소개
내 작품의 가장 흥미로운 부분 중 하나는 내가 독자 자신의 시나리오와 질문을 자세히에서 얻을 서신입니다. 나는 종종 그들의 현재 솔루션을 대체 하 고 싶은 사람들 로부터 듣는다. 이 응용 프로그램은 당신이 당신의 웹 사이트에 액세스 할 수 있습니다,당신은 당신의 웹 사이트에 액세스 할 수 있습니다,당신은 당신의 웹 사이트에 액세스 할 수 있습니다,당신은 당신의 웹 사이트에 액세스 할 수 있습니다,당신은 당신의 웹 사이트에 액세스 할 수 있습니다,당신은 당신의 웹 사이트에 액세스 할 수 있습니다,당신은 당신의 웹 사이트에 액세스 할 수 있습니다,당신은 당신의 웹 사이트에 액세스 할 수 있습니다. 사실,그것은 훨씬 더 많습니다. 네트워크상의 다른 유형의 클라이언트와의 관계를 파악하고 이러한 각 클라이언트 유형에서 중요한 연결 및 보안 문제를 살펴보는 것입니다.
클라이언트 유형
이 논의를 시작하려면 도메인 구성원이며 관리자가 제어할 수 있는 세 가지 일반적인 유형의 클라이언트가 있다고 가정해 보겠습니다. 각 클라이언트 유형은”관리되는 클라이언트”로 더 크거나 작은 범위로 간주됩니다:
- “볼트인”코넷 클라이언트
- 로밍 원격 액세스 클라이언트
“볼트인”코퍼넷 클라이언트
“볼트인”코퍼넷 클라이언트는 문자 그대로 볼트인일 수도 있고 그렇지 않을 수도 있지만 어느 쪽이든 회사 인트라넷을 떠나지 않는 시스템입니다. 이 시스템은 도메인 구성원이며 항상 관리되는 시스템이며 다른 네트워크에 노출되지 않습니다. 인터넷 액세스는 항상 응용 프로그램 계층 검사 방화벽에 의해 제어됩니다. 이동식 미디어 슬롯은 관리적 또는 물리적으로 잠겨 있으며,해당 건물에 물리적으로 접근할 수 있는 것은 직원과 호위하는 손님에게만 허용됩니다. 이러한 시스템에는 맬웨어 방지 소프트웨어가 설치되어 있으며 원하는 보안 구성을 유지하기 위해 그룹 정책 또는 기타 관리 시스템을 통해 구성되며 불량 시스템이 네트워크에 연결하고 회사 리소스에 액세스하는 것을 방지하기 위해 네트워크에서 네트워크 액세스 보호(낮잠)가 활성화됩니다. 고급 보안 윈도우 방화벽이 활성화 및 네트워크 웜에 의해 도입 된 위협의 위험을 줄이기 위해 구성되어 있습니다.
“볼트로 고정 된”코퍼넷 클라이언트의 개념은 상상할 수있는 것처럼 보안 클라이언트의 이상에 가깝습니다:
- 이 시스템은 신뢰할 수없는 네트워크에 노출되지 않습니다.
- 시스템이 항상 관리됩니다.
- 시스템은 항상 기업의 통제하에 있습니다.
- 시스템에 대한 액세스는 직원 및 호위 된 손님으로 제한됩니다.
- “대역 외”이동식 미디어 용 포트가 관리상 또는 물리적으로 비활성화되어 있기 때문에 시스템에 대한 액세스가 제한됩니다.
- 응용 프로그램 계층 검사 인터넷 방화벽은 사용자가 인터넷을 통해 악용을 다운로드하지 못하도록 합니다.
- 낮잠은 관리되지 않는 클라이언트가 네트워크에 연결하고 다른 네트워크에서 얻은 악성 코드를 확산 위험을 줄일 수 있습니다.
- 클라이언트를 물리적 인프라에”연결”하기 위한 물리적 조치로 인해 시스템이 도난당할 가능성은 거의 없습니다.
이것이 네트워크 보안 측면에서 이상적인 시스템이라고 생각할 수도 있지만,이 특성은 얼마나 현실적입니까? 이제 코넷을 떠나지 않는 클라이언트 시스템은 몇 개입니까? 그리고 심지어 장소에 이러한 컨트롤과 함께,이 기계는 공격에 얼마나 면역? 다음 사항을 고려하십시오:
- 사회 공학은 악성 코드 및 트로이 목마가”볼트로 고정 된”코넷 클라이언트에 설치 될 수 있도록 공격자가 특별히 대상이되는 컴퓨터에 물리적으로 액세스 할 수있는 일반적인 방법입니다.
