はじめに
私の仕事の中で最も興味深い部分の一つは、私が自分のシナリオや質問を詳述読者から得る通信です。 私はしばしば、現在のVPNソリューションをDirectAccessに置き換えたい人から聞いています。 私はいつも人々がDirectAccessの展開について考えていることを聞いて幸せですが(私の夫はUAG DirectAccessで動作し、そのニュースは彼を幸せにするために部分的に)、私はDirectAccess 実際には、それははるかに多くのです。 DirectAccessクライアントがVPNクライアントとどのように異なるかを理解する方法の一つは、ネットワーク上の他の種類のクライアントとの視点に立って、こ
クライアントの種類
この説明を始めるには、ドメインメンバーであり、管理者の制御下にある三つの一般的なタイプのクライアントがあると仮定し 各クライアントの種類は、多かれ少なかれ”管理クライアント”と見なされます:
- “ボルトイン”corpnetクライアント
- ローミングリモートアクセスVPNクライアント
- DirectAccessクライアント
“Bolted-In”Corpnetクライアント
“bolted-in”corpnetクライアントは、文字通りboltedされている場合とそうでない場合がありますが、いずれにしても、企業イントラネットから離れることはありません。 このシステムは、ドメインメンバーであり、常に管理されるシステムであり、他のネットワークに公開されることはありません。 そのインターネットアクセスは、常にTMGファイアウォールなどのアプリケーション層検査ファイアウォールによって制御されます。 USBおよびその他のリムーバブルメディアスロットは、管理上または物理的にロックされており、それが存在する建物への物理的なアクセスは、従業員とエスコートされたゲストにのみ許可されています。 これらのシステムにはマルウェア対策ソフトウェアがインストールされており、グループポリシーまたはその他の管理システムを使用して目的のセキ セキュリティが強化されたWindowsファイアウォールが有効になっており、ネットワークワームによって導入される脅威のリスクを軽減するように構成されています。
この”ボルトイン”corpnetクライアントの概念は、想像できるようにセキュアクライアントの理想に近いものになります:
- システムは、信頼されていないネットワークに公開されることはありません。
- システムは常に管理されます。
- システムは常に企業のITの管理下にあります。
- システムへのアクセスは、従業員と護衛ゲストに限定されます。
- “帯域外”リムーバブルメディアのポートは管理上または物理的に無効になっているため、システムへのアクセスが制限されています。
- TMGなどのアプリケーション層検査インターネットファイアウォールは、ユーザーがインターネット経由で悪用をダウンロー
- NAPは、管理されていないクライアントがネットワークに接続し、他のネットワークから取得したマルウェアを拡散するリスクを軽減します。
- クライアントを物理的なインフラストラクチャに”ボルトイン”するための物理的な措置のためにシステムが盗まれることはまずありません。
これがネットワークセキュリティの面で理想的なシステムであると想像するかもしれませんが、この特性はどのように現実的ですか? あなたは今、corpnetを離れることはありませんどのように多くのクライアントシステムを持っていますか? そして、これらのコントロールが整っていても、これらのマシンは攻撃するのにどのように免疫がありますか? 次の点を考慮してください:
- ソーシャルエンジニアリングは、攻撃者が特定の標的とされたマシンに物理的にアクセスできるようにする一般的な方法であり、マルウェアやトロイの木馬を”ボルトで固定された”corpnetクライアントにインストールできるようにします。
- 物理ポートが無効になっていても、少なくとも光学ドライブへのアクセスがユーザーに与えられる可能性があります-その場合、外部の会場から取得されたマルウェアは、潜在的に”ボルトイン”corpnetクライアント上にその方法を見つけることができます。
- アプリケーション層検査ファイアウォールは、マルウェアやトロイの木馬がcorpnetに侵入するのを防ぐために長い道のりを行くことができますが、ファイアウ さらに、ユーザーは予期しないSSL接続を介して匿名プロキシを利用することができます。
- トロイの木馬が”bolted-in”corpnetクライアントにインストールされている場合、よく書かれたトロイの木馬はHTTPまたはSSLを使用してコントローラに接続し、まだ”危険”に分類されていないサイトに接続する可能性が高い。 組織がセキュリティに”ホワイトリスト”アプローチを使用した場合でも、攻撃者は控えめな”安全なサイト”(おそらくDNSポイズニング)をハイジャックし、制御コ
