Articles

DirectAccess contro VPN: Non sono la Stessa cosa

admin

Introduzione

Una delle parti più interessanti del mio lavoro è la corrispondenza che mi arriva dai lettori di dettagliare i propri scenari e domande. Sento spesso da persone che vogliono sostituire le loro attuali soluzioni VPN con DirectAccess. Mentre sono sempre felice di sapere che le persone stanno pensando di distribuire DirectAccess (in parte perché mio marito lavora con UAG DirectAccess e che le notizie lo rendono felice), devo ricordare loro che mentre DirectAccess ha molte caratteristiche che potrebbero farti pensare alla VPN, DirectAccess non è una VPN. In realtà, è molto di più. Un modo per capire come il client DirectAccess differisce dal client VPN è quello di metterlo in prospettiva con altri tipi di client sulla rete e guardare i problemi di connettività e sicurezza che sono importanti con ciascuno di questi tipi di client.

Tipi di client

Per iniziare questa discussione, supponiamo che ci siano tre tipi generali di client che sono membri del dominio e sono sotto il tuo controllo amministrativo. Ciascuno dei tipi di client sarebbe considerato un” client gestito ” in misura maggiore o minore:

  • Il “imbullonati-in” corpnet client
  • Il roaming di accesso remoto VPN client
  • Il client DirectAccess

Il “Imbullonati-In” Corpnet Client

La “imbullonati-in” corpnet cliente è un sistema che potrebbe o non potrebbe essere letteralmente lanciati in, ma in ogni modo, non lascia mai la rete intranet aziendale. Questo sistema è un membro del dominio, è un sistema sempre gestito e non è mai esposto ad altre reti. Il suo accesso a Internet è sempre controllato da un firewall di ispezione del livello di applicazione, come un firewall TMG. Gli slot USB e altri supporti rimovibili sono bloccati amministrativamente o fisicamente e l’accesso fisico all’edificio in cui risiede è consentito solo ai dipendenti e agli ospiti scortati. Questi sistemi hanno installato un software anti-malware, sono configurati tramite Criteri di gruppo o altri sistemi di gestione per mantenere la configurazione di sicurezza desiderata e Network Access Protection (NAP) è abilitato sulla rete per impedire ai sistemi canaglia di connettersi alla rete e accedere alle risorse aziendali. Windows Firewall con protezione avanzata è abilitato e configurato per ridurre il rischio di minacce introdotte dai worm di rete.

Questo concetto di client corpnet “imbullonato” si avvicina all’ideale di client sicuro come si può immaginare:

  • Il sistema non è mai esposto a reti non attendibili.
  • Il sistema è sempre gestito.
  • Il sistema è sempre sotto il controllo dell’IT aziendale.
  • L’accesso al sistema è limitato ai dipendenti e agli ospiti scortati.
  • “Fuori banda” l’accesso al sistema è limitato perché le porte per i supporti rimovibili sono amministrativamente o fisicamente disabilitate.
  • Un firewall Internet Application Layer inspection come TMG impedisce agli utenti di scaricare exploit da Internet.
  • NAP riduce i rischi di client non gestiti che si connettono alla rete e diffondono malware ottenuti da altre reti.
  • È improbabile che il sistema venga rubato a causa di misure fisiche adottate per “agganciare” il client all’infrastruttura fisica.

Mentre si potrebbe immaginare che questo sia il sistema ideale in termini di sicurezza della rete, quanto è realistica questa caratterizzazione? Quanti sistemi client hai ora che non lasciano mai il corpnet? E anche con questi controlli in atto, quanto sono immuni queste macchine per attaccare? Considera quanto segue:

  • L’ingegneria sociale è un metodo comune che consente agli aggressori di ottenere l’accesso fisico a macchine specificamente mirate in modo che malware e trojan possano essere installati su client corpnet “bullonati”.
  • Anche con porte fisiche disabilitate, è probabile che agli utenti venga dato accesso ad almeno un’unità ottica, nel qual caso il malware ottenuto da una sede esterna può potenzialmente trovare la sua strada sul client corpnet “imbullonato”.
  • Mentre un firewall di ispezione del livello di applicazione può fare molto per impedire a malware e trojan di entrare in corpnet, se il firewall non esegue l’ispezione SSL (HTTPS) in uscita, è essenzialmente inutile, perché i trojan possono utilizzare il canale SSL sicuro (e non ispezionato) per raggiungere i loro controller. Inoltre, gli utenti possono usufruire di proxy anonimi attraverso una connessione SSL inaspettata.
  • Se un Trojan fosse installato sul client corpnet “imbullonato”, un Trojan ben scritto userebbe HTTP o SSL per connettersi al suo controller e molto probabilmente connettersi a un sito che non è stato ancora classificato come “pericoloso”. Anche se l’organizzazione ha utilizzato un approccio “white list” alla sicurezza, l’attaccante potrebbe dirottare un basso profilo “sito sicuro” (forse con avvelenamento DNS) e istruire il Trojan per connettersi a quel sito in modo che possa ricevere comandi di controllo.
  • Gli utenti possono tentare di eludere i controlli se non sono in grado di visitare i siti o accedere alle risorse Internet che desiderano. Se gli utenti utilizzano connessioni wireless, possono facilmente disconnettersi dal wireless aziendale e connettersi a un telefono collegato per accedere alle risorse bloccate dal firewall aziendale e quindi riconnettersi al corpnet dopo aver ottenuto ciò che desiderano. Gli utenti con una connessione wireless o cablata possono essere in grado di collegare facilmente una “scheda air” wireless per connettersi a una rete non filtrata e compromettere la macchina attraverso il gateway alternativo. In questo scenario, il client corpnet “imbullonato” assume improvvisamente alcune delle caratteristiche del client di accesso remoto in roaming.

Il punto non è che l’esecuzione di due diligence di sicurezza è una lezione di inutilità. Invece, ciò che dovrebbe essere chiaro è che anche nella situazione ideale del client corpnet “imbullonato”, ci sono molte cose che possono andare storte e portare a un incidente di sicurezza. È comunque necessario fare tutto il possibile per assicurarsi che le macchine siano sicure, aggiornate e ben gestite, ma è necessario mettere in prospettiva il modo in cui questi client corpnet “isolati” e immobili si confrontano con altri tipi di sistemi client aziendali.

Infine, e forse la cosa più importante, vale la pena considerare se il concetto di client corpnet “imbullonato” potrebbe essere di interesse accademico. Quanti di questi clienti esistono oggi sulle reti aziendali, in particolare sulle reti in cui la maggior parte dei dipendenti è costituita da lavoratori della conoscenza? In un ambiente task worker, si potrebbe pensare a VDI come una soluzione praticabile, perché le attività che eseguono non richiedono l’ampia gamma di funzionalità fornite da un ambiente PC completo, ma i knowledge worker hanno bisogno della flessibilità e della potenza fornita da una piattaforma PC completamente abilitata. Inoltre, sempre più aziende stanno riconoscendo i vantaggi del telelavoro e sempre più dipendenti stanno lavorando da casa o collegandosi al corpnet mentre uno la strada. Il che ci porta a:

Il Roaming Remote Access VPN Client

Nel 1990, il client corpnet “imbullonato” era la norma. Nel secondo decennio del 21 ° secolo, i lavoratori sono molto più mobili e il client bullonato ha lasciato il posto al client VPN di accesso remoto in roaming. I lavoratori della conoscenza hanno potenti computer portatili che portano al lavoro, alle loro case, ai siti dei clienti, agli hotel, alle conferenze, agli aeroporti e in qualsiasi altra parte del mondo in cui esiste una connessione Internet. E in molti casi, dopo essere stato in una o più sedi ofthese, portano questi computer portatili di nuovo al corpnet.

Il client VPN per l’accesso remoto in roaming presenta un profilo di minaccia molto diverso rispetto al mitico client corpnet “imbullonato”. Come il client corpnet “imbullonato”, queste macchine sono membri del dominio, hanno installato software anti-malware, hanno il Firewall di Windows con protezione avanzata abilitata e sono inizialmente configurati per essere pienamente conformi alla politica di sicurezza aziendale. Il computer client VPN in roaming, quando viene consegnato per la prima volta all’utente, è sicuro quanto il client corpnet “bullonato”.

Tuttavia, lo stato di configurazione e sicurezza non dura a lungo. L’utente potrebbe non connettersi a corpnet tramite la connessione VPN per giorni o settimane. Oppure l’utente potrebbe connettersi quotidianamente per una settimana o due, e quindi non connettersi per alcuni mesi. Durante l’interim, il computer client VPN in roaming cade lentamente ma inesorabilmente fuori conformità. I criteri di gruppo non vengono aggiornati, gli aggiornamenti antivirus potrebbero essere completati in modo irregolare, altri software anti-malware potrebbero non essere aggiornati. I controlli di sicurezza e conformità imposti ai client situati su corpnet potrebbero non trovare mai la strada per i client VPN di accesso remoto in roaming perché non riescono a connettersi tramite VPN in modo tempestivo.

