DirectAccess versus VPN: nu sunt la fel

Introducere

una dintre cele mai interesante părți ale lucrării Mele este corespondența pe care o primesc de la cititori care detaliază propriile scenarii și Întrebări. Am auzit de multe ori de la oameni care doresc să înlocuiască soluțiile VPN actuale cu DirectAccess. Deși sunt întotdeauna fericit să aud că oamenii se gândesc să implementeze DirectAccess (în parte pentru că soțul meu lucrează cu UAG DirectAccess și că știrile îl fac fericit), trebuie să le reamintesc că, deși DirectAccess are multe caracteristici care te-ar putea face să te gândești la VPN, DirectAccess nu este un VPN. De fapt, este mult mai mult. O modalitate de a înțelege modul în care clientul DirectAccess diferă de clientul VPN este să îl puneți în perspectivă cu alte tipuri de clienți din rețeaua dvs. și să analizați problemele de conectivitate și securitate care sunt importante pentru fiecare dintre aceste tipuri de clienți.

tipuri de clienți

pentru a începe această discuție, să presupunem că există trei tipuri generale de clienți care sunt membri ai domeniului și se află sub controlul dvs. administrativ. Fiecare dintre tipurile de client ar fi considerat un „client gestionat” într-o măsură mai mare sau mai mică:

  • clientul corpnet „înșurubat”
  • clientul VPN de acces la distanță în roaming
  • clientul DirectAccess

Clientul Corpnet „înșurubat”

clientul corpnet „înșurubat” este un sistem care ar putea sau nu să fie literalmente înșurubat, dar oricum, nu părăsește niciodată intranetul corporativ. Acest sistem este un membru al domeniului, este un sistem întotdeauna gestionat și nu este niciodată expus la alte rețele. Accesul său la Internet este întotdeauna controlat de un firewall de inspecție a stratului de aplicație, cum ar fi un firewall TMG. Sloturile USB și alte suporturi amovibile sunt fie blocate administrativ, fie fizic, iar accesul fizic la clădirea în care se află este permis numai angajaților și oaspeților escortați. Aceste sisteme au software anti-malware instalat, sunt configurate prin politica de grup sau un alt sistem de management pentru a menține configurația de securitate dorită, iar protecția accesului la rețea (NAP) este activată în rețea pentru a preveni conectarea sistemelor necinstite la rețea și accesarea resurselor corporative. Paravanul de protecție Windows cu securitate avansată este activat și configurat pentru a reduce riscul de amenințări introduse de viermii de rețea.

acest concept al clientului corpnet „înșurubat” se apropie cât mai mult de idealul clientului sigur pe care îl putem imagina:

  • sistemul nu este niciodată expus rețelelor de încredere.
  • sistemul este întotdeauna gestionat.
  • sistemul este întotdeauna sub controlul IT corporativ.
  • accesul la sistem este limitat la angajați și oaspeți escortați.
  • „în afara benzii” accesul la sistem este limitat, deoarece porturile pentru suporturi amovibile sunt dezactivate administrativ sau fizic.
  • un firewall de internet de inspecție a stratului de aplicație, cum ar fi TMG, împiedică utilizatorii să descarce exploatări de pe Internet.
  • NAP reduce riscurile clienților neadministrați care se conectează la rețea și răspândesc programe malware obținute din alte rețele.
  • este puțin probabil ca sistemul să fie furat din cauza măsurilor fizice luate pentru a „bloca” clientul la infrastructura fizică.

deși s-ar putea să vă imaginați că acesta este sistemul ideal în ceea ce privește securitatea rețelei, cât de realistă este această caracterizare? Câte sisteme client aveți acum care nu părăsesc niciodată corpnet-ul? Și chiar și cu aceste controale în loc, cât de imun sunt aceste mașini pentru a ataca? Luați în considerare următoarele:

  • ingineria socială este o metodă comună care permite atacatorilor să obțină acces fizic la mașini care sunt vizate în mod specific, astfel încât malware-ul și troienii să poată fi instalați pe clienții corpnet „înșurubați”.
  • chiar și cu porturile fizice dezactivate, este probabil ca utilizatorii să aibă acces la cel puțin o unitate optică – caz în care malware-ul obținut de la un loc extern își poate găsi drumul către clientul corpnet „înșurubat”.
  • în timp ce un firewall de inspecție a stratului de aplicație poate merge mult spre prevenirea introducerii malware-ului și a troienilor în corpnet, dacă firewall-ul nu efectuează inspecția SSL de ieșire (HTTPS), este în esență lipsit de valoare, deoarece troienii pot utiliza canalul SSL securizat (și neinspectat) pentru a ajunge la controlorii lor. În plus, utilizatorii pot profita de proxy-uri anonime printr-o conexiune SSL neașteptată.
  • dacă un troian ar fi instalat pe clientul corpnet „înșurubat”, un troian bine scris ar folosi HTTP sau SSL pentru a se conecta la controlerul său și cel mai probabil să se conecteze la un site care nu a fost încă clasificat ca „periculos”. Chiar dacă organizația a folosit o abordare „listă albă” a securității, atacatorul ar putea deturna un „site sigur” cu profil scăzut (poate cu otrăvire DNS) și să instruiască Troianul să se conecteze la acel site, astfel încât să poată primi comenzi de control.
  • utilizatorii pot încerca să ocolească controalele dvs. dacă nu pot vizita site-uri sau accesa resursele de Internet pe care le doresc. Dacă utilizatorii folosesc conexiuni wireless, se pot deconecta cu ușurință de la wireless-ul corporativ și se pot conecta la un telefon legat pentru a accesa resursele blocate de firewall-ul corporativ și apoi se pot reconecta la corpnet după ce obțin ceea ce doresc. Utilizatorii cu conexiune wireless sau prin cablu pot conecta cu ușurință un „card de aer” fără fir pentru a se conecta la o rețea nefiltrată și a compromite mașina prin gateway-ul alternativ. În acest scenariu, clientul corpnet „înșurubat” preia brusc unele dintre caracteristicile clientului de acces la distanță în roaming.

ideea nu este că efectuarea de due diligence de securitate este o lecție în inutilitate. În schimb, ceea ce ar trebui să fie clar este că, chiar și în situația ideală a clientului corpnet „înșurubat”, există multe lucruri care pot merge prost și pot duce la un incident de securitate. Tot trebuie să faceți tot ce puteți pentru a vă asigura că mașinile dvs. sunt sigure, actualizate și bine gestionate – dar trebuie să puneți în perspectivă modul în care acești clienți corpnet „izolați” și imobili se compară cu alte tipuri de sisteme de clienți corporativi.

în cele din urmă și poate cel mai important, merită să ne gândim dacă conceptul de client corpnet „înșurubat” ar putea fi de interes academic. Câți dintre acești clienți există astăzi în rețelele corporative – în special rețelele în care majoritatea angajaților sunt lucrători în cunoștințe? Într-un mediu task worker, s-ar putea să vă gândiți la VDI ca la o soluție viabilă, deoarece sarcinile pe care le îndeplinesc nu necesită o gamă largă de funcționalități oferite de un mediu PC complet, dar lucrătorii de cunoștințe au nevoie de flexibilitatea și puterea oferite de o platformă PC complet activată. În plus, tot mai multe companii recunosc avantajele telecomunicațiilor și tot mai mulți angajați lucrează de acasă sau se conectează la corpnet în timp ce unul este drumul. Ceea ce ne aduce la:

clientul VPN de acces la distanță în Roaming

în anii 1990, clientul corpnet „înșurubat” era norma. În a doua decadă a secolului 21, lucrătorii sunt mult mai mobili, iar clientul cu șuruburi a dat loc clientului VPN de acces la distanță în roaming. Lucrătorii din domeniul cunoașterii au laptopuri puternice pe care le iau pentru a lucra, la casele lor, la site-urile clienților, la hoteluri, la conferințe, la aeroporturi și oriunde altundeva în lume unde există o conexiune la Internet. Și în multe cazuri, după ce a fost la una sau mai multe din aceste locații, ei aduc aceste laptop-uri înapoi la corpnet.

