Articles

DirectAccess kontra VPN: de är inte samma sak

admin

introduktion

en av de mest intressanta delarna av mitt arbete är korrespondensen jag får från läsare som beskriver sina egna scenarier och frågor. Jag hör ofta från människor som vill ersätta sina nuvarande VPN-lösningar med DirectAccess. Medan jag alltid är glad att höra att folk funderar på att distribuera DirectAccess (delvis för att min man arbetar med UAG DirectAccess och att nyheterna gör honom lycklig), måste jag påminna dem om att medan DirectAccess har många egenskaper som kan få dig att tänka på VPN, är DirectAccess inte en VPN. Det är faktiskt mycket mer. Ett sätt att förstå hur DirectAccess-klienten skiljer sig från VPN-klienten är att sätta den i perspektiv med andra typer av klienter i ditt nätverk och titta på anslutnings-och säkerhetsfrågor som är viktiga för var och en av dessa klienttyper.

typer av klienter

för att börja denna diskussion, låt oss anta att det finns tre allmänna typer av klienter som är domänmedlemmar och är under din administrativa kontroll. Var och en av klienttyperna skulle betraktas som en” hanterad klient ” i större eller mindre utsträckning:

  • ” bolted-in ” corpnet klient
  • roaming fjärråtkomst VPN-klient
  • DirectAccess klient

”Bolted-In” Corpnet-klienten

”bolted-in” corpnet-klienten är ett system som kanske eller kanske inte bokstavligen bultas in, men på något sätt lämnar det aldrig företagets intranät. Detta system är en domänmedlem, är ett alltid hanterat system och utsätts aldrig för andra nätverk. Dess internetåtkomst styrs alltid av en brandvägg för kontroll av applikationsskikt, till exempel en TMG-brandvägg. USB och andra flyttbara medieplatser är antingen administrativt eller fysiskt låsta och fysisk tillgång till byggnaden där den bor är endast tillåten för anställda och eskorterade gäster. Dessa system har installerat Anti-malware-programvara, konfigureras via grupppolicy eller något annat hanteringssystem för att upprätthålla önskad säkerhetskonfiguration och Network Access Protection (Nap) är aktiverat i nätverket för att förhindra att oseriösa system ansluter till nätverket och får tillgång till företagsresurser. Windows-brandväggen med avancerad säkerhet är aktiverad och konfigurerad för att minska risken för hot som introduceras av nätverksmaskar.

detta koncept för” bolted-in ” corpnet-klienten kommer så nära idealet för säker klient som man kan föreställa sig:

  • systemet utsätts aldrig för icke-betrodda nätverk.
  • systemet hanteras alltid.
  • systemet är alltid under kontroll av företagets IT.
  • tillgång till systemet är begränsat till anställda och eskorterade gäster.
  • ”Out of band” tillgång till systemet är begränsad eftersom portar för flyttbara media är administrativt eller fysiskt handikappade.
  • ett program lager inspektion Internet brandvägg som TMG hindrar användare från att ladda ner bedrifter från över Internet.
  • NAP minskar riskerna för ohanterade klienter som ansluter till nätverket och sprider skadlig kod som erhållits från andra nätverk.
  • det är osannolikt att systemet kommer att bli stulen på grund av fysiska åtgärder som vidtagits för att ”skruva in” klienten till den fysiska infrastrukturen.

medan du kanske föreställer dig att detta är det perfekta systemet när det gäller nätverkssäkerhet, hur realistisk är denna karaktärisering? Hur många klientsystem har du nu som aldrig lämnar corpnet? Och även med dessa kontroller på plats, hur immun är dessa maskiner att attackera? Tänk på följande:

  • socialteknik är en vanlig metod som gör det möjligt för angripare att få fysisk åtkomst till maskiner som är specifikt riktade så att skadlig kod och trojaner kan installeras på ”bultade” corpnet-klienter.
  • även med fysiska portar inaktiverade är det troligt att användarna kommer att få tillgång till åtminstone en optisk enhet – i vilket fall skadlig kod som erhållits från någon extern plats kan potentiellt hitta sin väg till ”bolted-in” corpnet-klienten.
  • medan en brandvägg för applikationslagerinspektion kan gå långt för att förhindra att skadlig kod och trojaner kommer in i corpnet, om brandväggen inte utför utgående SSL (HTTPS) inspektion, är det i huvudsak värdelöst, eftersom trojaner kan använda den säkra (och oinspekterade) SSL-kanalen för att nå sina kontroller. Dessutom kan användare dra nytta av anonyma proxyer genom en oväntad SSL-anslutning.
  • om en Trojan installerades på” bolted-in ”corpnet-klienten, skulle en välskriven Trojan använda HTTP eller SSL för att ansluta till sin kontroller och troligen ansluta till en webbplats som ännu inte har kategoriserats som”farlig”. Även om organisationen använde en ”vit lista” – inställning till säkerhet, kunde angriparen kapa en låg profil ”Säker webbplats” (kanske med DNS-förgiftning) och instruera trojanen att ansluta till den webbplatsen så att den kan ta emot kontrollkommandon.
  • användare kan försöka kringgå dina kontroller om de inte kan besöka webbplatser eller få tillgång till Internetresurser de önskar. Om användare använder trådlösa anslutningar kan de enkelt koppla från företagets trådlösa och ansluta till en bunden telefon för att komma åt resurser som blockeras av företagets brandvägg och sedan ansluta till corpnet igen efter att de fått vad de vill ha. Användare med antingen en trådlös eller Trådbunden anslutning kanske enkelt kan ansluta ett trådlöst” luftkort ” för att ansluta till ett ofiltrerat nätverk och äventyra maskinen genom den alternativa gatewayen. I det här scenariot tar ”bolted-in” corpnet-klienten plötsligt några av egenskaperna hos roaming remote access-klienten.

poängen är inte att utföra säkerhet due diligence är en lektion i meningslöshet. Istället bör det vara tydligt att även i den ideala situationen för den” bultade ” corpnet-klienten finns det många saker som kan gå fel och leda till en säkerhetsincident. Du måste fortfarande göra allt du kan för att se till att dina maskiner är säkra, uppdaterade och välskötta – men du måste sätta i perspektiv hur dessa ”isolerade” och orörliga corpnet-klienter jämför med andra typer av företagsklientsystem.

slutligen och kanske viktigast är det värt att överväga huruvida begreppet ”bolted-in” corpnet-klienten bara kan vara av akademiskt intresse. Hur många av dessa kunder finns i företagsnätverk idag – särskilt nätverk där majoriteten av de anställda är kunskapsarbetare? I en uppgiftsarbetarmiljö kanske du tänker på VDI som en hållbar lösning, eftersom de uppgifter de utför inte kräver det breda utbudet av funktionalitet som tillhandahålls av en fullständig PC-miljö, men kunskapsarbetare behöver flexibiliteten och kraften från en fullt aktiverad PC-plattform. Dessutom erkänner fler och fler företag fördelarna med distansarbete och fler och fler anställda arbetar hemifrån eller ansluter till corpnet medan en vägen. Vilket leder oss till:

roaming Remote Access VPN-klienten

på 1990-talet var ”bolted-in” corpnet-klienten normen. Under det andra decenniet av det 21: a århundradet är arbetarna mycket mer mobila och den bultade klienten har gett plats för den roaming fjärråtkomst VPN-klienten. Kunskapsarbetare har kraftfulla bärbara datorer som de tar till jobbet, till sina hem, till kundplatser, till Hotell, till konferenser, till flygplatser och någon annanstans i världen där det finns en Internetanslutning. Och i många fall, efter att ha varit på en eller flera avdessa platser, tar de dessa bärbara datorer tillbaka till corpnet.

