Bevezetés
munkám egyik legérdekesebb része az olvasóktól kapott levelezés, amely részletezi saját forgatókönyveiket és kérdéseiket. Gyakran hallok olyan emberektől, akik jelenlegi VPN-megoldásaikat a DirectAccess-re akarják cserélni. Bár mindig örömmel hallom, hogy az emberek a DirectAccess telepítésén gondolkodnak (részben azért, mert a férjem az UAG DirectAccess-szel dolgozik, és ez a hír boldoggá teszi), emlékeztetnem kell őket arra, hogy bár a DirectAccess számos olyan tulajdonsággal rendelkezik, amelyek a VPN-re gondolhatnak, a DirectAccess nem VPN. Valójában sokkal több. Az egyik módja annak, hogy megértsük, hogyan különbözik a DirectAccess kliens a VPN klienstől, az, hogy perspektívába helyezi a hálózat más típusú ügyfeleivel, és megvizsgálja a kapcsolódási és biztonsági problémákat, amelyek fontosak ezen ügyféltípusok mindegyikénél.
ügyfelek típusai
a vita megkezdéséhez tegyük fel, hogy három általános típusú ügyfél van, amelyek tartományi tagok, és az Ön adminisztratív ellenőrzése alatt állnak. Az ügyféltípusok mindegyike kisebb-nagyobb mértékben “kezelt ügyfélnek” tekinthető:
- a” csavarozott “corpnet kliens
- a roaming távoli hozzáférés VPN kliens
- a DirectAccess kliens
a” csavarozott “Corpnet kliens
a “csavarozott” corpnet kliens olyan rendszer, amelyet szó szerint be lehet csavarozni, vagy nem, de akárhogy is, soha nem hagyja el a vállalati intranetet. Ez a rendszer egy domain tag, egy mindig felügyelt rendszer, és soha nincs kitéve más hálózatoknak. Internet-hozzáférését mindig egy alkalmazásréteg-ellenőrző tűzfal, például egy TMG tűzfal vezérli. Az USB és más cserélhető adathordozók nyílásai adminisztratív vagy fizikailag le vannak zárva, és az épülethez való fizikai hozzáférés, ahol lakik, csak az alkalmazottak és a kísért vendégek számára engedélyezett. Ezek a rendszerek anti-malware szoftver telepítve vannak, konfigurálva csoportházirend vagy más felügyeleti rendszer fenntartani a kívánt biztonsági konfiguráció, és hálózati hozzáférés-védelem (NAP) engedélyezve van a hálózaton annak érdekében, hogy megakadályozzák a szélhámos rendszerek csatlakozását a hálózathoz, és hozzáférést biztosít a vállalati erőforrások. A Windows tűzfal speciális biztonsággal engedélyezve van, és úgy van konfigurálva, hogy csökkentse a hálózati férgek által okozott fenyegetések kockázatát.
ez a koncepció a” csavarozott ” corpnet kliens lesz olyan közel, mint az ideális biztonságos kliens el lehet képzelni:
- a rendszer soha nincs kitéve nem megbízható hálózatoknak.
- a rendszer mindig kezelhető.
- a rendszer mindig a vállalati IT irányítása alatt áll.
- a rendszerhez való hozzáférés az alkalmazottakra és a kíséretre korlátozódik.
- “Out of band” a rendszerhez való hozzáférés korlátozott, mert a cserélhető adathordozók portjai adminisztratív vagy fizikailag le vannak tiltva.
- egy alkalmazásréteg-ellenőrző internetes tűzfal, például a TMG megakadályozza, hogy a felhasználók az internetről töltsenek le kihasználásokat.
- a NAP csökkenti annak kockázatát, hogy a nem felügyelt ügyfelek csatlakozzanak a hálózathoz, és más hálózatokból származó rosszindulatú programokat terjesszenek.
- nem valószínű, hogy a rendszert ellopják a fizikai intézkedések miatt, amelyek az Ügyfelet a fizikai infrastruktúrához “becsavarják”.
bár elképzelhető, hogy ez az ideális rendszer a hálózati biztonság szempontjából, mennyire reális ez a jellemzés? Hány ügyfélrendszere van most, amely soha nem hagyja el a corpnet-et? És még ezekkel a vezérlőkkel is, mennyire immunisak ezek a gépek a támadásra? Vegye figyelembe a következőket:
- a Social engineering egy általános módszer, amely lehetővé teszi a támadók számára, hogy fizikai hozzáférést szerezzenek a kifejezetten célzott gépekhez, hogy rosszindulatú programokat és trójaiakat telepítsenek a “csavarozott” corpnet kliensekre.
