Articles

DirectAccess versus VPN: ze zijn niet hetzelfde

admin

Inleiding

een van de interessantste onderdelen van mijn werk is de correspondentie die ik krijg van lezers met hun eigen scenario ‘ s en vragen. Ik hoor vaak van mensen die hun huidige VPN-oplossingen willen vervangen door DirectAccess. Hoewel ik altijd blij ben om te horen dat mensen denken over het implementeren van DirectAccess (deels omdat mijn man werkt met UAG DirectAccess en dat nieuws maakt hem blij), moet ik hen eraan herinneren dat, hoewel DirectAccess vele kenmerken heeft die je aan VPN doen denken, DirectAccess geen VPN is. In feite is het veel meer. Een manier om te begrijpen hoe de DirectAccess-client verschilt van de VPN-client is om het in perspectief te plaatsen met andere typen clients op uw netwerk en te kijken naar de verbindings-en beveiligingsproblemen die belangrijk zijn bij elk van deze clienttypen.

typen Clients

om deze discussie te beginnen, laten we aannemen dat er drie algemene typen clients zijn die domeinleden zijn en onder Uw beheer staan. Elk type cliënt zou in meer of mindere mate als een “beheerde cliënt” worden beschouwd:

  • De “bouten-in” corpnet client
  • De roaming remote access VPN-client
  • De DirectAccess client

De “Bouten-In” Corpnet Client

De “bouten-in” corpnet opdrachtgever is een systeem dat misschien wel, misschien niet letterlijk worden genomen, maar verlaat nooit het intranet van het bedrijf. Dit systeem is een domeinlid, is een altijd beheerd systeem en wordt nooit blootgesteld aan andere netwerken. De internettoegang wordt altijd gecontroleerd door een applicatielaag inspectie firewall, zoals een TMG firewall. USB-en andere verwijderbare mediasleuven zijn administratief of fysiek vergrendeld en fysieke toegang tot het gebouw waar het zich bevindt is alleen toegestaan voor werknemers en begeleide gasten. Deze systemen hebben anti-malwaresoftware geà nstalleerd, worden geconfigureerd via Groepsbeleid of een ander managementsysteem om de gewenste beveiligingsconfiguratie te behouden, en Network Access Protection (Nap) is ingeschakeld op het netwerk om te voorkomen dat bedrieglijke systemen verbinding maken met het netwerk en toegang krijgen tot bedrijfsmiddelen. Windows-Firewall met een geavanceerde beveiliging is ingeschakeld en geconfigureerd om het risico op bedreigingen die door netwerkwormen worden geïntroduceerd, te verminderen.

dit concept van de” bolted-in ” corpnet client komt zo dicht mogelijk bij het ideaal van veilige client als men zich kan voorstellen:

  • het systeem wordt nooit blootgesteld aan niet-vertrouwde netwerken.
  • het systeem wordt altijd beheerd.
  • het systeem staat altijd onder de controle van zakelijke IT.
  • toegang tot het systeem is beperkt tot werknemers en begeleide gasten.
  • “buiten de band” toegang tot het systeem is beperkt omdat poorten voor verwijderbare media administratief of fysiek zijn uitgeschakeld.
  • een internetfirewall voor applicatielagen zoals TMG voorkomt dat gebruikers exploits downloaden van over het Internet.
  • NAP vermindert de risico ‘ s van niet-beheerde clients die verbinding maken met het netwerk en malware verspreiden die afkomstig is van andere netwerken.
  • het is onwaarschijnlijk dat het systeem zal worden gestolen als gevolg van fysieke maatregelen die zijn genomen om de client aan de fysieke infrastructuur te koppelen.

hoewel je zou kunnen voorstellen dat dit het ideale systeem in termen van netwerkbeveiliging, hoe realistisch is deze karakterisering? Hoeveel clientsystemen heb je nu die nooit het corpnet verlaten? En zelfs met deze controles op hun plaats, hoe immuun zijn deze machines om aan te vallen? Overweeg het volgende:

  • Social engineering is een veelgebruikte methode die aanvallers in staat stelt om fysieke toegang te krijgen tot machines die specifiek zijn gericht, zodat malware en Trojaanse paarden kunnen worden geïnstalleerd op “bouted-in” corpnet clients.
  • zelfs als fysieke poorten zijn uitgeschakeld, is het waarschijnlijk dat gebruikers toegang krijgen tot ten minste een optisch station – in welk geval malware verkregen van een externe locatie mogelijk zijn weg kan vinden naar de “bolted-in” corpnet-client.
  • hoewel een firewall voor inspectie van applicatielagen een lange weg kan gaan om te voorkomen dat malware en Trojaanse paarden het corpnet binnenkomen, is deze in wezen waardeloos als de firewall geen outbound SSL (HTTPS) – inspectie uitvoert, omdat Trojaanse paarden het beveiligde (en niet-geïnspecteerde) SSL-kanaal kunnen gebruiken om hun controllers te bereiken. Bovendien kunnen gebruikers profiteren van anonieme proxies door middel van een onverwachte SSL-verbinding.
  • als een Trojan geïnstalleerd werd op de” bolted-in “corpnet client, zou een goed geschreven Trojan HTTP of SSL gebruiken om verbinding te maken met de controller en hoogstwaarschijnlijk verbinding maken met een site die nog niet gecategoriseerd is als”gevaarlijk”. Zelfs als de organisatie gebruikt een “witte lijst” aanpak van de veiligheid, de aanvaller kan een laag profiel kapen “veilige site” (misschien met DNS vergiftiging) en instrueren de Trojan om verbinding te maken met die site, zodat het controle commando ‘ s kunnen ontvangen.
  • gebruikers kunnen proberen uw controles te omzeilen als ze niet in staat zijn om sites te bezoeken of toegang te krijgen tot internetbronnen die ze wensen. Als gebruikers draadloze verbindingen gebruiken, kunnen ze eenvoudig de verbinding met de zakelijke Draadloze Verbinding verbreken en verbinding maken met een vastgebonden telefoon om toegang te krijgen tot bronnen die worden geblokkeerd door de zakelijke firewall en vervolgens opnieuw verbinding maken met het corpnet nadat ze hebben gekregen wat ze willen. Gebruikers met een draadloze of bekabelde verbinding kunnen gemakkelijk een draadloze “luchtkaart” aansluiten om verbinding te maken met een ongefilterd netwerk en de machine via de alternatieve gateway in gevaar brengen. In dit scenario neemt de “bolted-in” corpnet-client plotseling enkele kenmerken over van de Roaming-Client voor externe toegang.

het punt is niet dat het uitvoeren van beveiliging due diligence is een les in futiliteit. In plaats daarvan, wat duidelijk moet zijn is dat zelfs in de ideale situatie van de “bolted in” corpnet client, zijn er veel dingen die mis kunnen gaan en leiden tot een beveiligingsincident. U moet er alles aan doen om ervoor te zorgen dat uw machines veilig, up – to-date en goed beheerd zijn-maar u moet in perspectief plaatsen hoe deze “geïsoleerde” en immobiele corpnet-clients zich verhouden tot andere soorten zakelijke clientsystemen.

ten slotte, en misschien wel het belangrijkste, is het de moeite waard om na te gaan of het concept van de “bolted-in” corpnet-cliënt alleen van academisch belang kan zijn. Hoeveel van deze klanten bestaan er vandaag op bedrijfsnetwerken – vooral netwerken waar de meerderheid van de werknemers kenniswerkers zijn? In een taak worker omgeving, je zou kunnen denken van VDI als een haalbare oplossing, omdat de taken die ze uitvoeren niet het brede scala aan functionaliteit die door een volledige PC-omgeving, maar kennis werknemers nodig hebben de flexibiliteit en de kracht van een volledig ingeschakeld PC-platform. Bovendien erkennen steeds meer bedrijven de voordelen van telewerken en werken steeds meer werknemers vanuit huis of verbinden ze zich met het corpnet terwijl ze onderweg zijn. Dat brengt ons bij:

de roaming Remote Access VPN-Client

In de jaren negentig was de” bolted-in ” corpnet-client de norm. In het tweede decennium van de 21e eeuw zijn werknemers veel mobieler en heeft de vastgeschroefde klant plaats gemaakt voor de roaming remote access VPN-client. Kenniswerkers hebben krachtige laptopcomputers die ze meenemen naar hun werk, naar hun huis, naar klantensites, naar hotels, naar conferenties, naar luchthavens en overal in de wereld waar er een internetverbinding is. En in veel gevallen, nadat ze op een of meer van deze locaties zijn geweest, brengen ze deze laptops terug naar het corpnet.