- 물리적 포트가 비활성화 된 경우에도 사용자는 적어도 광학 드라이브에 액세스 할 수 있습니다.이 경우 일부 외부 장소에서 얻은 맬웨어는 잠재적으로”볼트로 고정 된”코넷 클라이언트로 이동할 수 있습니다.
- 응용 프로그램 계층 검사 방화벽은 멀웨어 및 트로이 목마가 코넷에 들어가는 것을 방지하는 데 먼 길을 갈 수 있지만 방화벽이 아웃 바운드 검사를 수행하지 않으면 기본적으로 쓸모가 없습니다. 또한 사용자는 예기치 않은 연결을 통해 익명 프록시를 활용할 수 있습니다.
- 트로이 목마가”볼트로 고정 된”코넷 클라이언트에 설치된 경우 잘 작성된 트로이 목마는 컨트롤러에 연결하고 아직”위험”으로 분류되지 않은 사이트에 연결할 가능성이 큽니다. 공격자는 트로이 목마가 제어 명령을 받을 수 있도록 해당 사이트에 연결하도록 지시할 수 있습니다.
- 사용자가 원하는 사이트를 방문하거나 인터넷 리소스에 액세스할 수 없는 경우 컨트롤을 우회하려고 할 수 있습니다. 사용자가 무선 연결을 사용하는 경우 회사 무선에서 쉽게 연결을 끊고 테더링된 전화에 연결하여 회사 방화벽에 의해 차단된 리소스에 액세스한 다음 원하는 것을 얻은 후 코퍼넷에 다시 연결할 수 있습니다. 무선 또는 유선 연결을 사용하는 사용자는 무선”에어 카드”를 쉽게 연결하여 필터링되지 않은 네트워크에 연결하고 대체 게이트웨이를 통해 기기를 손상시킬 수 있습니다. 이 시나리오에서는”볼트로 고정 된”코퍼넷 클라이언트 갑자기 로밍 원격 액세스 클라이언트의 특성 중 일부에 걸립니다.
요점은 보안 실사를 수행하는 것이 무용의 교훈이 아니라는 것입니다. 대신,분명해야 할 것은”볼트로 고정 된”코퍼넷 클라이언트의 이상적인 상황에서도 잘못되어 보안 사고로 이어질 수있는 많은 것들이 있다는 것입니다. 당신은 여전히 당신의 컴퓨터가 최신,안전하고 잘 관리되어 있는지 확인하기 위해 당신이 할 수있는 모든 일을 할 필요가-하지만 당신은 이러한”고립 된”움직이지 코넷 클라이언트가 기업 클라이언트 시스템의 다른 유형에 비교하는 방법을 관점에 투입 할 필요가있다.
마지막으로 그리고 아마도 가장 중요한 것은”볼트로 고정 된”코퍼넷 클라이언트의 개념이 학문적 관심사인지 여부를 고려해 볼 가치가 있습니다. 오늘날 기업 네트워크,특히 대부분의 직원이 지식 근로자가되는 네트워크에 이러한 고객 중 몇 명이 존재합니까? 작업 작업자 환경에서는 실행 가능한 솔루션으로 생각할 수 있습니다. 또한,점점 더 많은 회사 재택 근무의 장점을 인식 하 고 점점 더 많은 직원 가정에서 작업 하거나 연결 한 동안 코퍼넷에 도로. 어떤 우리에게 가져다:
1990 년대에는”볼트로 고정 된”코넷 클라이언트가 표준이었습니다. 21 세기의 두 번째 10 년 동안 근로자는 훨씬 더 이동성이 뛰어나고 볼트로 고정 된 클라이언트는 로밍 원격 액세스 클라이언트로 나아갔습니다. 지식 근로자는 집,고객 사이트,호텔,회의,공항 및 인터넷 연결이있는 세계 어느 곳에서나 일할 수있는 강력한 랩톱 컴퓨터를 보유하고 있습니다. 그리고 많은 경우에,이러한 위치 중 하나 이상에있는 후,그들은 다시 코넷에 이러한 노트북을 가지고.
로밍 원격 액세스 클라이언트는 신화적인”볼트인”코퍼넷 클라이언트와 비교할 때 매우 다른 위협 프로필을 나타냅니다. “볼트인”코퍼넷 클라이언트와 마찬가지로 이러한 컴퓨터는 도메인 구성원이며 맬웨어 방지 소프트웨어가 설치되어 있으며 고급 보안이 설정된 윈도우 방화벽이 활성화되어 있으며 처음에는 회사 보안 정책을 완벽하게 준수하도록 구성됩니다. 사용자에게 처음 배달될 때 로밍 클라이언트 컴퓨터는”볼트인”코퍼넷 클라이언트만큼 안전합니다.
