DirectAccess versus VPN: DE er Ikke det Samme

Innledning

en av de mest interessante delene av arbeidet mitt er korrespondansen jeg får fra leserne som beskriver egne scenarier og spørsmål. Jeg hører ofte fra folk som vil erstatte deres nåværende VPN-løsninger med DirectAccess. Mens jeg alltid er glad for å høre at folk tenker på å distribuere DirectAccess (delvis fordi mannen min jobber MED Uag DirectAccess og at nyheter gjør ham glad), må jeg minne dem om At Mens DirectAccess har Mange egenskaper som kan få DEG TIL Å tenke PÅ VPN, Er DirectAccess ikke EN VPN. Faktisk er det mye mer. En måte å forstå Hvordan DirectAccess-klienten er forskjellig fra VPN-klienten, er å sette den i perspektiv med andre typer klienter på nettverket ditt og se på tilkoblings-og sikkerhetsproblemer som er viktige med hver av disse klienttypene.

Typer Klienter

for å starte denne diskusjonen, la oss anta at det er tre generelle typer klienter som er domenemedlemmer og er under administrativ kontroll. Hver av klienttypene vil bli betraktet som en» administrert klient » i større eller mindre grad:

  • den» boltet inn » corpnet klient
  • roaming ekstern tilgang VPN-klient
  • DirectAccess klient

» Bolted-In «Corpnet Client

» bolted-in » corpnet client er et system som kanskje eller kanskje ikke er bokstavelig boltet inn, men uansett forlater det aldri bedriftens intranett. Dette systemet er et domenemedlem, er et alltid styrt system og blir aldri utsatt for andre nettverk. Dens Internett-tilgang er alltid kontrollert av et program lag inspeksjon brannmur, for eksempel EN TMG brannmur. USB og andre flyttbare medier er enten administrativt eller fysisk låst ned og fysisk tilgang til bygningen der den bor, er kun tillatt for ansatte og eskorterte gjester. Disse systemene har installert anti-malware-programvare, konfigureres Gjennom Gruppepolicy eller et annet administrasjonssystem for å opprettholde ønsket sikkerhetskonfigurasjon, Og Nap-Beskyttelse (Network Access Protection) er aktivert på nettverket for å forhindre at rogue systemer kobler seg til nettverket og får tilgang til bedriftens ressurser. Windows-Brannmur med Avansert Sikkerhet er aktivert og konfigurert for å redusere risikoen for trusler introdusert av nettverksmaskene.

dette konseptet med» bolted-in » corpnet-klienten kommer så nært som idealet om sikker klient som man kan forestille seg:

  • systemet er aldri utsatt for un-klarert nettverk.
  • systemet administreres alltid.
  • systemet er alltid under kontroll av bedriftens IT.
  • Tilgang til systemet er begrenset til ansatte og eskorterte gjester.
  • «Out of band» tilgang til systemet er begrenset fordi porter for flyttbare medier er administrativt eller fysisk deaktivert.
  • en programlagsinspeksjon Internett-brannmur som TMG hindrer brukere i å laste ned utnyttelser fra Over Internett.
  • NAP reduserer risikoen for at ikke-administrerte klienter kobler seg til nettverket og sprer skadelig programvare fra andre nettverk.
  • det er usannsynlig at systemet vil bli stjålet på grunn av fysiske tiltak for å «bolt inn» klienten til den fysiske infrastrukturen.

selv om du kan forestille deg at dette er det ideelle systemet når det gjelder nettverkssikkerhet, hvor realistisk er denne karakteriseringen? Hvor mange klientsystemer har du nå som aldri forlater corpnet? Og selv med disse kontrollene på plass, hvor immun er disse maskinene til å angripe? Vurder følgende:

  • Social engineering Er en vanlig metode som gjør det mulig for angripere å få fysisk tilgang til maskiner som er spesielt målrettet, slik at malware og Trojanere kan installeres på» bolted-in » corpnet-klienter.
  • selv med fysiske porter deaktivert, er det sannsynlig at brukerne vil få tilgang til minst en optisk stasjon – i så fall kan skadelig programvare hentet fra noen utenfor spillested potensielt finne veien til» boltet inn » corpnet-klienten.
  • mens en applikasjonslag inspeksjon brannmur kan gå en lang vei mot å hindre malware Og Trojanere fra å komme inn i corpnet, hvis brannmuren ikke utfører utgående SSL (HTTPS) inspeksjon, det er egentlig verdiløs, Fordi Trojanere kan bruke sikker (og uinspisert) SSL-kanal for å nå sine kontrollere. I tillegg kan brukerne dra nytte av anonyme proxyer gjennom en uventet SSL-tilkobling.
  • Hvis En Trojaner ble installert på corpnet-klienten, ville En Velskrevet Trojaner bruke HTTP eller SSL for å koble til kontrolleren og mest sannsynlig koble til et nettsted som ennå ikke er kategorisert som»farlig». Selv om organisasjonen brukte en «hvit liste» – tilnærming til sikkerhet, kunne angriperen kapre en lav profil «trygt nettsted» (kanskje MED DNS-forgiftning) og instruere Trojanen om å koble til det nettstedet slik at den kan motta kontrollkommandoer.
  • Brukere kan prøve å omgå kontrollene dine hvis De ikke kan besøke nettsteder eller få Tilgang Til Internett-ressurser de ønsker. Hvis brukere bruker trådløse tilkoblinger, kan de enkelt koble fra bedriftens trådløse og koble til en tethered telefon for å få tilgang til ressurser som er blokkert av bedriftens brannmur, og deretter koble til corpnet etter at de får det de vil ha. Brukere med enten en trådløs eller kablet tilkobling kan enkelt koble til et trådløst «luftkort» for å koble til et ufiltrert nettverk og kompromittere maskinen gjennom den alternative gatewayen. I dette scenariet tar «boltet-in» corpnet klienten plutselig på noen av egenskapene til roaming ekstern tilgang-klienten.

poenget er ikke at å utføre sikkerhet due diligence er en leksjon i nytteløse. I stedet bør det være klart at selv i den ideelle situasjonen for» bolted in » corpnet-klienten, er det mange ting som kan gå galt og føre til en sikkerhetshendelse. Du må fortsatt gjøre alt du kan for å sikre at maskinene dine er sikre , oppdaterte og godt administrerte-men du må sette i perspektiv hvordan disse «isolerte» og immobile corpnet-klientene sammenligner med andre typer bedriftsklienter.

Endelig Og kanskje viktigst, er det verdt å vurdere om begrepet» bolted-in » corpnet-klienten bare kan være av akademisk interesse. Hvor mange av disse klientene finnes på bedriftsnettverk i dag-spesielt nettverk hvor de fleste ansatte er kunnskapsarbeidere? I et oppgavearbeidermiljø kan DU tenke PÅ VDI som en levedyktig løsning, fordi oppgavene de utfører ikke krever det brede spekteret av funksjonalitet som tilbys av et FULLT PC-miljø, men kunnskapsarbeidere trenger fleksibiliteten og kraften som tilbys av en fullt aktivert PC-plattform. I tillegg er flere og flere selskaper erkjenner fordelene med telecommuting og flere og flere ansatte jobber hjemmefra eller koble til corpnet mens en veien. Som bringer oss til:

Den Roaming Remote Access VPN-Klienten

på 1990-tallet var «bolted-in» corpnet-klienten normen. I det andre tiåret av det 21. århundre er arbeidstakere langt mer mobile og den innboltede klienten har gitt vei TIL ROAMING remote access VPN-klienten. Kunnskapsarbeidere har kraftige bærbare datamaskiner de tar til jobb, til sine hjem, til kundesider, til hoteller, til konferanser, til flyplasser og andre Steder i verden hvor Det er En Internettforbindelse. Og i mange tilfeller, etter å ha vært på en eller flere av disse stedene, bringer de disse bærbare datamaskinene tilbake til corpnet.