de roaming remote access VPN-client vormt een heel ander bedreigingsprofiel in vergelijking met de mythische “bolted-in” corpnet-client. Net als de” bolted-in ” corpnet client, deze machines zijn domeinleden, hebben anti-malware software geà nstalleerd, hebben de Windows Firewall met geavanceerde beveiliging ingeschakeld, en zijn in eerste instantie geconfigureerd om volledig te voldoen aan zakelijke beveiligingsbeleid. De roaming VPN client computer, wanneer Voor het eerst geleverd aan de gebruiker, is zo veilig als “bolted-in” corpnet client.

die configuratie-en beveiligingsstatus duurt echter niet lang. De gebruiker kan dagen of weken geen verbinding maken met het corpnet via de VPN-verbinding. Of de gebruiker kan dagelijks verbinding maken voor een week of twee, en dan niet verbinden voor een paar maanden. In de tussentijd valt de roaming VPN-clientcomputer langzaam maar zeker uit de compliance. Groepsbeleid is niet bijgewerkt, anti-virus updates kunnen worden voltooid op een onregelmatige basis, andere anti-malware software kan verouderd vallen. Beveiligings-en nalevingscontroles die worden opgelegd aan clients die zich op het corpnet bevinden, vinden mogelijk nooit hun weg naar de roaming VPN-clients voor externe toegang omdat ze niet tijdig verbinding maken via de VPN.

de roaming VPN-client valt steeds verder buiten uw gedefinieerde beveiligingsconfiguratie en het probleem wordt vergroot omdat de machine is verbonden met een aantal netwerken met een laag en onbekend vertrouwen. Deze onbeheerde of slecht beheerde netwerken kunnen vol netwerkwormen zitten en de computer kan worden blootgesteld aan gebruikers die fysieke of logische toegang tot de computer hebben en die anders geen toegang tot de computer zouden hebben als deze nooit het corpnet zou verlaten.

Wat gebeurt er als de gebruiker de niet-conforme computer terugbrengt naar het bedrijfsnetwerk? Wat als de computer werd aangetast door wormen, virussen, Trojaanse paarden en andere vormen van malware? De schade kan beperkt zijn als u Netwerktoegangsbeveiliging hebt ingeschakeld op het netwerk, maar hoeveel netwerken hebben NAP eigenlijk ingeschakeld, hoewel het al jaren beschikbaar is als onderdeel van het Windows Server 2008-platform en hoger?

natuurlijk hoeft de gebruiker de besmette computer niet eens terug te brengen naar het netwerk. Stel dat de gebruiker de computer had aangesloten op een aantal verschillende netwerken, blootgesteld aan een aantal gebruikers van onbekende vertrouwen, en eindigde met een besmette computer. Vervolgens moet de gebruiker zijn wachtwoord na drie maanden wijzigen, zodat hij verbinding maakt via VPN om de wachtwoordwijziging uit te voeren. De potentieel desastreuze veiligheidsresultaten zouden hetzelfde zijn als wanneer de computer daadwerkelijk zou worden teruggestuurd naar het fysieke bedrijfsnetwerk.

zoals u kunt zien, lijdt de roaming VPN-client aan een aantal beveiligingsproblemen in vergelijking met de historische” bolted in ” – client:

  • de roaming VPN – client is intermitterend – of soms nooit-verbonden met het corpnet en valt daarom buiten het bereik van Groepsbeleid en andere managementsystemen.
  • de roaming VPN-client wordt blootgesteld aan onbeheerde en slecht beheerde netwerken, waardoor de potentiële “aanvaller” waaraan de roaming remote access VPN-client wordt blootgesteld, groter wordt dan de machine die nooit het corpnet verlaat.
  • de roaming VPN-clients hebben toegang tot het Internet en de gebruikers kunnen doen wat ze willen terwijl ze verbonden zijn met internetsites omdat er doorgaans geen filtering van internetverbindingen is wanneer de VPN-client niet verbonden is met het corpnet.
  • als de VPN-client is geconfigureerd om split-tunneling uit te schakelen, kan het worden gedwongen om zakelijke internettoegang gateways te gebruiken gedurende de tijd dat de client is verbonden. Zodra de VPN-verbinding echter is verbroken, kan de gebruiker opnieuw doen wat hij wil – en kan hij malware of Trojans delen die de computer heeft verworven terwijl hij is losgekoppeld van de VPN wanneer hij opnieuw verbinding maakt.
  • gebruikers kunnen een verbinding met de VPN vermijden omdat de aanmeldingstijden traag zijn, de connectiviteit inconsistent is en de hele VPN-ervaring minder dan optimaal is, waardoor het risico op het niet naleven van de beveiligingsvoorschriften verder toeneemt en het risico op compromissen toeneemt.

de roaming VPN-client is daarom significant verschillend vanuit een beveiligingsperspectief, in vergelijking met de” bolted-in ” corpnet-client:

  • het groepsbeleid kan al dan niet tijdig worden bijgewerkt.
  • antivirussoftware kan al dan niet tijdig worden bijgewerkt.
  • Anti-malwaresoftware kan al dan niet tijdig worden bijgewerkt.
  • andere beheers-en controlemethoden kunnen de cliënt al dan niet tijdig opnieuw configureren.
  • het aantal mensen dat toegang heeft tot de fysieke VPN-clientcomputer is potentieel groter dan degenen die toegang hebben tot een “bolted-in” corpnet-client, inclusief niet alleen familieleden en vrienden van de gebruiker, maar ook mensen die de computer daadwerkelijk kunnen stelen.

het belangrijkste verschil tussen de roaming VPN-client en de “bolted-in” corpnet-client is dat de VPN-client niet altijd wordt beheerd, en dat het wordt blootgesteld aan een groter aantal programmatische en fysieke bedreigingen. Er zijn echter manieren om sommige van deze bedreigingen te beperken en veel bedrijven hebben al methoden geïntroduceerd om dit te doen, zoals de volgende:

  • het implementeren van schijfversleuteling (zoals BitLocker), zodat als een machine wordt gestolen, de schijf niet kan worden gelezen met behulp van een “offline aanval”. Disk encryptie kan ook gebruik maken van een “sleutel” gebaseerde toegangsmethode om de schijf, zodat als de machine is uitgeschakeld, de machine niet zal opstarten zonder de sleutel.
  • vereist tweefactorauthenticatie om in te loggen op de machine, waarbij de tweede factor ook vereist is om de machine te ontgrendelen of uit de slaap te wekken.
  • nap-of soortgelijke technologieën gebruiken om de endpointbeveiliging te testen voordat de machine corpnet-toegang krijgt. Als de machine niet kan herstellen, is corpnet geen toegang toegestaan.
  • ervoor zorgen dat gebruikersaccounts die worden gebruikt om in te loggen op het netwerk niet hetzelfde zijn als administratieve accounts die worden gebruikt om netwerkservers en-services te beheren, om hoogteaanvallen te voorkomen.
  • duwt het datacenter weg van alle clients, zowel VPN-als corpnet-gesitueerde clients, zodat het datacenter fysiek en logisch gescheiden is van de gehele clientpopulatie.

het gebruik van een van meer van deze beperkingen zal een lange weg in de richting van het verminderen van de potentiële bedreiging blootgesteld door remote access VPN-clients. Hoewel het veld misschien niet wordt genivelleerd met de “bolted-in” corpnet-client, kunnen er scenario ‘ s zijn waarbij de roaming remote access VPN-client eigenlijk een lager risico kan opleveren. We zullen een van die later in dit artikel te onderzoeken.

