wprowadzenie
jedną z najciekawszych części mojej pracy jest korespondencja, którą otrzymuję od czytelników, szczegółowo opisując ich własne scenariusze i pytania. Często słyszę od ludzi, którzy chcą zastąpić swoje obecne rozwiązania VPN DirectAccess. Chociaż zawsze cieszę się, że ludzie myślą o wdrożeniu DirectAccess (po części dlatego, że mój mąż pracuje z UAG DirectAccess i ta wiadomość go uszczęśliwia), muszę im przypomnieć, że chociaż DirectAccess ma wiele cech, które mogą sprawić, że pomyślisz o VPN, DirectAccess nie jest VPN. W rzeczywistości, to znacznie więcej. Jednym ze sposobów, aby zrozumieć, w jaki sposób klient DirectAccess różni się od klienta VPN, jest spojrzenie na inne typy klientów w sieci i spojrzenie na problemy związane z łącznością i bezpieczeństwem, które są ważne dla każdego z tych typów klientów.
typy klientów
aby rozpocząć tę dyskusję, Załóżmy, że istnieją trzy ogólne typy klientów, które są członkami domeny i są pod kontrolą administracyjną. Każdy z typów klientów byłby w większym lub mniejszym stopniu uważany za „klienta zarządzanego” :
- klient corpnet” wkręcony „
- klient VPN zdalnego dostępu w roamingu
- Klient DirectAccess
klient” Bolted-In „Corpnet
klient” bolted-in ” corpnet to system, który może, ale nie musi być dosłownie przykręcony, ale tak czy inaczej, nigdy nie opuszcza firmowego intranetu. System ten jest członkiem domeny, jest zawsze zarządzanym systemem i nigdy nie jest narażony na działanie innych sieci. Dostęp do Internetu jest zawsze kontrolowany przez zaporę inspekcyjną warstwy aplikacji, taką jak Zapora TMG. USB i inne wymienne gniazda na nośniki są zablokowane administracyjnie lub fizycznie, a fizyczny dostęp do budynku, w którym się znajduje, jest dozwolony tylko dla pracowników i gości eskortowanych. Systemy te mają zainstalowane oprogramowanie antywirusowe, są konfigurowane za pomocą zasad grupy lub innego systemu zarządzania w celu utrzymania pożądanej konfiguracji zabezpieczeń, A Ochrona dostępu do sieci (Nap) jest włączona w sieci, aby zapobiec łączeniu się nieuczciwych systemów z siecią i uzyskiwaniu dostępu do zasobów korporacyjnych. Zapora systemu Windows z zaawansowanymi zabezpieczeniami jest włączona i skonfigurowana w celu zmniejszenia ryzyka zagrożeń wprowadzanych przez robaki sieciowe.
ta koncepcja” przykręconego ” klienta corpnet jest tak bliska ideałowi bezpiecznego klienta, jak można sobie wyobrazić:
- system nigdy nie jest narażony na działanie sieci nie zaufanych.
- system jest zawsze zarządzany.
- system jest zawsze pod kontrolą IT firmy.
- dostęp do systemu jest ograniczony do pracowników i gości eskortowanych.
- „poza pasmem” dostęp do systemu jest ograniczony, ponieważ porty dla nośników wymiennych są administracyjnie lub fizycznie wyłączone.
- zapora internetowa inspekcja warstwy aplikacji, taka jak TMG, uniemożliwia użytkownikom pobieranie exploitów z Internetu.
- NAP zmniejsza ryzyko związane z niezarządzanymi klientami łączącymi się z siecią i rozprzestrzenianiem złośliwego oprogramowania uzyskanego z innych sieci.
- jest mało prawdopodobne, że system zostanie skradziony z powodu fizycznych środków podjętych w celu „podłączenia” klienta do fizycznej infrastruktury.
chociaż można sobie wyobrazić, że jest to idealny system pod względem bezpieczeństwa sieci, jak realistyczna jest ta charakterystyka? Ile masz teraz systemów klienckich, które nigdy nie opuszczają corpnet? I nawet z tymi kontrolkami na miejscu, jak odporne są te Maszyny do ataku? Rozważ następujące kwestie:
- Inżynieria społeczna jest powszechną metodą, która umożliwia atakującym uzyskanie fizycznego dostępu do maszyn, które są specjalnie ukierunkowane, dzięki czemu złośliwe oprogramowanie i trojany mogą być instalowane na „przykręconych” klientach corpnet.