Il client VPN roaming esce sempre di più dalla configurazione di conformità della sicurezza definita e il problema viene amplificato perché la macchina è connessa a una serie di reti di fiducia bassa e sconosciuta. Queste reti non gestite o mal gestite potrebbero essere piene di worm di rete e il computer potrebbe essere esposto a utenti che hanno accesso fisico o logico al computer e che altrimenti non avrebbero accesso al computer se non dovesse mai lasciare il corpnet.

Cosa succede quando l’utente riporta il computer non conforme alla rete aziendale? Cosa succede se il computer è stato compromesso da worm, virus, trojan e altre forme di malware? Il danno potrebbe essere limitato se si dispone di protezione di accesso alla rete abilitata sulla rete, ma quante reti hanno effettivamente attivato NAP, anche se è disponibile da anni come parte della piattaforma Windows Server 2008 e versioni successive?

Naturalmente, l’utente non avrebbe nemmeno bisogno di riportare il computer compromesso alla rete. Supponiamo che l’utente abbia collegato il computer a un numero di reti diverse, abbia esposto il computer a un numero di utenti di fiducia sconosciuta e abbia finito con un computer compromesso. Quindi l’utente deve cambiare la sua password dopo tre mesi, quindi si connette tramite VPN per eseguire la modifica della password. I risultati di sicurezza potenzialmente disastrosi sarebbero gli stessi come se il computer fosse effettivamente restituito alla rete aziendale fisica.

Come si può vedere, il client VPN roaming soffre di una serie di problemi di sicurezza rispetto allo storico client” imbullonato in”:

  • Il client VPN roaming è connesso al corpnet su base intermittente-o talvolta mai-e quindi cade fuori dalla portata dei criteri di gruppo e di altri sistemi di gestione.
  • Il client roaming VPN è esposto a reti non gestite e mal gestite, aumentando la potenziale “superficie attaccante” a cui è esposto il client roaming remote access VPN, rispetto alla macchina che non lascia mai la corpnet.
  • I client VPN in roaming possono accedere a Internet e gli utenti possono fare ciò che vogliono mentre sono connessi a siti Internet perché in genere non vi è alcun filtraggio delle connessioni Internet quando il client VPN non è connesso a corpnet.
  • Se il client VPN è configurato per disabilitare il tunneling split, potrebbe essere costretto a utilizzare i gateway di accesso a Internet aziendali durante la connessione del client. Tuttavia, una volta che la connessione VPN è caduto, l’utente può fare quello che vuole di nuovo – e può condividere qualsiasi malware o Trojan il computer acquisito mentre disconnesso dalla VPN quando si connette di nuovo.
  • Gli utenti potrebbero evitare di connettersi alla VPN perché i tempi di accesso sono lenti, la connettività è incoerente e l’intera esperienza VPN è meno che ottimale, aumentando ulteriormente il rischio di non conformità alla sicurezza e aumentando il rischio di compromessi.

Il client VPN roaming è quindi significativamente diverso dal punto di vista della sicurezza, rispetto al client corpnet “imbullonato”:

  • La politica di gruppo può o non può essere aggiornata in modo tempestivo.
  • Il software antivirus può o non può essere aggiornato tempestivamente.
  • Il software anti-malware può o non può essere aggiornato tempestivamente.
  • Altri metodi di gestione e controllo possono o non possono essere in grado di riconfigurare il cliente in modo tempestivo.
  • Il numero di persone che hanno accesso al computer client VPN fisico è potenzialmente maggiore di quelli che hanno accesso a un client corpnet “imbullonato”, inclusi non solo i familiari e gli amici dell’utente, ma anche le persone che potrebbero effettivamente rubare il computer.

La differenza fondamentale tra il client VPN roaming e il client corpnet “bullonato” è che il client VPN non è sempre gestito e che è esposto a un numero maggiore di minacce programmatiche e fisiche. Tuttavia, ci sono modi per mitigare alcune di queste minacce e molte aziende hanno già introdotto metodi per farlo, come i seguenti:

  • Distribuzione della crittografia del disco (come BitLocker) in modo che se una macchina viene rubata, il disco non può essere letto utilizzando un “attacco offline”. La crittografia del disco può anche utilizzare un metodo di accesso basato su “chiave” al disco, in modo che se la macchina è spenta, la macchina non si avvia senza la chiave.
  • Richiedere l’autenticazione a due fattori per accedere alla macchina, con il secondo fattore richiesto anche per sbloccare la macchina o riattivarla dal sonno.
  • Distribuzione di tecnologie NAP o simili per testare la sicurezza degli endpoint prima che alla macchina sia consentito l’accesso corpnet. Se la macchina non può rimediare, non è consentito l’accesso corpnet.
  • Garantire che gli account utente utilizzati per accedere alla rete non siano gli stessi degli account amministrativi utilizzati per gestire server e servizi di rete, per prevenire attacchi di elevazione.
  • Allontanando il datacenter da tutti i client, sia VPN che corpnet, in modo che il datacenter sia fisicamente e logicamente separato dall’intera popolazione di client.