그러나 해당 구성 및 보안 상태는 오래 지속되지 않습니다. 사용자가 며칠 또는 몇 주 동안 연결을 통해 코퍼넷에 연결할 수 없습니다. 또는 사용자가 1~2 주 동안 매일 연결 한 다음 몇 달 동안 연결하지 않을 수 있습니다. 중간 동안,로밍 클라이언트 컴퓨터가 느리지 만 확실하게 규정 준수에 빠진다. 그룹 정책이 업데이트되지 않고,바이러스 백신 업데이트가 불규칙하게 완료될 수 있으며,다른 맬웨어 방지 소프트웨어가 최신 상태가 아닐 수 있습니다. 보안 및 컴플라이언스 제어는 원격 액세스에 대한 보안 및 컴플라이언스 제어를 제공하지 않습니다.
컴퓨터가 신뢰도가 낮고 알 수 없는 여러 네트워크에 연결되어 있기 때문에 문제가 확대됩니다. 이러한 관리되지 않거나 제대로 관리되지 않는 네트워크는 네트워크 웜으로 가득 차 있을 수 있으며 컴퓨터에 물리적 또는 논리적 액세스 권한이 있고 코넷을 떠나지 않을 경우 컴퓨터에 액세스할 수 없는 사용자에게 컴퓨터가 노출될 수 있습니다.
사용자가 컴플라이언스에서 벗어난 이 컴퓨터를 회사 네트워크로 다시 가져오면 어떻게 됩니까? 컴퓨터가 웜,바이러스,트로이 목마 및 기타 형태의 맬웨어에 의해 손상되면 어떻게됩니까? 이 윈도우 서버 2008 의 일부와 플랫폼 위의 년 동안 사용할 수 있었다하더라도,네트워크 액세스 보호 네트워크에서 사용할 수있는 경우 손상이 제한 될 수 있지만,얼마나 많은 네트워크가 실제로 낮잠을 설정 한?
물론 사용자는 손상된 컴퓨터를 다시 네트워크로 가져올 필요가 없습니다. 사용자가 컴퓨터를 여러 다른 네트워크에 연결하고,컴퓨터를 알 수 없는 신뢰의 여러 사용자에게 노출하고,손상된 컴퓨터로 끝났다고 가정합니다. 그런 다음 사용자는 3 개월 후에 암호를 변경해야하므로 암호 변경을 수행 할 수 있습니다. 잠재적으로 비참한 보안 결과는 컴퓨터가 실제로 실제 회사 네트워크로 반환 된 경우와 동일합니다.
보시다시피,로밍 클라이언트에는 과거”볼트 체결”클라이언트에 비해 여러 가지 보안 문제가 있습니다:
- 따라서 그룹 정책 및 기타 관리 시스템의 범위를 벗어납니다.
- 로밍 VPN 클라이언트에 노출되는 관리되지 않고 제대로 관리되는 네트워크를 증가,잠재적인”공격자면”는 로밍 원격 액세스 VPN 클라이언트가 노출에 비해 기계없 회사.
- 로밍 가상인터넷 클라이언트는 인터넷에 액세스할 수 있으며 사용자는 인터넷 사이트에 연결된 상태에서 원하는 대로 할 수 있습니다.
- 분할 터널링을 사용하지 않도록 구성된 경우 클라이언트가 연결된 시간 동안 회사 인터넷 액세스 게이트웨이를 사용해야 할 수 있습니다. 또한 컴퓨터가 다시 연결되면 연결이 끊긴 상태에서 획득한 맬웨어 또는 트로이 목마를 공유할 수 있습니다.따라서 보안 준수를 벗어나 손상 위험이 높아질 수 있습니다.
따라서 로밍은”볼트인”코퍼넷 클라이언트와 비교하여 보안 측면에서 크게 다릅니다:
- 그룹 정책은 적시에 업데이트되거나 업데이트되지 않을 수 있습니다.
- 바이러스 백신 소프트웨어는 적시에 업데이트되거나 업데이트되지 않을 수 있습니다.
- 맬웨어 방지 소프트웨어는 적시에 업데이트되거나 업데이트되지 않을 수 있습니다.
- 다른 관리 및 제어 방법은 적시에 클라이언트를 재구성 할 수도 있고 그렇지 않을 수도 있습니다.사용자의 가족 및 친구뿐만 아니라 실제로 컴퓨터를 훔칠 수 있는 사용자도 포함됩니다.