- nawet przy wyłączonych portach fizycznych użytkownicy prawdopodobnie otrzymają dostęp do co najmniej napędu optycznego – w takim przypadku złośliwe oprogramowanie pozyskane z jakiegoś zewnętrznego miejsca może potencjalnie znaleźć drogę do klienta corpnet „bolted-in”.
- podczas gdy zapora inspekcyjna warstwy aplikacji może znacznie zapobiec przedostawaniu się złośliwego oprogramowania i trojanów do corpnet, jeśli zapora nie wykonuje inspekcji wychodzącego SSL (HTTPS), jest zasadniczo bezwartościowa, ponieważ trojany mogą używać bezpiecznego (i niezauważonego) kanału SSL, aby dotrzeć do swoich kontrolerów. Ponadto użytkownicy mogą korzystać z anonimowych serwerów proxy poprzez nieoczekiwane połączenie SSL.
- jeśli Trojan został zainstalowany na „przykręconym” kliencie corpnet, dobrze napisany Trojan użyłby HTTP lub SSL do połączenia się z kontrolerem i najprawdopodobniej połączyłby się z witryną, która nie została jeszcze sklasyfikowana jako „niebezpieczna”. Nawet jeśli organizacja zastosowała podejście” białej listy „do bezpieczeństwa, atakujący mógł przejąć niskoprofilową” bezpieczną witrynę ” (być może z zatruciem DNS) i poinstruować trojana, aby połączył się z tą witryną, aby mógł otrzymywać polecenia kontrolne.
- użytkownicy mogą próbować obejść Twoje kontrole, jeśli nie są w stanie odwiedzić witryn lub uzyskać dostępu do zasobów internetowych, których pragną. Jeśli użytkownicy korzystają z połączeń bezprzewodowych, mogą łatwo odłączyć się od korporacyjnej sieci bezprzewodowej i połączyć się z telefonem na uwięzi, aby uzyskać dostęp do zasobów zablokowanych przez korporacyjną zaporę ogniową, a następnie ponownie połączyć się z korporacją po uzyskaniu tego, czego chcą. Użytkownicy z połączeniem bezprzewodowym lub przewodowym mogą łatwo podłączyć bezprzewodową „kartę powietrza”, aby połączyć się z niefiltrowaną siecią i zagrozić maszynie przez alternatywną bramę. W tym scenariuszu klient corpnet” bolted-in ” nagle przejmuje niektóre cechy klienta zdalnego dostępu w roamingu.
nie chodzi o to, że przeprowadzanie należytej staranności w zakresie bezpieczeństwa jest lekcją daremności. Zamiast tego, co powinno być jasne, to że nawet w idealnej sytuacji” przykręconego ” klienta corpnet, istnieje wiele rzeczy, które mogą pójść nie tak i prowadzić do incydentu bezpieczeństwa. Nadal musisz zrobić wszystko, aby upewnić się, że Twoje maszyny są bezpieczne, aktualne i dobrze zarządzane – ale musisz spojrzeć z perspektywy, jak te „odizolowane” i nieruchome klienci corpnet porównują się z innymi typami systemów klientów korporacyjnych.
wreszcie i chyba najważniejsze, warto zastanowić się, czy koncepcja klienta corpnet „bolted-in” może być tylko przedmiotem zainteresowania akademickiego. Ilu z tych klientów istnieje dzisiaj w sieciach korporacyjnych-zwłaszcza w sieciach, w których większość pracowników to pracownicy wiedzy? W środowisku pracowników zadaniowych możesz uważać VDI za realne rozwiązanie, ponieważ zadania, które wykonują, nie wymagają szerokiego wachlarza funkcji zapewnianych przez pełne środowisko PC, ale pracownicy wiedzy potrzebują elastyczności i mocy zapewnianej przez w pełni aktywną platformę PC. Ponadto coraz więcej firm dostrzega zalety pracy zdalnej, a coraz więcej pracowników pracuje z domu lub łączy się z corpnet podczas jednej drogi. Co prowadzi nas do:
roaming Remote Access VPN Client
w latach dziewięćdziesiątych standardem był klient corpnet typu „bolted-in”. W drugiej dekadzie XXI wieku pracownicy są znacznie bardziej mobilni, a Wkręcany klient ustąpił miejsca roamingowemu klientowi zdalnego dostępu VPN. Pracownicy wiedzy mają potężne komputery przenośne, które zabierają do pracy, do domów, do miejsc klientów, do hoteli, na konferencje, na lotniska i gdziekolwiek indziej na świecie, gdzie jest połączenie z Internetem. W wielu przypadkach, po znalezieniu się w jednej lub kilku z tych lokalizacji, przywożą te laptopy z powrotem do corpnet.