vpn-klienten for ekstern tilgang med roaming utgjør en helt annen trusselprofil sammenlignet med den mytiske «bolted-in» corpnet-klienten. I likhet med «bolted-in» corpnet-klienten, er disse maskinene domenemedlemmer, har anti-malware-programvare installert, Har Windows-Brannmuren med Avansert Sikkerhet aktivert, og er i utgangspunktet konfigurert til å være fullt kompatibel med bedriftens sikkerhetspolicy. Den roaming VPN-klientdatamaskinen, når den først leveres til brukeren, er like sikker som» boltet inn » corpnet-klienten.

denne konfigurasjonen og sikkerhetstilstanden varer imidlertid ikke lenge. Brukeren kan ikke koble til corpnet over VPN-tilkoblingen i dager eller uker. Eller brukeren kan koble daglig for en uke eller to, og deretter ikke koble for et par måneder. I mellomtiden faller DEN roaming VPN-klientdatamaskinen sakte men sikkert ut av samsvar. Gruppepolicyen er ikke oppdatert, antivirusoppdateringer kan fullføres på uregelmessig basis, og annen anti-malware-programvare kan falle ut på dato. Sikkerhets-og samsvarskontroller som pålegges klienter som ligger på corpnet, kan aldri finne veien TIL ROAMING remote access VPN-klienter fordi de ikke klarer å koble over VPN i tide.

den roaming VPN-klienten faller lenger og lenger ut av din definerte sikkerhetskonfigurasjon, og problemet blir forstørret fordi maskinen er koblet til en rekke nettverk med lav og ukjent tillit. Disse uadministrerte eller dårlig administrerte nettverkene kan være fulle av nettverksmasker, og datamaskinen kan bli utsatt for brukere som har fysisk eller logisk tilgang til datamaskinen, og som ellers ikke ville ha tilgang til datamaskinen hvis den aldri skulle forlate corpnet.

hva skjer når brukeren bringer denne datamaskinen som har falt ut av samsvar tilbake til bedriftsnettverket? Hva om datamaskinen ble kompromittert av ormer, virus, Trojanere og andre former for malware? Skaden kan være begrenset hvis Du har Nettverksbeskyttelse aktivert på nettverket, men hvor mange nettverk har faktisk slått PÅ NAP, selv om DET har vært tilgjengelig i mange år som en del Av Windows Server 2008 og over plattformen?

selvfølgelig ville brukeren ikke engang trenge å bringe den kompromitterte datamaskinen tilbake til nettverket. Anta at brukeren hadde koblet datamaskinen til en rekke forskjellige nettverk, utsatt datamaskinen for en rekke brukere av ukjent tillit, og endte opp med en kompromittert datamaskin. Deretter må brukeren endre passordet etter tre måneder, så han kobler seg til VIA VPN for å utføre passordendringen. De potensielt katastrofale sikkerhetsresultatene vil være det samme som om datamaskinen faktisk ble returnert til det fysiske bedriftsnettverket.

som du kan se, roaming VPN-klient lider av en rekke sikkerhetsproblemer i forhold til den historiske» boltet i » klient:

  • den roaming VPN-klienten er koblet til corpnet på intermittent basis-eller noen ganger aldri – og faller derfor utenfor Rekkevidde Av Gruppepolicy og andre styringssystemer.
  • den roaming VPN-klienten er utsatt for ikke-administrerte og dårlig administrerte nettverk, noe som øker den potensielle «angriperoverflaten» SOM den roaming remote access VPN-klienten er utsatt for, sammenlignet med maskinen som aldri forlater corpnet.
  • DE roaming VPN-klientene kan få tilgang Til Internett, og brukerne kan gjøre hva de vil mens de er koblet til Nettsteder fordi det vanligvis ikke er filtrering av Internett-tilkoblinger når VPN-klienten ikke er koblet til corpnet.
  • HVIS VPN-klienten er konfigurert til å deaktivere delt tunnelering, kan DEN bli tvunget til å bruke bedriftens Internett-tilgangsgateways i løpet av tiden klienten er tilkoblet. Men når VPN-tilkoblingen er tapt, kan brukeren gjøre hva han vil igjen-og kan dele skadelig programvare eller Trojanere datamaskinen som er kjøpt mens den er koblet fra VPN når den kobles til igjen.
  • Brukere kan unngå å koble TIL VPN fordi påloggingstidene er trege, tilkoblingen er inkonsekvent, og HELE VPN-opplevelsen er mindre enn optimal, noe som øker risikoen for å falle ut av sikkerhetsoverholdelse og øker risikoen for kompromiss.

den roaming VPN-klienten er derfor vesentlig forskjellig fra et sikkerhetsperspektiv, sammenlignet med» bolted-in » corpnet-klienten:

  • Gruppepolicy kan eller ikke kan oppdateres på en betimelig basis.
  • Antivirusprogramvare kan eller ikke kan oppdateres i tide.
  • anti-malware programvare kan eller ikke kan oppdateres på en betimelig basis.
  • Andre administrasjons-og kontrollmetoder kan eller ikke kan omkonfigurere klienten i tide.
  • antallet personer som har tilgang til den fysiske VPN-klientdatamaskinen, er potensielt større enn de som har tilgang til en» boltet inn » corpnet-klient, inkludert ikke bare brukerens familiemedlemmer og venner, men også folk som faktisk kan stjele datamaskinen.

hovedforskjellen mellom roaming VPN-klienten og» bolted-in » corpnet-klienten er AT VPN-klienten ikke alltid styres, og at den er utsatt for et større antall programmatiske og fysiske trusler. Det finnes imidlertid måter å redusere noen av disse truslene, og mange selskaper har allerede innført metoder for å gjøre det, for eksempel følgende:

  • Distribuere diskkryptering (For Eksempel BitLocker) slik at hvis en maskin blir stjålet, kan disken ikke leses ved hjelp av et «offline angrep». Diskkryptering kan også bruke en» nøkkel » – basert tilgangsmetode til disken, slik at hvis maskinen er slått av, vil maskinen ikke starte opp uten nøkkelen.
  • krever tofaktorautentisering for å logge på maskinen, og den andre faktoren kreves også for å låse opp maskinen eller vekke den fra dvale.
  • Distribuere NAP eller lignende teknologier for å teste endepunktsikkerhet før maskinen får corpnet-tilgang. Hvis maskinen ikke kan utbedre, er det ikke tillatt corpnet tilgang.
  • Sikre at brukerkontoer som brukes til å logge på nettverket, Ikke er det samme som administrative kontoer som brukes til å administrere nettverksservere og-tjenester, for å forhindre høydeangrep.
  • Skyver datasenteret bort fra alle klienter, BÅDE VPN-og corpnet-klienter, slik at datasenteret er fysisk og logisk skilt fra hele klientpopulasjonen.

Å Bruke en av flere av disse tiltakene vil gå langt i retning av å redusere den potensielle trusselen eksponert av vpn-klienter med ekstern tilgang. Selv om det kanskje ikke utjevner feltet med» boltet inn » corpnet-klienten, kan det være scenarier der den roaming remote access VPN-klienten faktisk kan gi en lavere risiko. Vi vil undersøke en av dem senere i denne artikkelen.