- még a fizikai portok letiltása esetén is valószínű, hogy a felhasználók hozzáférést kapnak legalább egy optikai meghajtóhoz – ebben az esetben a külső helyszínről származó rosszindulatú programok potenciálisan megtalálhatják az utat a “csavarozott” corpnet kliensbe.
- míg az alkalmazásréteg-ellenőrző tűzfal nagyban hozzájárulhat ahhoz, hogy megakadályozza a rosszindulatú programok és a trójaiak bejutását a corpnetbe, ha a tűzfal nem végez kimenő SSL (HTTPS) ellenőrzést, akkor lényegében értéktelen, mert a trójaiak a biztonságos (és nem ellenőrzött) SSL csatornát használhatják a vezérlők eléréséhez. Ezenkívül a felhasználók váratlan SSL-kapcsolat révén kihasználhatják a névtelen proxyk előnyeit.
- ha egy trójai telepítve lenne a “csavarozott” corpnet kliensre, egy jól megírt trójai HTTP-t vagy SSL-t használna a vezérlőjéhez való csatlakozáshoz, és valószínűleg egy olyan webhelyhez csatlakozna, amelyet még nem soroltak “veszélyesnek”. Még akkor is, ha a szervezet “fehér lista” megközelítést alkalmaz a biztonság érdekében, a támadó eltéríthet egy alacsony profilú “biztonságos webhelyet” (esetleg DNS-mérgezéssel), és utasíthatja a trójai programot, hogy csatlakozzon az adott webhelyhez, hogy vezérlőparancsokat fogadhasson.
- a felhasználók megpróbálhatják megkerülni a vezérlőket, ha nem tudnak felkeresni webhelyeket vagy hozzáférni a kívánt internetes erőforrásokhoz. Ha a felhasználók vezeték nélküli kapcsolatokat használnak, könnyen leválaszthatják a vállalati vezeték nélküli kapcsolatot, és csatlakozhatnak egy lekötött telefonhoz, hogy hozzáférjenek a vállalati tűzfal által blokkolt erőforrásokhoz, majd újra csatlakozzanak a corpnet-hez, miután megkapták, amit akarnak. A vezeték nélküli vagy vezetékes kapcsolattal rendelkező felhasználók könnyen csatlakoztathatnak egy vezeték nélküli “air kártyát”, hogy csatlakozzanak egy szűretlen hálózathoz, és veszélyeztessék a gépet az alternatív átjárón keresztül. Ebben a forgatókönyvben a “csavarozott” corpnet kliens hirtelen átveszi a roaming távoli hozzáférési ügyfél néhány jellemzőjét.
a lényeg nem az, hogy a biztonsági átvilágítás elvégzése a hiábavalóság tanulsága. Ehelyett egyértelműnek kell lennie, hogy még a “csavarozott” corpnet kliens ideális helyzetében is sok minden elromolhat, és biztonsági eseményhez vezethet. Továbbra is mindent meg kell tennie annak érdekében, hogy gépei biztonságosak, naprakészek és jól kezelhetők legyenek – de meg kell fontolnia, hogy ezek az “elszigetelt” és mozdulatlan corpnet ügyfelek hogyan viszonyulnak más típusú vállalati ügyfélrendszerekhez.
Végül, és talán a legfontosabb, érdemes megfontolni, hogy a “csavarozott” corpnet kliens fogalma csak tudományos érdeklődésre tarthat számot. Hány ilyen ügyfél létezik ma a vállalati hálózatokon – különösen azokon a hálózatokon, ahol az alkalmazottak többsége tudásmunkás? Feladatmunkás környezetben a VDI-t életképes megoldásnak gondolhatja, mivel az általuk elvégzett feladatok nem igénylik a teljes PC-környezet által biztosított sokféle funkciót, de a tudásmunkásoknak szükségük van a teljesen engedélyezett PC-platform által biztosított rugalmasságra és teljesítményre. Emellett egyre több vállalat ismeri fel a távmunka előnyeit, és egyre több alkalmazott dolgozik otthonról vagy csatlakozik a corpnet-hez, miközben az egyik az út. Ami elvezet minket:
a Roaming Remote Access VPN kliens
az 1990-es években a “csavarozott” corpnet kliens volt a norma. A 21. század második évtizedében a munkavállalók sokkal mobilabbak, és a csavarozott kliens helyet adott a roaming távoli hozzáférésű VPN kliensnek. A tudásmunkások nagy teljesítményű laptopokkal rendelkeznek, amelyeket a munkahelyükre, otthonaikba, ügyféloldalaikra, szállodákba, konferenciákra, repülőterekre és bárhol máshol a világon, ahol internetkapcsolat van. Sok esetben, miután egy vagy több helyen tartózkodtak, visszahozzák ezeket a laptopokat a corpnet-be.
