois päältä kone ei käynnisty ilman avainta.
  • koneeseen kirjautuminen edellyttää kaksivaiheista todennusta, ja toinen tekijä vaatii myös koneen lukituksen avaamista tai sen herättämistä unesta.
  • NAP-järjestelmän tai vastaavan teknologian käyttöönotto päätepisteiden turvallisuuden testaamiseksi ennen kuin koneelle sallitaan corpnet-käyttö. Jos kone ei voi korjata, se ei saa corpnet pääsyä.
  • sen varmistaminen, että verkkoon kirjautumiseen käytetyt käyttäjätilit eivät ole samoja kuin verkon palvelimien ja palveluiden hallintaan käytetyt hallinnolliset tilit korkeussijaintihyökkäysten estämiseksi.
  • datakeskuksen työntäminen pois kaikista asiakkaista, sekä VPN-että corpnet-asiakkaista, niin että datakeskus on fyysisesti ja loogisesti erillään koko asiakaskunnasta.

käyttämällä yhtä näistä lievennyksistä menee paljon kohti vähentää mahdollisia uhka etäkäyttö VPN-asiakkaiden. Vaikka ei ehkä tasoittaa kentän kanssa ”pultattu-in” corpnet client, voi olla skenaarioita, joissa roaming etäkäyttö VPN client voi itse asiassa aiheuttaa pienempi riski. Tarkastelemme yhtä niistä myöhemmin tässä kirjoituksessa.

DirectAccess-asiakas

nyt siirrytään DirectAccess-asiakkaan aiheeseen. Kuten VPN-asiakas, tämä tietokone voi siirtyä corpnet, hotellihuoneeseen, konferenssikeskukseen, lentokentälle, ja mihin tahansa muualle, että roaming etäyhteyden VPN-asiakas voi sijaita. DirectAccess-asiakas, sen elinaikana, liitetään sekä luotettuihin että epäluotettaviin verkkoihin, aivan kuten roaming remote access VPN client, ja tietokoneen fyysisen kompromissin riski on myös samanlainen kuin roaming remote access VPN client. Näyttää siis siltä, että DirectAccess-asiakasohjelman ja VPN-asiakasohjelman välisen vertailun tulos on, että ne ovat pohjimmiltaan samat uhkan näkökulmasta.

verkkovierailun etäkäyttö-VPN-asiakasohjelman ja DirectAccess-asiakasohjelman välillä on kuitenkin joitakin merkittäviä eroja:

  • DirectAccess-asiakas hoidetaan aina. Niin kauan kuin DirectAccess-asiakastietokone on päällä ja kytketty Internetiin, DirectAccess-asiakasohjelmalla on yhteys hallintapalvelimiin, jotka pitävät DirectAccess-asiakasohjelman suojauskokoonpanon mukaisena.
  • DirectAccess-asiakas on aina huollettavissa. Jos sen on muodostettava yhteys DirectAccess-asiakasohjelmaan, jotta se voi suorittaa mukautetun ohjelmiston määrityksen tai vianmäärityksen DirectAccess-asiakasohjelmassa, pääsy ei ole ongelma, koska yhteys DirectAccess-asiakasohjelman ja IT-hallinta-asemien välillä on kaksisuuntainen.
  • DirectAccess-asiakas käyttää kahta erillistä tunnelia yhteyden muodostamiseen. DirectAccess-asiakkaalla on pääsy vain hallinta-ja konfigurointi-infrastruktuuriin ensimmäisen tunnelin kautta. Yleinen verkkoyhteys ei ole käytettävissä ennen kuin käyttäjä kirjautuu sisään ja luo infrastruktuuritunnelin.

kun verrataan DirectAccess-asiakasohjelmaa etäyhteyden VPN-asiakasohjelmaan, DirectAccess-asiakas voi esittää paljon pienemmän uhkaprofiilin kuin VPN-asiakas, koska DirectAccess-asiakas on aina yrityksen IT-komennossa. Tämä on jyrkässä ristiriidassa verkkovierailun etäyhteyden VPN-asiakkaiden kanssa, jotka voivat muodostaa tai olla muodostamatta yhteyttä yritysverkkoon pitkiä aikoja, mikä johtaa kokoonpanon entropiaan, joka voi merkittävästi lisätä järjestelmän vaarantumisen riskiä. Lisäksi yllä mainittuja lievennyksiä, jotka koskevat etäyhteyden VPN-asiakasohjelmaa, voidaan käyttää myös DirectAccess-asiakasohjelman kanssa.

tässä päästään siihen pisteeseen, että tehdään kriittinen ero: kun verrataan verkkovierailun etäkäyttö VPN-asiakasohjelmaa DirectAccess-asiakasohjelmaan, kaikki todisteet viittaavat siihen, että DirectAccess-asiakas on matalampi uhkaprofiili. Vertailut DirectAccess client ja ”bolted-in” corpnet client ovat luultavasti akateemista kiinnostusta vain – koska harvat organisaatiot ovat näitä ”bolted-in” asiakkaita enää ja useimmat yritykset mahdollistavat käyttäjille VPN pääsy corpnet resursseja, ja sekä VPN asiakkaat ja DirectAccess asiakkaat liikkuvat ja ulos yritysverkossa, jolloin jako ”corpnet client” ja ”remote client” käytännössä merkityksetön turvallisuuden näkökulmasta.

Conclusion

olen kuullut useiden ihmisten ilmaisevan huolensa mahdollisista uhkista, joita suora liittymä-asiakas voi esittää yritysverkolle ”always-on” – ominaisuutensa vuoksi. Tämä huoli kuitenkin ilmaistaan ottamatta huomioon asiayhteyttä DirectAccess client ja miten se vertaa perinteiseen etäkäyttö VPN client. Tässä artikkelissa esitettyjen analyysien perusteella tässä vaiheessa pitäisi olla selvää, että koska DirectAccess-asiakasohjelmaa hallitaan, päivitetään aina ja se on aina yrityksen IT-johdon hallinnassa, sen uhkaprofiili On todellakin paljon pienempi kuin etäyhteyden VPN-asiakasohjelman esittämä.

Vastaa

Sähköpostiosoitettasi ei julkaista.

Previous post Puutarhamyytit-Opi totuus puutarhanhoidosta
Next post teet sen väärin: muotoilet partasi