de DirectAccess-Client

nu komen we bij het onderwerp van de DirectAccess-client. Net als de VPN-client kan deze computer zich verplaatsen van het corpnet, naar een hotelkamer, naar een conferentiecentrum, naar een luchthaven en naar ergens anders waar een roaming remote access VPN-client zich kan bevinden. De DirectAccess-client zal tijdens zijn levensduur verbonden zijn met zowel vertrouwde als niet-vertrouwde netwerken, net als de roaming remote access VPN-client, en het risico van fysiek compromis van de computer is ook vergelijkbaar met dat van de roaming remote access VPN-client. Zo lijkt het erop dat het resultaat van een vergelijking tussen de DirectAccess-client en de VPN-client is dat ze in wezen hetzelfde zijn vanuit een bedreigingsperspectief.

er zijn echter enkele significante verschillen tussen de roaming remote access VPN-client en de DirectAccess-client:

  • de DirectAccess-client wordt altijd beheerd. Zolang de DirectAccess-clientcomputer is ingeschakeld en met Internet is verbonden, heeft de DirectAccess-client verbinding met beheerservers die ervoor zorgen dat de DirectAccess-client voldoet aan de vereisten voor beveiligingsconfiguratie.
  • de DirectAccess-client is altijd bruikbaar. Als er verbinding moet worden gemaakt met de DirectAccess-client om aangepaste softwareconfiguratie uit te voeren of een probleem op de DirectAccess-client op te lossen, is er geen probleem met het verkrijgen van toegang omdat de verbinding tussen de DirectAccess-client en IT-managementstations bidirectioneel is.
  • de DirectAccess-client gebruikt twee aparte tunnels om verbinding te maken. De DirectAccess-client heeft alleen toegang tot de beheer-en configuratieinfrastructuur via de eerste tunnel. Algemene netwerktoegang is niet beschikbaar totdat de gebruiker zich aanmeldt en de infrastructuurtunnel maakt.

wanneer u de DirectAccess-client vergelijkt met de VPN-client voor externe toegang, kan de DirectAccess-client een veel lager risicoprofiel vertonen dan de VPN-client, omdat de DirectAccess-client altijd binnen de opdracht en het beheer van zakelijke IT valt. Dit staat in schril contrast met de roaming remote access VPN-clients die al dan niet lange tijd verbinding kunnen maken met het bedrijfsnetwerk, wat leidt tot configuratie-entropie die het risico op systeemcompromis aanzienlijk kan verhogen. Daarnaast kunnen de hierboven genoemde beperkingen die van toepassing zijn op de VPN-client voor ras ook worden gebruikt met de DirectAccess-client.

hier komen we op het punt van het maken van een kritisch onderscheid: wanneer de roaming VPN-client voor externe toegang wordt vergeleken met de DirectAccess-client, wijst alles erop dat de DirectAccess-client een lager risicoprofiel heeft. Vergelijkingen tussen de DirectAccess-client en de “bolted – in” corpnet-client zijn waarschijnlijk alleen van academisch belang-omdat weinig organisaties deze “bolted-in” clients meer hebben en de meeste bedrijven stellen gebruikers met VPN-toegang in staat om corpnet-bronnen te bereiken,en zowel VPN-clients als DirectAccess-clients zullen in en uit het bedrijfsnetwerk bewegen, waardoor de scheiding tussen de “corpnet-client” en de “remote client” vrijwel zinloos is vanuit een beveiligingsperspectief.

conclusie

ik heb een aantal mensen hun bezorgdheid horen uiten over de mogelijke bedreigingen die een DirectAccess-client kan presenteren aan het bedrijfsnetwerk vanwege zijn “always-on” – mogelijkheid. Deze bezorgdheid wordt echter geuit zonder rekening te houden met de context van de DirectAccess-client en hoe deze zich verhoudt tot de traditionele VPN-client voor externe toegang. Uit de analyses in dit artikel moet op dit punt duidelijk zijn dat, omdat de DirectAccess-client altijd wordt beheerd, altijd wordt bijgewerkt en altijd binnen de opdracht en controle van zakelijke IT valt, zijn bedreigingsprofiel inderdaad veel lager is dan dat van de VPN-client voor externe toegang.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Previous post Tuinmythes-leer de waarheid over tuinieren
Next post You ‘ re Doing It Wrong: Shaping Your Beard