a roaming távoli hozzáférésű VPN kliens nagyon eltérő fenyegetési profilt jelent a mitikus “csavarozott” corpnet klienshez képest. A” csavarozott ” corpnet klienshez hasonlóan ezek a gépek is tartományi tagok, telepítettek rosszindulatú programok elleni szoftvert, engedélyezték a Windows tűzfalat fejlett biztonsággal, és kezdetben úgy vannak konfigurálva, hogy teljes mértékben megfeleljenek a vállalati biztonsági irányelveknek. A roaming VPN kliens számítógép, amikor először szállítják a felhasználónak, ugyanolyan biztonságos, mint a” csavarozott ” corpnet kliens.
ez a konfigurációs és Biztonsági állapot azonban nem tart sokáig. Előfordulhat, hogy a felhasználó napokig vagy hetekig nem csatlakozik a corpnet-hez a VPN-kapcsolaton keresztül. Vagy a felhasználó naponta csatlakozhat egy-két hétig, majd néhány hónapig nem csatlakozhat. Időközben a roaming VPN kliens számítógép lassan, de biztosan nem felel meg. A csoportházirend nem frissül, a vírusvédelmi frissítések rendszertelenül befejeződhetnek, más rosszindulatú programok elleni szoftverek elavulhatnak. A corpnet-en található ügyfelekre kivetett biztonsági és megfelelőségi ellenőrzések soha nem találják meg az utat a roaming távoli hozzáférésű VPN-ügyfelekhez, mert nem tudnak időben csatlakozni a VPN-en keresztül.
a roaming VPN kliens egyre inkább kiesik a megadott biztonsági megfelelőségi konfigurációból, és a probléma felerősödik, mivel a gép számos alacsony és ismeretlen megbízhatóságú hálózathoz csatlakozik. Ezek a nem felügyelt vagy rosszul kezelt hálózatok tele lehetnek hálózati férgekkel, és a számítógép olyan Felhasználóknak lehet kitéve, akik fizikai vagy logikai hozzáféréssel rendelkeznek a számítógéphez, és akik egyébként nem férnének hozzá a számítógéphez, ha soha nem hagynák el a corpnet-et.
mi történik, ha a felhasználó visszahozza a vállalati hálózatba ezt a megfelelésből kimaradt számítógépet? Mi van, ha a számítógépet férgek, vírusok, trójaiak és más rosszindulatú programok veszélyeztetik? A kár korlátozott lehet, ha engedélyezve van a hálózati hozzáférés védelme a hálózaton, de hány hálózat kapcsolta be a NAP-ot, annak ellenére, hogy évek óta elérhető a Windows Server 2008 és újabb platform részeként?
természetesen a felhasználónak nem is kell visszahoznia a veszélyeztetett számítógépet a hálózatra. Tegyük fel, hogy a felhasználó számos különböző hálózathoz csatlakoztatta a számítógépet, számos ismeretlen megbízhatóságú felhasználónak tette ki a számítógépet, és egy veszélyeztetett számítógéphez került. Ezután a felhasználónak három hónap elteltével meg kell változtatnia a jelszavát, így VPN-en keresztül csatlakozik a jelszó megváltoztatásához. A potenciálisan katasztrofális biztonsági eredmények ugyanazok lennének, mintha a számítógépet valóban visszaadnák a fizikai vállalati hálózatba.
mint látható, a roaming VPN kliens számos biztonsági problémát szenved a korábbi “csavarozott” klienshez képest:
- a roaming VPN kliens szakaszosan csatlakozik a corpnet-hez – vagy néha soha -, ezért a Csoportházirend és más irányítási rendszerek hatókörén kívül esik.
- a roaming VPN kliens ki van téve a nem felügyelt és rosszul kezelt hálózatoknak, növelve a potenciális “támadófelületet”, amelyre a roaming távoli hozzáférésű VPN kliens ki van téve, összehasonlítva azzal a géppel, amely soha nem hagyja el a corpnet-et.