Utilizzando uno di più di queste mitigazioni andrà un lungo cammino verso la riduzione della potenziale minaccia esposta da client VPN di accesso remoto. Anche se forse non livellare il campo con il client corpnet “imbullonato”, potrebbero esserci scenari in cui il client VPN di accesso remoto in roaming potrebbe effettivamente presentare un rischio inferiore. Ne esamineremo uno più avanti in questo articolo.

Il client DirectAccess

Ora veniamo all’argomento del client DirectAccess. Come il client VPN, questo computer può spostarsi dal corpnet, in una camera d’albergo, in un centro conferenze, in un aeroporto e in qualsiasi altro luogo in cui possa trovarsi un client VPN di accesso remoto in roaming. Il client DirectAccess, nel corso della sua vita, sarà collegato a reti attendibili e non attendibili, proprio come il client roaming remote access VPN, e il rischio di compromissione fisica del computer è anche simile a quello visto con il client roaming remote access VPN. Pertanto, sembrerebbe che il risultato di un confronto tra il client DirectAccess e il client VPN sia che sono essenzialmente gli stessi dal punto di vista delle minacce.

Tuttavia, ci sono alcune differenze significative tra il client roaming remote access VPN e il client DirectAccess:

  • Il client DirectAccess è sempre gestito. Finché il computer client DirectAccess è acceso e connesso a Internet, il client DirectAccess avrà la connettività con i server di gestione che mantengono il client DirectAccess entro la conformità della configurazione di sicurezza.
  • Il client DirectAccess è sempre riparabile. Se è necessario connettersi al client DirectAccess per eseguire la configurazione del software personalizzato o risolvere un problema sul client DirectAccess, non vi è alcun problema di accesso perché la connessione tra il client DirectAccess e le stazioni di gestione IT è bidirezionale.
  • Il client DirectAccess utilizza due tunnel separati per connettersi. Il client DirectAccess ha accesso solo all’infrastruttura di gestione e configurazione attraverso il primo tunnel. L’accesso alla rete generale non è disponibile finché l’utente non accede e non crea il tunnel dell’infrastruttura.

Quando si confronta il client DirectAccess con il client VPN di accesso remoto, il client DirectAccess può presentare un profilo di minaccia molto inferiore rispetto al client VPN, poiché il client DirectAccess è sempre all’interno del comando e del controllo dell’IT aziendale. Ciò è in netto contrasto con i client VPN di accesso remoto in roaming che possono o meno connettersi alla rete aziendale per lunghi periodi di tempo, il che porta all’entropia della configurazione che può aumentare significativamente il rischio di compromissione del sistema. Inoltre, le mitigazioni sopra menzionate che si applicano al client VPN di accesso remoto possono essere utilizzate anche con il client DirectAccess.

Ecco dove arriviamo al punto di fare una distinzione critica: quando si confronta il client VPN per l’accesso remoto in roaming con il client DirectAccess, tutte le prove indicano che il client DirectAccess presenta un profilo di minaccia inferiore. Il confronto tra il client DirectAccess e il “imbullonati-in” corpnet client sono probabilmente di interesse accademico solo – dal momento che solo poche aziende hanno questi “imbullonati-in” client di più e la maggior parte delle aziende permettono agli utenti con accesso VPN per raggiungere corpnet risorse,e sia client VPN client DirectAccess si sposta dentro e fuori della rete aziendale, rendendo la divisione tra il “corpnet client” e il “client remoto” virtualmente privo di significato da un punto di vista della sicurezza.

Conclusione

Ho sentito un certo numero di persone esprimere preoccupazione per le possibili minacce che un client DirectAccess può presentare alla rete aziendale a causa della sua capacità “always-on”. Tuttavia, questa preoccupazione viene espressa senza considerare il contesto del client DirectAccess e come si confronta con il client VPN di accesso remoto tradizionale. Dalle analisi fornite in questo articolo, dovrebbe essere chiaro a questo punto che poiché il client DirectAccess è sempre gestito, sempre aggiornato e sempre all’interno del comando e del controllo dell’IT aziendale, il suo profilo di minaccia è effettivamente molto inferiore a quello presentato dal client VPN di accesso remoto.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Previous post Garden Myths-Scopri la verità sul giardinaggio
Next post Lo stai facendo male: modellando la barba