clientul VPN de acces la distanță în roaming prezintă un profil de amenințare foarte diferit în comparație cu clientul corpnet mitic „înșurubat”. La fel ca clientul corpnet „înșurubat”, aceste mașini sunt membri ai domeniului, au instalat software anti-malware, au Paravanul de protecție Windows cu securitate avansată activată și sunt configurate inițial pentru a fi pe deplin conforme cu Politica de securitate corporativă. Computerul client VPN în roaming, atunci când este livrat pentru prima dată utilizatorului, este la fel de sigur ca clientul corpnet „înșurubat”.

cu toate acestea, această stare de configurare și securitate nu durează mult. Este posibil ca utilizatorul să nu se conecteze la corpnet prin conexiunea VPN timp de zile sau săptămâni. Sau utilizatorul s-ar putea conecta zilnic timp de o săptămână sau două și apoi să nu se conecteze câteva luni. În timpul interimatului, computerul client VPN în roaming încet, dar sigur cade din conformitate. Politica de grup nu este actualizată, actualizările anti-virus s-ar putea finaliza în mod neregulat, alte programe software anti-malware ar putea să nu mai fie actualizate. Controalele de securitate și de conformitate care sunt impuse clienților aflați pe corpnet pot să nu-și găsească niciodată drumul către clienții VPN de acces la distanță în roaming, deoarece nu reușesc să se conecteze la VPN în timp util.

clientul VPN roaming cade din ce în ce mai mult în afara configurației dvs. definite de conformitate a securității și problema devine mărită, deoarece mașina este conectată la o serie de rețele de încredere scăzută și necunoscută. Aceste rețele neadministrate sau prost gestionate ar putea fi pline de viermi de rețea, iar computerul ar putea fi expus utilizatorilor care au acces fizic sau logic la computer și care altfel nu ar avea acces la computer dacă nu ar părăsi niciodată corpnet-ul.

ce se întâmplă atunci când utilizatorul aduce acest computer care a căzut din conformitate înapoi la rețeaua corporativă? Ce se întâmplă dacă computerul a fost compromis de viermi, viruși, troieni și alte forme de malware? Daunele ar putea fi limitate dacă aveți activată protecția accesului la rețea în rețea, dar câte rețele au activat efectiv NAP, chiar dacă este disponibil de ani de zile ca parte a platformei Windows Server 2008 și de mai sus?

desigur, utilizatorul nici măcar nu ar trebui să aducă computerul compromis înapoi în rețea. Să presupunem că utilizatorul a conectat computerul la o serie de rețele diferite, a expus computerul la un număr de utilizatori de încredere necunoscută și a ajuns la un computer compromis. Apoi, utilizatorul trebuie să-și schimbe parola după trei luni, astfel încât să se conecteze prin VPN pentru a efectua schimbarea parolei. Rezultatele de securitate potențial dezastruoase ar fi aceleași ca și cum computerul ar fi returnat efectiv rețelei corporative fizice.

după cum puteți vedea, clientul VPN în roaming suferă de o serie de probleme de securitate în comparație cu clientul istoric „înșurubat” :