- a roaming VPN kliensek elérhetik az internetet, a felhasználók pedig bármit megtehetnek, miközben csatlakoznak az internetes oldalakhoz, mert általában nincs szűrés az Internetkapcsolatokra, amikor a VPN kliens nincs csatlakoztatva a corpnet-hez.
- ha a VPN-ügyfél úgy van konfigurálva, hogy letiltja az osztott alagutat, akkor előfordulhat, hogy az ügyfél csatlakozásának ideje alatt kénytelen lesz vállalati Internet-hozzáférési átjárókat használni. Azonban, ha a VPN-kapcsolat megszakadt, a felhasználó újra megteheti, amit akar – és megoszthatja a rosszindulatú programokat vagy trójaiakat, amelyeket a számítógép megszerzett, miközben leválasztotta a VPN-t, amikor újra csatlakozik.
- a felhasználók elkerülhetik a VPN-hez való csatlakozást, mert a bejelentkezési idő lassú, a kapcsolat nem megfelelő, és a teljes VPN-élmény nem optimális, ami tovább növeli a biztonsági megfelelés kiesésének kockázatát és növeli a kompromisszumok kockázatát.
a roaming VPN kliens tehát biztonsági szempontból jelentősen különbözik a” csavarozott ” corpnet klienshez képest:
- előfordulhat, hogy a Csoportházirend időben frissül, vagy nem.
- előfordulhat, hogy a víruskereső szoftver időben frissül, vagy nem.
- a rosszindulatú programok elleni szoftverek időben frissíthetők vagy nem.
- előfordulhat, hogy más irányítási és ellenőrzési módszerek nem tudják időben újrakonfigurálni az ügyfelet.
- a fizikai VPN-ügyfélszámítógéphez hozzáférők száma potenciálisan nagyobb, mint azok, akik hozzáférnek egy “csavarozott” corpnet-klienshez, beleértve nemcsak a felhasználó családtagjait és barátait, hanem azokat is, akik ténylegesen ellophatják a számítógépet.
a legfontosabb különbség a roaming VPN kliens és a “csavarozott” corpnet kliens között az, hogy a VPN klienst nem mindig kezelik, és hogy nagyobb számú programozási és fizikai fenyegetésnek van kitéve. Vannak azonban olyan módszerek, amelyek enyhítik ezeket a fenyegetéseket, és sok vállalat már bevezetett módszereket erre, például a következőket:
- lemez titkosítás (például BitLocker) telepítése, hogy ha egy gépet ellopnak, a lemezt nem lehet olvasni “offline támadás”segítségével. A lemez titkosítása “kulcs” alapú hozzáférési módszert is alkalmazhat a lemezre, így ha a gép ki van kapcsolva, a gép nem indul el a kulcs nélkül.
- kéttényezős hitelesítés szükséges a gépre való bejelentkezéshez, a második tényező pedig a gép feloldásához vagy alvó állapotból történő felébresztéséhez is szükséges.
- NAP vagy hasonló technológiák telepítése a végpont biztonságának tesztelésére, mielőtt a gép engedélyezné a corpnet hozzáférést. Ha a gép nem tudja kijavítani, akkor nem engedélyezett a corpnet hozzáférés.
- annak biztosítása, hogy a hálózatba való bejelentkezéshez használt felhasználói fiókok ne egyezzenek meg a hálózati kiszolgálók és szolgáltatások kezeléséhez használt felügyeleti fiókokkal, hogy megakadályozzák a magassági támadásokat.
- az adatközpont visszahúzása az összes klienstől, mind a VPN, mind a corpnet kliensektől, így az adatközpont fizikailag és logikailag elkülönül a teljes ügyfélpopulációtól.
ezen enyhítések egyikének használata nagyban hozzájárul a távoli hozzáférésű VPN-ügyfelek által kitett potenciális fenyegetés csökkentéséhez. Bár talán nem szintezi a mezőt a” csavarozott ” corpnet klienssel, lehetnek olyan forgatókönyvek, amikor a roaming távoli hozzáférésű VPN kliens valójában alacsonyabb kockázatot jelenthet. Az egyiket később megvizsgáljuk ebben a cikkben.