klient VPN zdalnego dostępu w roamingu ma zupełnie inny profil zagrożenia w porównaniu z mitycznym klientem corpnet typu „bolted-in”. Podobnie jak klient corpnet „bolted-in”, maszyny te są członkami domeny, mają zainstalowane oprogramowanie antywirusowe, mają Zaporę systemu Windows z włączoną funkcją Advanced Security i są wstępnie skonfigurowane tak, aby były w pełni zgodne z korporacyjnymi zasadami bezpieczeństwa. Roamingowy komputer klienta VPN, po pierwszym dostarczeniu do użytkownika, jest tak samo bezpieczny jak” przykręcany ” klient corpnet.
jednak ten stan konfiguracji i bezpieczeństwa nie trwa długo. Użytkownik może nie łączyć się z corpnet przez połączenie VPN przez kilka dni lub tygodni. Użytkownik może też łączyć się codziennie przez tydzień lub dwa, a następnie nie łączyć się przez kilka miesięcy. W międzyczasie roamingowy komputer klienta VPN powoli, ale na pewno traci zgodność. Zasady grupy nie są aktualizowane, aktualizacje antywirusowe mogą być nieregularne, inne oprogramowanie antywirusowe może się nieaktualizować. Kontrole bezpieczeństwa i zgodności, które są nakładane na klientów zlokalizowanych w corpnet, mogą nigdy nie znaleźć drogi do klientów VPN zdalnego dostępu w roamingu, ponieważ nie łączą się przez VPN w odpowiednim czasie.
roamingowy klient VPN coraz bardziej wykracza poza zdefiniowaną konfigurację zgodności zabezpieczeń, a problem staje się powiększony, ponieważ maszyna jest podłączona do wielu sieci o niskim i nieznanym zaufaniu. Te niezarządzane lub źle zarządzane sieci mogą być pełne robaków sieciowych, a komputer może być narażony na użytkowników, którzy mają fizyczny lub logiczny dostęp do komputera i którzy w przeciwnym razie nie mieliby dostępu do komputera, gdyby nigdy nie opuścił corpnet.
co się stanie, gdy użytkownik wprowadzi do sieci firmowej komputer, który nie spełnia wymagań? Co zrobić, jeśli komputer został naruszony przez robaki, wirusy, trojany i inne formy złośliwego oprogramowania? Uszkodzenie może być ograniczone, jeśli masz włączoną Ochronę dostępu do sieci w sieci, ale ile sieci faktycznie włączyło NAP, mimo że jest on dostępny od lat w ramach platformy Windows Server 2008 i nowszej?
oczywiście użytkownik nie musiałby nawet przywracać uszkodzonego komputera do sieci. Załóżmy, że użytkownik podłączył komputer do wielu różnych sieci, wystawił komputer na wielu użytkowników o nieznanym zaufaniu i skończył z uszkodzonym komputerem. Następnie użytkownik musi zmienić hasło po trzech miesiącach, aby połączyć się przez VPN, aby wykonać zmianę hasła. Potencjalnie katastrofalne wyniki Bezpieczeństwa byłyby takie same, jak gdyby komputer został faktycznie zwrócony do fizycznej sieci korporacyjnej.
jak widać, klient VPN korzystający z roamingu ma szereg problemów z bezpieczeństwem w porównaniu z historycznym klientem „przykręconym”:
- roamingowy klient VPN jest połączony z corpnet w sposób przerywany – lub czasami nigdy-i dlatego jest poza zasięgiem Polityki grupy i innych systemów zarządzania.
