Introdução
Uma das partes mais interessantes do meu trabalho é a correspondência que recebo de leitores detalhando seus próprios cenários e questões. Muitas vezes ouço pessoas que querem substituir as suas actuais soluções VPN por acesso directo. Enquanto eu estou sempre feliz em saber que as pessoas estão pensando sobre a implantação do DirectAccess (em parte porque o meu marido trabalha com UAG DirectAccess e que a notícia faz feliz), eu tenho que lembrá-los de que enquanto o DirectAccess tem muitas características que podem fazer você pensar de VPN, o DirectAccess não é uma VPN. Na verdade, é muito mais. Uma maneira de entender como o cliente DirectAccess difere do cliente VPN é colocá-lo em perspectiva com outros tipos de clientes em sua rede e olhar para a conectividade e as questões de segurança que são importantes, com cada um destes tipos de clientes.
Tipos de Clientes
Para iniciar esta discussão, vamos assumir que existem três tipos gerais de clientes que são membros do domínio e estão sob seu controle administrativo. Cada um dos tipos de clientes seria considerado um “cliente gerido” em maior ou menor medida:
- O “aparafusado-na” rede corporativa do cliente
- móvel Do cliente VPN de acesso remoto
- O cliente DirectAccess
O “Aparafusado-Na” rede Corporativa do Cliente
O “aparafusado-na” rede corporativa do cliente é um sistema que pode ser ou pode não ser, literalmente, aparafusadas, mas de qualquer forma, ele nunca deixa de intranet da empresa. Este sistema é um membro do domínio, é um sistema sempre gerenciado e nunca é exposto a qualquer outra rede. Seu acesso à Internet é sempre controlado por uma firewall de inspeção de camada de aplicação, como uma firewall TMG. As slots USB e outros meios de comunicação amovíveis são bloqueados administrativamente ou fisicamente e o acesso físico ao edifício onde reside é permitido apenas aos funcionários e convidados escoltados. Estes sistemas têm software anti-malware instalado, são configurados através da Política de grupo ou algum outro sistema de gestão para manter a configuração de segurança desejada, e a proteção de acesso à rede (NAP) é ativada na rede, a fim de evitar que os sistemas desonestos se conectem à rede e acessem os recursos corporativos. O Firewall do Windows com segurança avançada está habilitado e configurado para reduzir o risco de ameaças introduzidas pelos worms de rede.
este conceito do cliente corpnet “aparafusado” chega tão perto quanto o ideal de cliente seguro como se pode imaginar:
- o sistema nunca é exposto a redes não confiáveis.
- o sistema é sempre gerido.
- o sistema está sempre sob o Controle Da it corporativa.
- o acesso ao sistema é limitado aos empregados e convidados escoltados.
- “fora da Faixa” o acesso ao sistema é limitado porque as portas para mídia removível são administrativamente ou fisicamente deficientes.
- uma firewall da Internet de inspeção de camada de aplicação, como a TMG, impede os usuários de baixar façanhas através da Internet.
- o PNA reduz os riscos de clientes não geridos ligarem-se à rede e espalharem malware obtido a partir de outras redes.
- é improvável que o sistema seja roubado devido a medidas físicas tomadas para “fugir” do cliente para a infra-estrutura física.
embora você possa imaginar que este seja o sistema ideal em termos de segurança de rede, quão realista é essa caracterização? Quantos sistemas de clientes tens agora que nunca saem da corpnet? E mesmo com esses controles no lugar, quão imunes são essas máquinas para atacar? Considere o seguinte::
- a engenharia Social é um método comum que permite aos atacantes obter acesso físico a máquinas que são especificamente direcionadas para que malware e troianos possam ser instalados em clientes “aparafusados” da corpnet.
- mesmo com portas físicas desactivadas, é provável que os utilizadores tenham acesso a, pelo menos, um drive óptico – caso em que malware obtido de algum local exterior pode potencialmente encontrar o seu caminho para o cliente “aparafusado” da corpnet.
- Enquanto uma inspeção da camada de aplicativo de firewall pode ir um longo caminho para a prevenção de malware e cavalos de tróia de entrar na rede corporativa, se o firewall não executar a saída de SSL (HTTPS) de inspeção, é essencialmente inútil, porque os cavalos de tróia podem usar o seguro (e não verificados) canal SSL para alcançar os seus controladores. Além disso, os usuários podem tirar vantagem de proxies anônimos através de uma conexão SSL inesperada.