이 경우,보안 위협 요소 중 하나인”보안 위협 요소”와”보안 위협 요소”를 구분할 수 있습니다. 그러나 이러한 위협 중 일부를 완화하는 방법이 있으며 많은 회사에서 이미 다음과 같은 방법을 도입했습니다:
- 컴퓨터를 도난당한 경우”오프라인 공격”을 사용하여 디스크를 읽을 수 없도록 디스크 암호화를 배포합니다. 디스크 암호화는 또한 디스크에 대한”키”기반 액세스 방법을 사용할 수 있으므로 머신이 꺼져 있으면 머신이 키없이 부팅되지 않습니다.
- 기기에 로그온하려면 이중 인증이 필요하며,두 번째 요소는 기기의 잠금을 해제하거나 절전 모드에서 해제해야 합니다.
- 컴퓨터 코넷 액세스가 허용되기 전에 엔드포인트 보안을 테스트하기 위해 낮잠 또는 유사한 기술을 배포합니다. 머신이 재구성을 할 수 없는 경우에는 코넷 액세스가 허용되지 않습니다.
- 네트워크에 로그인하는 데 사용되는 사용자 계정이 권한 상승 공격을 방지하기 위해 네트워크 서버 및 서비스를 관리하는 데 사용되는 관리 계정과 동일하지 않도록 합니다.데이터 센터가 전체 클라이언트 모집단에서 물리적으로 그리고 논리적으로 분리되도록 합니다.
이러한 완화 방법 중 하나를 사용하면 원격 액세스 클라이언트가 노출하는 잠재적 위협을 줄일 수 있습니다. “볼트인”코퍼넷 클라이언트로 필드를 평준화하지는 않지만 로밍 원격 액세스 클라이언트가 실제로 위험을 낮출 수 있는 시나리오가 있을 수 있습니다. 우리는이 문서의 뒷부분에서 그 중 하나를 검사합니다.
다이렉트 액세스 클라이언트
이제 우리는 다이렉트 액세스 클라이언트의 주제에 온다. 원격 액세스 클라이언트와 마찬가지로 이 컴퓨터는 코넷에서 호텔 방,컨퍼런스 센터,공항 및 로밍 원격 액세스 클라이언트가 위치한 다른 곳으로 이동할 수 있습니다. 원격 액세스 클라이언트와 마찬가지로 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 모두에 연결되며,컴퓨터의 물리적 손상 위험도 로밍 원격 액세스 클라이언트와 유사합니다. 따라서,이는 위협적인 관점에서 볼 때 기본적으로 동일하다는 것을 보여 줍니다.
:
- 클라이언트는 항상 관리됩니다. 보안 구성 준수 내에서 유지 관리 서버와 연결 됩니다.
- 다이렉트 액세스 클라이언트는 항상 서비스 가능합니다. 클라이언트와 관리 스테이션 간의 연결이 양방향이기 때문에 액세스를 얻는 데 문제가 없습니다.
- 다이렉트 액세스 클라이언트는 두 개의 별도 터널을 사용하여 연결합니다. 첫 번째 터널을 통해서만 관리 및 구성 인프라에 액세스할 수 있습니다. 사용자가 로그온하여 인프라 터널을 만들 때까지 일반 네트워크 액세스를 사용할 수 없습니다.
보안 위협 프로필은 항상 기업의 명령 및 제어 범위 내에 있기 때문입니다. 이는 구성 엔트로피로 이어져 시스템 손상 위험을 크게 증가시킬 수 있습니다. 또한 위에서 언급한 원격 액세스 클라이언트에 적용되는 완화 사항을 직접 액세스 클라이언트와 함께 사용할 수도 있습니다.
여기서 우리는 중요한 구별을 만드는 지점에 도달합니다: 모든 증거는 다이렉트 액세스 클라이언트가 더 낮은 위협 프로필을 제기한다는 사실을 지적합니다. 이러한”볼트인”클라이언트를 보유한 조직은 거의 없으며 대부분의 기업은 사용자가 코넷 리소스에 액세스할 수 있도록 하고 있습니다.
결론
많은 사람들이”상시 접속”기능으로 인해 다이렉트액세스 클라이언트가 회사 네트워크에 제공할 수 있는 위협에 대해 우려를 표명한다고 들었습니다. 그러나 이 문제는 다이렉트 액세스 클라이언트의 컨텍스트와 기존 원격 액세스 클라이언트와 비교되는 방식을 고려하지 않고 표현됩니다. 이 문서에 제공된 분석을 통해,이 시점에서 분명해야 할 점은,다이렉트 액세스 클라이언트는 항상 관리되고,항상 업데이트되며,항상 기업의 명령과 통제 내에서 관리되기 때문에 위협 프로필은 실제로 원격 액세스 클라이언트에서 제공하는 것보다 훨씬 낮다는 것입니다.