- ユーザーは、サイトにアクセスしたり、必要なインターネットリソースにアクセスしたりできない場合、コントロールを回避しようとする可能性があります。 ユーザーがワイヤレス接続を使用している場合は、企業のワイヤレスから簡単に切断し、テザリングされた電話に接続して、企業のファイアウォールによっ 無線かワイヤーで縛られた関係を持つユーザーは容易にろ過されていないネットワークに接続し、互い違いの出入口を通って機械を妥協するために無線”空気カード”を差し込むことができるかもしれない。 このシナリオでは、”ボルトで固定された”corpnetクライアントが、ローミングリモートアクセスクライアントの特性の一部を突然引き継ぎます。
重要なのは、セキュリティのデューデリジェンスを実行することが無駄の教訓ではないということです。 代わりに、明らかにすべきことは、corpnetクライアントの”ボルトで固定された”理想的な状況であっても、間違ってセキュリティインシデントにつながる可能性のある多くのことがあるということです。 しかし、これらの”孤立した”不動のcorpnetクライアントが他のタイプの企業クライアントシステムとどのように比較されるかを考慮する必要があります。
最後に、そしておそらく最も重要なのは、”ボルトイン”corpnetクライアントの概念が学術的な関心のみであるかどうかを検討する価値があることです。 どのようにこれらのクライアントの多くは、今日の企業のネットワーク上に存在します-従業員の大半は知識労働者である特にネットワー タスクワーカー環境では、実行するタスクは完全なPC環境によって提供される幅広い機能を必要としませんが、ナレッジワーカーには完全に有効なPCプラッ さらに、より多くの企業が在宅勤務の利点を認識しており、より多くの従業員が自宅で働いているか、またはcorpnetに接続している間に道路があります。 これは私たちをもたらします:
ローミングリモートアクセスVPNクライアント
1990年代には、”ボルトイン”corpnetクライアントが標準でした。 21世紀の第二十年では、労働者ははるかにモバイルであり、ボルトで固定されたクライアントは、ローミングリモートアクセスVPNクライアントに道を与 ナレッジワーカーは、自宅、顧客サイト、ホテル、会議、空港、およびインターネット接続がある世界のどこか他の場所に、仕事に取る強力なラップトップコンピュータを持っています。 そして、多くの場合、これらの場所の一つ以上にいた後、彼らはこれらのラップトップをcorpnetに戻します。
ローミングリモートアクセスVPNクライアントは、神話の”ボルトイン”corpnetクライアントと比較して、非常に異なる脅威プロファイルを提起します。 “ボルトイン”corpnetクライアントと同様に、これらのマシンはドメインメンバーであり、マルウェア対策ソフトウェアがインストールされており、高度なセキ ローミングVPNクライアントコンピュータは、最初にユーザーに配信されたときに、”ボルトイン”corpnetクライアントと同じくらい安全です。
しかし、その設定とセキュリティの状態は長くは続かない。 ユーザーは、数日または数週間、VPN接続を介してcorpnetに接続しない可能性があります。 または、ユーザーは1週間か2週間毎日接続してから、数ヶ月間接続しない場合があります。 その間、ローミングVPNクライアントコンピュータはゆっくりと、しかし確実に準拠していません。 グループポリシーが更新されない、ウイルス対策の更新が不定期に完了する可能性があり、他のマルウェア対策ソフトウェアが古くなる可能性があ Corpnet上にあるクライアントに課されるセキュリティとコンプライアンスの制御は、VPN経由でタイムリーに接続できないため、ローミングリモートアクセスVPNク
ローミングVPNクライアントは、定義されたセキュリティコンプライアンス構成からさらに外れ、マシンが信頼度の低い未知のネットワークに接続されているため、問題が拡大します。 これらの管理されていないネットワークまたは管理されていないネットワークは、ネットワークワームでいっぱいになり、コンピュータに物理的または論理的にアクセスできるユーザーにコンピュータが公開される可能性があります。
ユーザーがコンプライアンスから外れたこのコンピュータを企業ネットワークに戻すとどうなりますか? コンピュータがワーム、ウイルス、トロイの木馬やマルウェアの他の形態によって侵害された場合はどうなりますか? ネットワーク上でネットワークアクセス保護を有効にしている場合は、被害が制限される可能性がありますが、Windows Server2008以降のプラットフォームの一部として何年も利用可能であったにもかかわらず、実際にNAPを有効にしているネットワークの数はどれくらいですか?