- Se um cavalo de Tróia foram instalados no “aparafusado-na” rede corporativa do cliente, bem escrito Trojan seria usar HTTP ou SSL para se conectar a seu controlador e, provavelmente, se conectar a um site que ainda não foi classificado como “perigoso”. Mesmo se a organização usou uma abordagem de ” lista branca “para a segurança, o atacante poderia sequestrar um” site seguro ” de baixo perfil (talvez com envenenamento DNS) e instruir o Trojan para se conectar a esse site para que ele possa receber comandos de controle.
- os utilizadores podem tentar contornar os seus controlos se não puderem visitar sítios ou aceder aos recursos da Internet que desejam. Se os usuários estão usando conexões sem fio, eles podem facilmente se desligar do Wireless corporativo e se conectar a um telefone conectado para acessar recursos que são bloqueados pelo firewall corporativo e, em seguida, reconectar para a corpnet depois de obter o que eles querem. Os usuários com uma conexão sem fio ou com fio podem ser capazes de conectar facilmente uma “placa de ar” sem fio para se conectar a uma rede não filtrada e comprometer a máquina através do gateway alternativo. Neste cenário, o cliente” aparafusado ” da corpnet assume subitamente algumas das características do cliente de acesso remoto em roaming.
a questão não é que fazer a devida diligência é uma lição de futilidade. Em vez disso, o que deve ficar claro é que mesmo na situação ideal do cliente “aparafusado” da corpnet, há muitas coisas que podem dar errado e levar a um incidente de segurança. Você ainda precisa fazer tudo o que puder para se certificar de que suas máquinas são seguras, atualizadas e bem gerenciadas – mas você precisa colocar em perspectiva como esses clientes “isolados” e imobilizados corpnet se comparam a outros tipos de sistemas de clientes corporativos.Finalmente e talvez o mais importante, vale a pena considerar se o conceito do cliente corpnet “aparafusado” pode ser apenas de interesse acadêmico. Quantos destes clientes existem hoje em redes corporativas – especialmente redes onde a maioria dos empregados são trabalhadores do conhecimento? Em um ambiente de trabalho, você pode pensar em VDI como uma solução viável, porque as tarefas que eles executam não exigem a ampla gama de funcionalidades fornecidas por um ambiente de PC completo, mas os trabalhadores do conhecimento precisam da flexibilidade e poder fornecidos por uma plataforma de PC totalmente habilitado. Além disso, cada vez mais empresas estão reconhecendo as vantagens do teletrabalho e cada vez mais funcionários estão trabalhando a partir de casa ou conectando-se ao corpnet enquanto um o caminho. O que nos leva a:
o cliente Roaming Remote Access VPN
na década de 1990, o cliente” aparafusado ” corpnet era a norma. Na segunda década do século XXI, os trabalhadores são muito mais móveis e o cliente aparafusado deu lugar ao cliente de roaming de acesso remoto VPN. Os trabalhadores do conhecimento têm Computadores portáteis poderosos que levam para o trabalho, para suas casas, para sites de clientes, para hotéis, conferências, aeroportos e em qualquer outro lugar do mundo onde há uma conexão à Internet. E em muitos casos, depois de estar em um ou mais desses locais, eles trazem esses laptops de volta para a corpnet.
o cliente roaming remote access VPN apresenta um perfil de ameaça muito diferente quando comparado com o mítico cliente corpnet “aparafusado”. Tal como o cliente” aparafusado ” corpnet, estas máquinas são membros do domínio, têm software anti-malware instalado, têm o Firewall Windows com segurança avançada habilitado, e são inicialmente configurados para ser totalmente compatível com a Política de segurança corporativa. O computador cliente roaming VPN, quando entregue pela primeira vez ao usuário, é tão seguro quanto o cliente corpnet “aparafusado”.
no entanto, essa configuração e estado de segurança não duram por muito tempo. O usuário pode não se conectar ao corpnet sobre a conexão VPN por dias ou semanas. Ou o usuário pode se conectar diariamente por uma semana ou duas, e então não se conectar por alguns meses. Durante o período transitório, o computador cliente roaming VPN, lenta mas seguramente, fica fora de Conformidade. A política do grupo não é atualizada, as atualizações anti-vírus podem completar em uma base irregular, outros softwares anti-malware podem ficar fora de data. Os controlos de segurança e conformidade que são impostos aos clientes localizados na corpnet podem nunca encontrar o seu caminho para os clientes de roaming de acesso remoto VPN porque eles não conseguem se conectar sobre a VPN em tempo hábil.