  • clientul VPN în roaming este conectat la corpnet în mod intermitent – sau uneori niciodată-și, prin urmare, nu este la îndemâna Politicii de grup și a altor sisteme de management.
  • clientul VPN roaming este expus la rețele neadministrate și prost gestionate, crescând potențialul „suprafață atacator” la care este expus clientul VPN de acces la distanță în roaming, în comparație cu mașina care nu părăsește niciodată corpnet.
  • clienții VPN în roaming pot accesa Internetul, iar utilizatorii pot face orice doresc în timp ce sunt conectați la site-uri de Internet, deoarece de obicei nu există filtrare a conexiunilor la Internet atunci când clientul VPN nu este conectat la corpnet.
  • dacă clientul VPN este configurat să dezactiveze tunelarea divizată, ar putea fi forțat să utilizeze gateway-uri de acces la internet corporative în timpul conectării clientului. Cu toate acestea, odată ce conexiunea VPN este abandonată, utilizatorul poate face din nou ceea ce dorește – și poate partaja orice malware sau troieni pe care computerul le-a achiziționat în timp ce este deconectat de la VPN atunci când se conectează din nou.
  • utilizatorii ar putea evita conectarea la VPN, deoarece timpii de conectare sunt lenți, conectivitatea este inconsistentă și întreaga experiență VPN este mai mică decât optimă, crescând în continuare riscul de a cădea din respectarea securității și crescând riscul de compromis.

prin urmare, clientul VPN în roaming este semnificativ diferit din punct de vedere al securității, în comparație cu clientul corpnet „înșurubat” :

  • Politica de grup poate fi sau nu actualizată în timp util.
  • software-ul antivirus poate fi sau nu actualizat în timp util.
  • software-ul anti-malware poate fi sau nu actualizat în timp util.
  • alte metode de gestionare și control pot sau nu să poată reconfigura clientul în timp util.
  • numărul de persoane care au acces la computerul client VPN fizic este potențial mai mare decât cei care au acces la un client corpnet „înșurubat”, incluzând nu numai membrii familiei și prietenii utilizatorului, ci și persoanele care ar putea fura computerul.

diferența cheie dintre clientul VPN în roaming și clientul corpnet” înșurubat ” este că clientul VPN nu este întotdeauna gestionat și că este expus unui număr mai mare de amenințări programatice și fizice. Cu toate acestea, există modalități de atenuare a unora dintre aceste amenințări și multe companii au introdus deja metode pentru a face acest lucru, cum ar fi următoarele:

  • implementarea criptării discului (cum ar fi BitLocker), astfel încât, dacă o mașină este furată, discul nu poate fi citit folosind un „atac offline”. Criptarea discului poate utiliza, de asemenea, o metodă de acces bazată pe” cheie ” pe disc, astfel încât, dacă mașina este oprită, mașina nu va porni fără cheie.
  • necesită autentificare cu doi factori pentru a vă conecta la mașină, al doilea factor fiind necesar și pentru a debloca mașina sau a o trezi din somn.
  • implementarea tehnologiilor NAP sau similare pentru a testa securitatea punctului final înainte ca aparatul să aibă acces la corpnet. În cazul în care aparatul nu poate remedia, nu este permis accesul corpnet.
  • asigurarea faptului că conturile de utilizator utilizate pentru a vă conecta la rețea nu sunt aceleași cu conturile administrative utilizate pentru a gestiona serverele și serviciile de rețea, pentru a preveni atacurile de elevație.
  • împingerea înapoi datacenter departe de toți clienții, atât VPN și clienții corpnet situate, astfel încât datacenter este fizic și logic separat de întreaga populație client.

utilizarea uneia dintre aceste atenuări va contribui mult la reducerea amenințării potențiale expuse de clienții VPN cu acces la distanță. Deși poate că nu nivelează câmpul cu clientul corpnet „înșurubat”, pot exista scenarii în care clientul VPN de acces la distanță în roaming poate prezenta de fapt un risc mai mic. Vom examina unul dintre acestea mai târziu în acest articol.