- roamingowy klient VPN jest narażony na niezarządzane i źle zarządzane sieci, co zwiększa potencjalną „powierzchnię atakującego”, na którą narażony jest roamingowy klient VPN o zdalnym dostępie, w porównaniu z maszyną, która nigdy nie opuszcza sieci.
- klienci VPN w roamingu mogą uzyskać dostęp do Internetu, a użytkownicy mogą robić, co chcą, gdy są połączeni ze stronami internetowymi, ponieważ zazwyczaj nie ma filtrowania połączeń internetowych, gdy klient VPN nie jest podłączony do corpnet.
- jeśli klient VPN jest skonfigurowany do wyłączania dzielonego tunelowania, może być zmuszony do korzystania z korporacyjnych bram dostępu do Internetu w czasie połączenia klienta. Jednak po zerwaniu połączenia VPN użytkownik może ponownie robić, co chce – i może udostępniać wszelkie złośliwe oprogramowanie lub trojany, które komputer uzyskał podczas rozłączenia z VPN, gdy ponownie się połączy.
- użytkownicy mogą uniknąć łączenia się z VPN, ponieważ czasy logowania są powolne, łączność jest niespójna, a cała obsługa VPN jest mniej niż optymalna, co dodatkowo zwiększa ryzyko naruszenia zgodności z przepisami bezpieczeństwa i zwiększa ryzyko kompromisów.
roamingowy klient VPN różni się zatem znacznie pod względem bezpieczeństwa w porównaniu z klientem corpnet” bolted-in”:
- Polityka grupy może, ale nie musi, być aktualizowana w odpowiednim czasie.
- Oprogramowanie Antywirusowe może być aktualizowane lub nie w odpowiednim czasie.
- Oprogramowanie Antywirusowe może, ale nie musi, być aktualizowane w odpowiednim czasie.
- Inne metody zarządzania i kontroli mogą, ale nie muszą, być w stanie ponownie skonfigurować klienta w odpowiednim czasie.
- liczba osób, które mają dostęp do fizycznego komputera klienta VPN jest potencjalnie większa niż tych, którzy mają dostęp do „przykręconego” klienta corpnet, w tym nie tylko członków rodziny i przyjaciół użytkownika, ale także osób, które mogą faktycznie ukraść komputer.
kluczową różnicą między klientem VPN w roamingu a klientem corpnet „bolted-in” jest to, że klient VPN nie zawsze jest zarządzany i jest narażony na większą liczbę zagrożeń programowych i fizycznych. Istnieją jednak sposoby łagodzenia niektórych z tych zagrożeń i wiele firm wprowadziło już metody, takie jak następujące:
- wdrażanie szyfrowania dysku (takiego jak BitLocker), aby w przypadku kradzieży komputera dysk nie mógł zostać odczytany za pomocą „ataku offline”. Szyfrowanie dysku może również wykorzystywać metodę dostępu opartą na „kluczu” do dysku, dzięki czemu jeśli urządzenie jest wyłączone, urządzenie nie uruchomi się bez klucza.
- wymaga uwierzytelniania dwuskładnikowego, aby zalogować się na maszynę, przy czym drugi czynnik jest również wymagany do odblokowania maszyny lub wybudzenia jej ze snu.
- wdrażanie NAP lub podobnych technologii w celu testowania zabezpieczeń punktów końcowych, zanim maszyna uzyska dostęp do sieci corpnet. Jeśli maszyna nie może naprawić, nie ma dostępu do corpnet.
- odpychanie centrum danych od wszystkich klientów, zarówno klientów VPN, jak i corpnet, tak aby centrum danych było fizycznie i logicznie oddzielone od całej populacji klientów.
użycie jednego z tych środków łagodzących znacznie zmniejszy potencjalne zagrożenie narażone przez klientów VPN o dostępie zdalnym. Chociaż być może nie wyrównuje pola za pomocą klienta corpnet „bolted-in”, Mogą istnieć scenariusze, w których klient VPN zdalnego dostępu w roamingu może faktycznie stanowić mniejsze ryzyko. Przeanalizujemy jeden z nich w dalszej części tego artykułu.