DirectAccess-Klienten

nå kommer Vi til Emnet For DirectAccess-klienten. SOM VPN-klienten, kan denne datamaskinen flytte fra corpnet, til et hotellrom, til et konferansesenter, til en flyplass, og til et annet STED som en roaming ekstern TILGANG VPN-klient kan være plassert. DirectAccess-klienten vil i sin levetid være koblet til både pålitelige og usikre nettverk, akkurat som roaming remote access VPN-klienten, og risikoen for fysisk kompromiss på datamaskinen er også lik den som er sett med roaming remote access VPN-klienten. Dermed ser det ut til at resultatet av en sammenligning Mellom DirectAccess-klienten og VPN-klienten er at de i hovedsak er de samme fra et trusselperspektiv.

det er imidlertid noen signifikante forskjeller MELLOM roaming remote access VPN-klienten OG DirectAccess-klienten:

  • DirectAccess-klienten administreres alltid. Så lenge DirectAccess-klientdatamaskinen er slått på og koblet Til Internett, Vil DirectAccess-klienten ha tilkobling med administrasjonsservere som holder DirectAccess-klienten innenfor samsvar med sikkerhetskonfigurasjon.
  • DirectAccess-klienten kan alltid brukes. Hvis Den må koble Til DirectAccess-klienten for å utføre egendefinert programvarekonfigurasjon eller feilsøke et problem På DirectAccess-klienten, er det ikke noe problem å få tilgang fordi forbindelsen Mellom DirectAccess-klienten og it-administrasjonsstasjonene er toveis.
  • DirectAccess-klienten bruker to separate tunneler for å koble til. DirectAccess-klienten har kun tilgang til administrasjons-og konfigurasjonsinfrastrukturen gjennom den første tunnelen. Generell nettverkstilgang er ikke tilgjengelig før brukeren logger på og oppretter infrastrukturtunnelen.

Når Du sammenligner DirectAccess-klienten med remote access VPN-klienten, Kan DirectAccess-klienten presentere en mye lavere trusselprofil enn VPN-klienten, fordi DirectAccess-klienten alltid er innenfor kommando OG kontroll av bedriftens IT. Dette er i sterk kontrast til roaming ekstern tilgang VPN-klienter som kan eller ikke kan koble til bedriftsnettverket i lange perioder, noe som fører til konfigurasjon entropi som kan øke risikoen for system kompromiss betydelig. I tillegg kan de ovennevnte tiltakene som gjelder for vpn-klienten for ekstern tilgang, også brukes Med DirectAccess-klienten.

her er hvor vi når poenget med å gjøre et kritisk skille: når du sammenligner den roaming remote access VPN-klienten Til DirectAccess-klienten, peker alle bevisene på At DirectAccess-klienten utgjør en lavere trusselprofil. Sammenligninger mellom DirectAccess-klienten og» bolted-in » corpnet-klienten er sannsynligvis av akademisk interesse – siden få organisasjoner har disse «bolted-in» – klientene lenger,og de fleste bedrifter gjør det mulig for brukere med VPN-tilgang å nå corpnet-ressurser, og BÅDE VPN-klienter og DirectAccess-klienter vil bevege seg inn og ut av bedriftsnettverket, noe som gjør skillet mellom «corpnet-klienten» og «remote client» nesten meningsløst fra et sikkerhetsperspektiv.

Konklusjon

jeg har hørt en rekke mennesker uttrykker bekymring over de mulige truslene Som En DirectAccess-klient kan presentere til bedriftsnettverket på grunn av sin» alltid på » evne. Denne bekymringen er imidlertid uttrykt uten å vurdere Konteksten Til DirectAccess-klienten og hvordan den sammenligner MED den tradisjonelle vpn-klienten for ekstern tilgang. Fra analysene som er gitt i denne artikkelen, bør Det være klart på dette punktet at Fordi DirectAccess-klienten alltid styres, alltid oppdatert og alltid innenfor kommando OG kontroll av bedriftens IT, er trusselprofilen faktisk mye lavere enn den som presenteres av vpn-klienten for ekstern TILGANG.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.

Previous post Hage Myter-Lær sannheten om hagearbeid
Next post Du Gjør Det Feil: Forme Skjegget Ditt