o cliente de roaming VPN cai cada vez mais fora da sua configuração de Conformidade de segurança definida e o problema torna-se ampliado porque a máquina está conectada a uma série de redes de confiança baixa e desconhecida. Estas redes Não Geridas ou mal geridas podem estar cheias de worms de rede e o computador pode ser exposto a utilizadores que têm acesso físico ou lógico ao computador e que, de outra forma, não teriam acesso ao computador se ele nunca deixasse a corpnet.
o que acontece quando o Usuário traz este computador que caiu da conformidade de volta para a rede corporativa? E se o computador ficou comprometido por vermes, vírus, Troianos e outras formas de malware? O dano pode ser limitado se você tiver a proteção de acesso à rede ativada na rede, mas quantas redes realmente ativaram o NAP, apesar de estar disponível há anos como parte do Windows Server 2008 e acima da plataforma?
é claro, o Usuário nem sequer precisaria trazer o computador comprometido de volta para a rede. Suponha que o usuário tenha conectado o computador a uma série de redes diferentes, exposto o computador a um número de Usuários de confiança desconhecida, e acabou com um computador comprometido. Em seguida, o usuário precisa mudar sua senha após três meses para que ele se conecte através de VPN para realizar a mudança de senha. Os resultados de segurança potencialmente desastrosos seriam os mesmos que se o computador fosse realmente devolvido à rede física corporativa.Como pode ver, o cliente de roaming VPN sofre de uma série de problemas de segurança em comparação com o cliente histórico “aparafusado” :
- o cliente de roaming VPN Está ligado à corpnet de forma intermitente – ou, por vezes, nunca-e, portanto, está fora do alcance da Política de grupo e de outros sistemas de gestão.
- o cliente de roaming VPN está exposto a redes não geridas e mal geridas, aumentando a potencial “superfície do atacante” à qual o cliente de roaming de acesso remoto VPN está exposto, em comparação com a máquina que nunca sai da corpnet.
- os clientes de roaming VPN podem acessar a Internet e os usuários podem fazer o que quiserem, enquanto conectados a sites da Internet, porque normalmente não há filtragem de conexões da Internet quando o cliente de VPN não está conectado à corpnet.
- se o cliente VPN estiver configurado para desativar o tunelamento dividido, ele pode ser forçado a usar gateways de acesso à Internet corporativo durante o tempo em que o cliente está conectado. No entanto, uma vez que a conexão VPN é descartada, o usuário pode fazer o que ele quer novamente – e pode compartilhar qualquer malware ou troianos que o computador adquiriu quando desligado do VPN quando ele se conecta novamente.
- os usuários podem evitar se conectar à VPN porque os tempos de logon são lentos, a conectividade é inconsistente, e toda a experiência VPN é menos do que ideal, aumentando ainda mais o risco de cair fora da conformidade de segurança e aumentando o risco de compromisso.
o cliente de roaming VPN é, portanto, significativamente diferente de uma perspectiva de segurança, em comparação com o cliente” aparafusado ” corpnet:
- a Política de grupo pode ou não ser atualizada em tempo útil.
- os programas informáticos antivírus podem ou não ser actualizados atempadamente.
- o software anti-malware pode ou não ser actualizado atempadamente.
- outros métodos de gestão e controlo podem ou não ser capazes de reconfigurar o cliente em tempo útil.
- o número de pessoas que têm acesso ao computador de cliente VPN físico é potencialmente maior do que aqueles que têm acesso a um cliente corpnet “aparafusado”, incluindo não só os familiares e amigos do usuário, mas também pessoas que podem realmente roubar o computador.
a principal diferença entre o cliente roaming VPN e o cliente “aparafusado” corpnet é que o cliente VPN nem sempre é gerenciado, e que ele está exposto a um maior número de ameaças programáticas e físicas. No entanto, existem formas de minimizar algumas destas ameaças e muitas empresas já introduziram métodos para fazê-lo, tais como o seguinte:
- a Implantação de criptografia de disco (como o BitLocker), de modo que se uma máquina for roubada, o disco não pode ser lido usando um “ataque offline”. Criptografia de disco também pode empregar um método de acesso baseado em” chave ” para o disco, de modo que se a máquina é desligada, a máquina não vai arrancar sem a chave.
- requerendo autenticação de dois factores para entrar na máquina, sendo o segundo factor também necessário para desbloquear a máquina ou acordá-la do sono.
- implantar PNA ou tecnologias semelhantes para testar a segurança do ponto final antes de a máquina ter acesso ao corpnet. Se a máquina não pode remediá-la, não é permitido acesso corpnet.