a DirectAccess kliens
most elérkeztünk a DirectAccess kliens témájához. A VPN klienshez hasonlóan ez a számítógép is mozoghat a corpnet-ből, egy szállodai szobába, egy konferenciaközpontba, egy repülőtérre és bárhová, ahol egy roaming távoli hozzáférésű VPN kliens található. A DirectAccess kliens élettartama alatt mind megbízható, mind nem megbízható hálózatokhoz csatlakozik, csakúgy, mint a roaming távoli hozzáférésű VPN kliens, és a számítógép fizikai kompromisszumának kockázata is hasonló a roaming távoli hozzáférésű VPN klienshez. Így úgy tűnik, hogy a DirectAccess kliens és a VPN kliens összehasonlításának eredménye az, hogy lényegében azonosak a fenyegetés szempontjából.
azonban van néhány jelentős különbség a roaming távoli hozzáférésű VPN kliens és a DirectAccess kliens között:
- a DirectAccess klienst mindig kezelik. Mindaddig, amíg a DirectAccess ügyfélszámítógép be van kapcsolva, és csatlakozik az internethez, a DirectAccess ügyfél olyan felügyeleti kiszolgálókkal lesz kapcsolatban, amelyek a DirectAccess ügyfelet a biztonsági konfiguráció megfelelőségén belül tartják.
- a DirectAccess kliens mindig szervizelhető. Ha egyéni Szoftverkonfiguráció végrehajtásához vagy a DirectAccess-ügyfél problémájának elhárításához csatlakoznia kell a DirectAccess-ügyfélhez, nincs probléma a hozzáférés megszerzésével, mivel a DirectAccess-ügyfél és az IT-kezelő állomások közötti kapcsolat kétirányú.
- a DirectAccess kliens két külön alagutat használ a csatlakozáshoz. A DirectAccess kliens csak az első alagúton keresztül fér hozzá a felügyeleti és konfigurációs infrastruktúrához. Az általános hálózati hozzáférés csak akkor érhető el, ha a felhasználó bejelentkezik, és létrehozza az infrastruktúra-alagutat.
ha összehasonlítja a DirectAccess klienst a remote access VPN klienssel, a DirectAccess kliens sokkal alacsonyabb fenyegetési profilt mutathat, mint a VPN kliens, mert a DirectAccess kliens mindig a vállalati IT parancsán belül van. Ez éles ellentétben áll a roaming távoli hozzáférésű VPN-ügyfelekkel, amelyek hosszú ideig csatlakozhatnak a vállalati hálózathoz, vagy nem, ami konfigurációs entrópiához vezet, amely jelentősen növelheti a rendszer kompromisszumának kockázatát. Ezenkívül a fent említett enyhítések, amelyek a távoli hozzáférésű VPN-kliensre vonatkoznak, a DirectAccess klienssel is használhatók.
itt érjük el a kritikus megkülönböztetés pontját: ha összehasonlítjuk a roaming remote access VPN klienst a DirectAccess klienssel, minden bizonyíték arra utal, hogy a DirectAccess kliens alacsonyabb fenyegetési profilt jelent. A DirectAccess kliens és a “csavarozott” corpnet kliens összehasonlítása valószínűleg csak tudományos érdeklődésre tart számot – mivel kevés szervezet rendelkezik már ezekkel a” csavarozott “kliensekkel,és a legtöbb cég lehetővé teszi a VPN-hozzáféréssel rendelkező felhasználók számára a corpnet erőforrások elérését, és mind a VPN-ügyfelek, mind a DirectAccess-kliensek be-és kilépnek a vállalati hálózatból, így a” corpnet kliens “és a” távoli kliens ” közötti megosztottság biztonsági szempontból gyakorlatilag értelmetlen.
következtetés
hallottam, hogy számos ember aggodalmát fejezi ki a lehetséges fenyegetések miatt, amelyeket a DirectAccess ügyfél “mindig bekapcsolt” képessége miatt bemutathat a vállalati hálózatnak. Ezt az aggodalmat azonban anélkül fejezik ki, hogy figyelembe vennék a DirectAccess kliens kontextusát és azt, hogy hogyan viszonyul a hagyományos távoli hozzáférésű VPN klienshez. Az ebben a cikkben bemutatott elemzésekből egyértelműnek kell lennie ezen a ponton, hogy mivel a DirectAccess klienst mindig kezelik, mindig frissítik, és mindig a vállalati IT parancsán és irányításán belül van, fenyegetési profilja valóban sokkal alacsonyabb, mint a távoli hozzáférésű VPN kliens.