もちろん、ユーザーは侵入先のコンピュータをネットワークに戻す必要さえありません。 ユーザーがコンピュータを多数の異なるネットワークに接続し、信頼が不明な多数のユーザーにコンピュータを公開し、最終的に侵入先のコンピュータになったと その後、ユーザーは3ヶ月後にパスワードを変更する必要があるため、VPN経由で接続してパスワードの変更を実行します。 潜在的に悲惨なセキュリティ結果は、コンピュータが実際に物理的な企業ネットワークに戻された場合と同じになります。
ご覧のように、ローミングVPNクライアントは、歴史的な”ボルトイン”クライアントと比較して、セキュリティ上の問題の数に苦しんでいます:
- ローミングVPNクライアントは、断続的にcorpnetに接続されているため、グループポリシーやその他の管理システムの手の届かないところにあります。
- ローミングVPNクライアントは、管理されていないネットワークや管理されていないネットワークに公開されているため、ローミングリモートアクセスVPNクライ
- ローミングVPNクライアントは、インターネットにアクセスすることができ、VPNクライアントがcorpnetに接続されていない場合、通常、インターネット接続のフィル
- VPNクライアントが分割トンネリングを無効にするように構成されている場合、クライアントの接続中に企業のインターネットアクセスゲートウェイ しかし、VPN接続が切断されると、ユーザーは再び望むことを行うことができ、再び接続したときにVPNから切断されている間にコンピュータが取得したマル
- ユーザーは、ログオン時間が遅く、接続が一貫性がなく、VPNエクスペリエンス全体が最適ではないため、VPNへの接続を回避する可能性があります。
したがって、ローミングVPNクライアントは、”ボルトで固定された”corpnetクライアントと比較して、セキュリティの観点とは大幅に異なります:
- グループポリシーは、適時に更新される場合と更新されない場合があります。
- アンチウイルスソフトウェアは、適時に更新される場合と更新されない場合があります。
- マルウェア対策ソフトウェアは、適時に更新される場合と更新されない場合があります。
- 他の管理および制御方法は、クライアントを適時に再構成できる場合とできない場合があります。
- 物理的なVPNクライアントコンピュータにアクセスできる人の数は、ユーザーの家族や友人だけでなく、実際にコンピュータを盗む可能性のある人も含め、”ボ
ローミングVPNクライアントと”ボルトで固定された”corpnetクライアントの主な違いは、VPNクライアントが常に管理されているとは限らず、より多くのプログ しかし、これらの脅威のいくつかを軽減する方法があり、多くの企業はすでに次のような方法を導入しています:
- コンピューターが盗まれた場合、”オフライン攻撃”を使用してディスクを読み取ることができないように、ディスク暗号化(BitLockerなど)を展開します。 ディスク暗号化は、ディスクへの「キー」ベースのアクセス方法を使用することもできるため、マシンの電源が切れた場合、マシンはキーなしで起動しません。
- マシンにログオンするには二要素認証が必要で、マシンのロックを解除したりスリープから復帰したりするには二要素認証が必要です。
- マシンがcorpnetアクセスを許可される前に、napまたは同様のテクノロジを展開してendpoint securityをテストします。 マシンが修復できない場合、corpnetアクセスは許可されません。
- 昇格攻撃を防ぐために、ネットワークへのログインに使用されるユーザーアカウントが、ネットワークサーバーやサービスの管理に使用される管理者アカウントと同じではないことを確認します。
- データセンターをVPNとcorpnetの両方に配置されたすべてのクライアントから遠ざけることで、データセンターがクライアント全体から物理的および論理的に分離されるようにします。