- garantir que as contas de utilizador usadas para entrar na rede não são as mesmas que as contas administrativas usadas para gerir servidores e serviços de rede, para prevenir ataques altimétricos.
- empurrando o datacenter para trás de todos os clientes, tanto VPN e corpnet situados clientes, de modo que o datacenter é física e logicamente separado de toda a população cliente.
o uso de mais uma dessas mitigações será um longo caminho para reduzir a ameaça potencial exposta por clientes de VPN de acesso remoto. Embora talvez não nivelar o campo com o cliente corpnet” aparafusado”, pode haver cenários em que o cliente de roaming de acesso remoto VPN pode realmente apresentar um risco menor. Examinaremos um desses mais adiante neste artigo.
The DirectAccess Client
Now we come to the subject of the DirectAccess client. Como o cliente VPN, este computador pode mover-se da corpnet, para um quarto de hotel, para um centro de conferências, para um aeroporto, e para qualquer outro lugar que um cliente de roaming de acesso remoto VPN pode estar localizado. O cliente de acesso direto, em sua vida, estará conectado a redes confiáveis e não confiáveis, assim como o cliente de acesso remoto de roaming VPN, e o risco de comprometimento físico do computador também é semelhante ao visto com o cliente de acesso remoto de roaming VPN. Assim, parece que o resultado de uma comparação entre o cliente de acesso direto e o cliente VPN é que eles são essencialmente os mesmos do ponto de vista da ameaça.No entanto, existem algumas diferenças significativas entre o cliente de acesso remoto de roaming VPN e o cliente de acesso direto:
- o cliente de acesso direto é sempre gerenciado. Enquanto o computador cliente DirectAccess estiver ligado e conectado à Internet, o cliente DirectAccess terá conectividade com servidores de gestão que mantêm o cliente DirectAccess dentro da conformidade da configuração de segurança.
- o cliente de acesso directo é sempre utilizável. Se ele precisa se conectar ao cliente DirectAccess para realizar configuração de software personalizada ou resolver um problema no cliente DirectAccess, não há problema em obter acesso porque a conexão entre o cliente DirectAccess e as estações de gerenciamento de TI é bidirecional.
- o cliente de acesso directo utiliza dois túneis separados para se ligar. O cliente de acesso directo só tem acesso à infra-estrutura de gestão e configuração através do primeiro túnel. O acesso geral à rede não está disponível até que o usuário faça login e crie o túnel de infraestrutura.
quando você compara o cliente de acesso direto com o cliente de acesso remoto VPN, o cliente de acesso direto pode apresentar um perfil de ameaça muito menor do que o cliente de VPN, porque o cliente de acesso direto está sempre dentro do comando e controle de IT corporativo. Isto contrasta fortemente com os clientes de roaming de acesso remoto VPN que podem ou não se conectar à rede corporativa por longos períodos de tempo, o que leva a entropia de configuração que pode aumentar significativamente o risco de compromisso do sistema. Além disso, as atenuações acima mencionadas que se aplicam ao cliente VPN de acesso remoto também podem ser usadas com o cliente de acesso direto.
aqui é onde chegamos ao ponto de fazer uma distinção crítica: ao comparar o cliente de acesso remoto de roaming VPN com o cliente de acesso direto, todas as evidências apontam para o fato de que o cliente de acesso direto representa um perfil de ameaça menor. Comparações entre o cliente DirectAccess e o “aparafusado-na” rede corporativa do cliente são, provavelmente, de interesse acadêmico apenas – já que poucas organizações têm estes “fugiu” de clientes, mais e mais empresas estão permitindo que os usuários com acesso VPN para alcançar a rede corporativa de recursos,e tanto os clientes VPN e os clientes DirectAccess se mover dentro e fora da rede corporativa, tornando a divisão entre a “rede corporativa do cliente remoto” e o “cliente” virtualmente sem sentido a partir de uma perspectiva de segurança.
Conclusion
i’ve heard a number of people express concern over the possible threats that a Directacess client can present to the corporate network due to its “always-on” capability. No entanto, esta preocupação é expressa sem considerar o contexto do cliente de acesso direto e como ele se compara ao cliente de acesso remoto tradicional VPN. A partir das análises fornecidas neste artigo, deve ficar claro neste ponto que como o cliente de acesso direto é sempre gerenciado, sempre atualizado, e sempre dentro do comando e controle de TI corporativo, seu perfil de ameaça é realmente muito menor do que o apresentado pelo cliente VPN de acesso remoto.