Klient DirectAccess
teraz przechodzimy do tematu klienta DirectAccess. Podobnie jak klient VPN, ten komputer może przenosić się z corpnet, do pokoju hotelowego, do centrum konferencyjnego, na lotnisko i gdziekolwiek indziej, gdzie może znajdować się roamingowy klient VPN o zdalnym dostępie. Klient DirectAccess, w swoim okresie życia, będzie podłączony zarówno do zaufanych, jak i niezaufanych sieci, podobnie jak klient VPN zdalnego dostępu w roamingu, a ryzyko fizycznego kompromisu komputera jest również podobne do ryzyka obserwowanego w przypadku klienta VPN zdalnego dostępu w roamingu. Tak więc wydaje się, że wynikiem porównania między Klientem DirectAccess a klientem VPN jest to, że są one zasadniczo takie same z perspektywy zagrożenia.
jednak istnieją pewne znaczące różnice między klientem VPN zdalnego dostępu w roamingu a klientem DirectAccess:
- Klient DirectAccess jest zawsze zarządzany. Tak długo, jak komputer klienta DirectAccess jest włączony i połączony z Internetem, Klient DirectAccess będzie miał łączność z serwerami zarządzania, które utrzymują klienta DirectAccess w zgodności z konfiguracją zabezpieczeń.
- Klient DirectAccess jest zawsze sprawny. Jeśli musi połączyć się z Klientem DirectAccess w celu wykonania niestandardowej konfiguracji oprogramowania lub rozwiązać problem z Klientem DirectAccess, nie ma problemu z uzyskaniem dostępu, ponieważ połączenie między Klientem DirectAccess a stacjami zarządzania IT jest dwukierunkowe.
- Klient DirectAccess używa do połączenia dwóch oddzielnych tuneli. Klient DirectAccess ma dostęp tylko do infrastruktury zarządzania i konfiguracji przez pierwszy tunel. Ogólny dostęp do sieci nie jest dostępny, dopóki użytkownik nie zaloguje się i nie utworzy tunelu infrastruktury.
porównując klienta DirectAccess z klientem dostępu zdalnego VPN, klient DirectAccess może prezentować znacznie niższy profil zagrożenia niż klient VPN, ponieważ klient DirectAccess jest zawsze pod kontrolą korporacyjnego działu IT. Jest to w przeciwieństwie do klientów VPN zdalnego dostępu w roamingu, które mogą, ale nie muszą, łączyć się z siecią firmową przez długi czas, co prowadzi do entropii konfiguracji, która może znacznie zwiększyć ryzyko naruszenia systemu. Ponadto wymienione powyżej ograniczenia dotyczące klienta dostępu zdalnego VPN mogą być również używane z Klientem DirectAccess.
tutaj dojdziemy do punktu krytycznego rozróżnienia: porównując klienta VPN zdalnego dostępu w roamingu z Klientem DirectAccess, wszystkie dowody wskazują na to, że Klient DirectAccess ma niższy profil zagrożenia. Porównania między Klientem DirectAccess a klientem corpnet ” bolted-in „są prawdopodobnie tylko przedmiotem zainteresowania akademickiego – ponieważ niewiele organizacji ma już takich klientów” bolted-in”, a większość firm umożliwia użytkownikom dostęp VPN do zasobów corpnet, a zarówno klienci VPN, jak i klienci DirectAccess będą wchodzić i wychodzić z sieci korporacyjnej, co sprawi, że podział między” Klientem corpnet „a” klientem zdalnym ” będzie praktycznie bez znaczenia z punktu widzenia bezpieczeństwa.
podsumowanie
słyszałem, że wiele osób wyraża zaniepokojenie możliwymi zagrożeniami, jakie Klient DirectAccess może przedstawić sieci korporacyjnej ze względu na jego „zawsze włączony” potencjał. Jednak obawy te są wyrażane bez uwzględnienia kontekstu klienta DirectAccess i tego, w jaki sposób jest on porównywany do tradycyjnego klienta VPN dostępu zdalnego. Z analiz przedstawionych w tym artykule wynika, że ponieważ klient DirectAccess jest zawsze zarządzany, zawsze aktualizowany i zawsze pod kontrolą korporacyjnego działu IT, jego profil zagrożenia jest znacznie niższy niż przedstawiony przez Klienta dostępu zdalnego VPN.