Clientul DirectAccess

acum ajungem la subiectul clientului DirectAccess. La fel ca clientul VPN, acest computer se poate deplasa de la corpnet, într-o cameră de hotel, într-un centru de conferințe, într-un aeroport și oriunde altundeva ar putea fi localizat un client VPN de acces la distanță în roaming. Clientul DirectAccess, în timpul vieții sale, va fi conectat atât la rețele de încredere, cât și la rețele de încredere, la fel ca clientul VPN de acces la distanță în roaming, iar riscul de compromis fizic al computerului este, de asemenea, similar cu cel văzut cu clientul VPN de acces la distanță în roaming. Astfel, s-ar părea că rezultatul unei comparații între clientul DirectAccess și clientul VPN este că acestea sunt în esență aceleași din perspectiva amenințării.

cu toate acestea, există unele diferențe semnificative între clientul VPN de acces la distanță în roaming și clientul DirectAccess:

  • clientul DirectAccess este întotdeauna gestionat. Atâta timp cât computerul client DirectAccess este pornit și conectat la Internet, clientul DirectAccess va avea conectivitate cu serverele de gestionare care mențin clientul DirectAccess în conformitate cu configurația de securitate.
  • clientul DirectAccess este întotdeauna funcțional. Dacă trebuie să se conecteze la clientul DirectAccess pentru a efectua configurarea software-ului personalizat sau pentru a depana o problemă pe clientul DirectAccess, nu există nicio problemă în obținerea accesului, deoarece conexiunea dintre clientul DirectAccess și stațiile de gestionare IT este bidirecțională.
  • clientul DirectAccess utilizează două tuneluri separate pentru conectare. Clientul DirectAccess are acces doar la infrastructura de management și configurare prin primul tunel. Accesul general la rețea nu este disponibil până când utilizatorul se conectează și creează tunelul de infrastructură.

când comparați clientul DirectAccess cu clientul VPN de acces la distanță, clientul DirectAccess poate prezenta un profil de amenințare mult mai mic decât clientul VPN, deoarece clientul DirectAccess este întotdeauna sub comanda și controlul IT-ului corporativ. Acest lucru este în contrast puternic cu clienții VPN de acces la distanță în roaming care se pot conecta sau nu la rețeaua corporativă pentru perioade lungi de timp, ceea ce duce la entropie de configurare care poate crește semnificativ riscul compromisului sistemului. În plus, atenuările menționate mai sus care se aplică clientului VPN de acces la distanță pot fi utilizate și cu clientul DirectAccess.

aici ajungem la punctul de a face o distincție critică: atunci când se compară clientul VPN de acces la distanță în roaming cu clientul DirectAccess, toate dovezile indică faptul că clientul DirectAccess prezintă un profil de amenințare mai mic. Comparațiile dintre clientul DirectAccess și clientul corpnet” înșurubat „sunt probabil de interes academic-deoarece puține organizații mai au acești clienți” înșurubați „și majoritatea firmelor permit utilizatorilor cu acces VPN să ajungă la resursele corpnet,iar atât clienții VPN, cât și clienții DirectAccess se vor muta în și din rețeaua corporativă, făcând diviziunea dintre” clientul corpnet „și” clientul la distanță ” practic lipsită de sens din perspectiva securității.

concluzie

am auzit un număr de oameni își exprimă îngrijorarea cu privire la posibilele amenințări pe care un client DirectAccess poate prezenta la rețeaua corporativă datorită capacității sale „always-on”. Cu toate acestea, această preocupare este exprimată fără a lua în considerare contextul clientului DirectAccess și modul în care se compară cu clientul tradițional de acces la distanță VPN. Din analizele furnizate în acest articol, ar trebui să fie clar în acest moment că, deoarece clientul DirectAccess este întotdeauna gestionat, mereu actualizat și întotdeauna sub comanda și controlul IT-ului corporativ, profilul său de amenințare este într-adevăr mult mai mic decât cel prezentat de clientul VPN de acces la distanță.

Lasă un răspuns

Adresa ta de email nu va fi publicată.

Previous post Garden Myths-aflați adevărul despre grădinărit
Next post o faci greșit: modelează-ți barba