これらの緩和策のうちの1つを使用することは、リモートアクセスVPNクライアントによって公開される潜在的な脅威を軽減するために長い道のりを “ボルトイン”corpnetクライアントでフィールドを平準化していない可能性がありますが、ローミングリモートアクセスVPNクライアントが実際にはリスクが低い 私たちは、この記事の後半でそれらのいずれかを検討します。
DirectAccessクライアント
さて、DirectAccessクライアントの主題に来ます。 VPNクライアントと同様に、このコンピュータは、corpnetから、ホテルの部屋、会議センター、空港、およびローミングリモートアクセスVPNクライアントが配置されている DirectAccessクライアントは、その有効期間中、ローミングリモートアクセスVPNクライアントと同様に、信頼されたネットワークと信頼されていないネットワークの両方に接続され、コンピュータの物理的な侵害のリスクもローミングリモートアクセスVPNクライアントで見られるものと同様です。 したがって、DirectAccessクライアントとVPNクライアントを比較した結果、脅威の観点からは、それらは本質的に同じであるように見えます。
ただし、ローミングリモートアクセスVPNクライアントとDirectAccessクライアントの間にはいくつかの重要な違いがあります:
- DirectAccessクライアントは常に管理されます。 DirectAccessクライアントコンピューターの電源がオンになっていて、インターネットに接続されている限り、DirectAccessクライアントは、DirectAccessクライアントをセキュリティ構成
- DirectAccessクライアントは常に保守可能です。 DirectAccessクライアントに接続してカスタムソフトウェア構成を実行したり、DirectAccessクライアントの問題をトラブルシューティングしたりする必要がある場
- DirectAccessクライアントは、2つの別々のトンネルを使用して接続します。 DirectAccessクライアントは、最初のトンネルを介して管理および構成インフラストラクチャにのみアクセスできます。 一般的なネットワークアクセスは、ユーザーがログオンしてインフラストラクチャトンネルを作成するまで使用できません。
DirectAccessクライアントをリモートアクセスVPNクライアントと比較すると、DirectAccessクライアントは常に企業のITのコマンドと制御の範囲内にあるため、Vpnクライ これは、企業ネットワークに長時間接続する場合と接続しない場合があるローミングリモートアクセスVPNクライアントとは全く対照的であり、構成エントロピーにつながり、システム侵害のリスクを大幅に増加させる可能性があります。 さらに、リモートアクセスVPNクライアントに適用される上記の軽減策は、DirectAccessクライアントでも使用できます。
ここでは、重要な区別をするポイントに到達します: ローミングリモートアクセスVPNクライアントとDirectAccessクライアントを比較すると、すべての証拠は、DirectAccessクライアントが脅威プロファイルを低くしている これらの”ボルトイン”クライアントを持つ組織はほとんどなく、ほとんどの企業はVPNアクセスを持つユーザーがcorpnetリソースに到達できるようにしており、VPNク
結論
DirectAccessクライアントが”常にオン”機能のために企業ネットワークに提示できる脅威について、多くの人々が懸念を表明していると聞きました。 ただし、この懸念は、DirectAccessクライアントのコンテキストと、従来のリモートアクセスVPNクライアントとの比較方法を考慮せずに表現されます。 この記事で提供されている分析から、DirectAccessクライアントは常に管理され、常に更新され、常に企業ITのコマンドと制御内にあるため、その脅威プロファイル