VPN-klienten för roaming för fjärråtkomst utgör en helt annan hotprofil jämfört med den mytiska ”bultade” corpnet-klienten. Liksom” bolted-in ” corpnet-klienten är dessa maskiner domänmedlemmar, har anti-malware-programvara installerad, har Windows-brandväggen med avancerad säkerhet aktiverad och är initialt konfigurerade för att vara helt kompatibla med företagets säkerhetspolicy. Roaming VPN-klientdatorn, när den först levereras till användaren, är lika säker som ”bultad” corpnet-klient.

den konfigurationen och säkerhetstillståndet varar dock inte länge. Användaren kanske inte ansluter till corpnet via VPN-anslutningen i dagar eller veckor. Eller användaren kan ansluta dagligen i en vecka eller två, och sedan inte ansluta i några månader. Under tiden faller roaming VPN-klientdatorn långsamt men säkert ur överensstämmelse. Grupprincip uppdateras inte, antivirusuppdateringar kan slutföras på en oregelbunden basis, andra anti-malware program kan falla inaktuell. Säkerhets-och efterlevnadskontroller som åläggs klienter som finns på corpnet kanske aldrig hittar vägen till VPN-klienterna för roaming för fjärråtkomst eftersom de misslyckas med att ansluta via VPN i tid.

roaming VPN-klienten faller längre och längre ut ur din definierade säkerhetskonfiguration och problemet förstoras eftersom maskinen är ansluten till ett antal nätverk med lågt och okänt förtroende. Dessa omanagda eller dåligt hanterade nätverk kan vara fulla av nätverksmaskar och datorn kan utsättas för användare som har fysisk eller logisk åtkomst till datorn och som annars inte skulle ha tillgång till datorn om den aldrig skulle lämna corpnet.

vad händer när användaren tar den här datorn som har fallit ur överensstämmelse tillbaka till företagets nätverk? Vad händer om datorn blev äventyras av maskar, virus, trojaner och andra former av skadlig kod? Skadan kan vara begränsad om du har Nätverksåtkomstskydd aktiverat i nätverket, men hur många nätverk har faktiskt aktiverat NAP, även om det har varit tillgängligt i flera år som en del av Windows Server 2008 och över plattformen?

naturligtvis skulle användaren inte ens behöva ta den komprometterade datorn tillbaka till nätverket. Antag att användaren hade anslutit datorn till ett antal olika nätverk, utsatt datorn för ett antal användare av okänt förtroende och slutade med en komprometterad dator. Då måste användaren ändra sitt lösenord efter tre månader så att han ansluter via VPN för att utföra lösenordsändringen. De potentiellt katastrofala säkerhetsresultaten skulle vara desamma som om datorn faktiskt återlämnades till det fysiska företagsnätverket.

som du kan se lider roaming VPN-klienten av ett antal säkerhetsproblem jämfört med den historiska” bultade in ” – klienten:

  • roaming VPN-klienten är ansluten till corpnet på intermittent basis – eller ibland aldrig-och faller därför utom räckhåll för grupppolicy och andra hanteringssystem.
  • roaming VPN-klienten utsätts för ohanterade och dåligt hanterade nätverk, vilket ökar den potentiella ”attackerytan” som VPN-klienten för roaming fjärråtkomst utsätts för, jämfört med maskinen som aldrig lämnar corpnet.
  • roaming VPN-klienterna kan komma åt Internet och användarna kan göra vad de vill när de är anslutna till webbplatser eftersom det vanligtvis inte finns någon filtrering av Internetanslutningar när VPN-klienten inte är ansluten till corpnet.
  • om VPN-klienten är konfigurerad för att inaktivera delad tunnling kan den tvingas använda gateways för företagsinternet under den tid klienten är ansluten. Men när VPN-anslutningen har tappats kan användaren göra vad han vill igen – och kan dela alla skadliga program eller trojaner som datorn förvärvade medan den kopplades från VPN när den ansluts igen.
  • användare kan undvika att ansluta till VPN eftersom inloggningstiderna är långsamma, anslutningen är inkonsekvent och hela VPN-upplevelsen är mindre än optimal, vilket ytterligare ökar risken för att falla ur säkerhetsöverensstämmelse och öka risken för kompromiss.

roaming VPN-klienten skiljer sig därför väsentligt från ett säkerhetsperspektiv jämfört med den” bultade ” corpnet-klienten:

  • grupppolicy kan eller inte kan uppdateras i tid.
  • antivirusprogram kan eller inte uppdateras i tid.
  • anti-malware program kan eller inte kan uppdateras i tid.
  • andra hanterings-och kontrollmetoder kan eller kanske inte kunna konfigurera om klienten i rätt tid.
  • antalet personer som har tillgång till den fysiska VPN-klientdatorn är potentiellt större än de som har tillgång till en ”bultad” corpnet-klient, inklusive inte bara användarens familjemedlemmar och vänner utan också personer som faktiskt kan stjäla datorn.

den viktigaste skillnaden mellan roaming VPN-klienten och ”bolted-in” corpnet-klienten är att VPN-klienten inte alltid hanteras och att den utsätts för ett större antal programmatiska och fysiska hot. Det finns dock sätt att mildra några av dessa hot och många företag har redan infört metoder för att göra det, till exempel följande:

  • distribuera diskkryptering (t.ex. BitLocker) så att om en maskin blir stulen kan skivan inte läsas med en ”offlineattack”. Diskkryptering kan också använda en” nyckel ” – baserad åtkomstmetod till disken, så att om maskinen är avstängd, startar inte maskinen utan nyckeln.
  • kräver tvåfaktorsautentisering för att logga in på maskinen, med den andra faktorn som också krävs för att låsa upp maskinen eller väcka den från viloläge.
  • distribuera NAP eller liknande teknik för att testa slutpunktssäkerhet innan maskinen tillåts corpnet-åtkomst. Om maskinen inte kan avhjälpa är det inte tillåtet corpnet-åtkomst.
  • se till att användarkonton som används för att logga in i nätverket inte är samma som administrativa konton som används för att hantera nätverksservrar och tjänster, för att förhindra höjdattacker.
  • trycka tillbaka datacentret från alla klienter, både VPN och corpnet-klienter, så att datacentret är fysiskt och logiskt separerat från hela klientpopulationen.

att använda en av flera av dessa mildringar kommer att gå långt för att minska det potentiella hotet som exponeras av VPN-klienter med fjärråtkomst. Även om det kanske inte nivellerar fältet med ”bolted-in” corpnet-klienten, kan det finnas scenarier där roaming remote access VPN-klienten faktiskt kan utgöra en lägre risk. Vi kommer att undersöka en av dem senare i den här artikeln.

DirectAccess-klienten

nu kommer vi till ämnet för DirectAccess-klienten. Liksom VPN-klienten kan den här datorn flytta från corpnet, till ett hotellrum, till ett konferenscenter, till en flygplats och till någon annanstans som en roaming-fjärråtkomst VPN-klient kan vara belägen. DirectAccess-klienten kommer under sin livstid att anslutas till både betrodda och otillförlitliga nätverk, precis som roaming remote access VPN-klienten, och risken för fysisk kompromiss av datorn liknar också den som ses med roaming remote access VPN-klienten. Således verkar det som om resultatet av en jämförelse mellan DirectAccess-klienten och VPN-klienten är att de i huvudsak är desamma ur ett hotperspektiv.

det finns dock några signifikanta skillnader mellan roaming remote access VPN-klienten och DirectAccess-klienten:

  • DirectAccess-klienten hanteras alltid. Så länge DirectAccess-klientdatorn är påslagen och ansluten till Internet, kommer DirectAccess-klienten att ha anslutning till hanteringsservrar som håller DirectAccess-klienten inom säkerhetskonfigurationsöverensstämmelse.
  • DirectAccess-klienten är alltid användbar. Om den behöver ansluta till DirectAccess-klienten för att utföra Anpassad programvarukonfiguration eller felsöka ett problem på DirectAccess-klienten är det inga problem att få åtkomst eftersom anslutningen mellan DirectAccess-klienten och IT-hanteringsstationerna är dubbelriktad.
  • DirectAccess-klienten använder två separata tunnlar för att ansluta. DirectAccess-klienten har endast tillgång till hanterings-och konfigurationsinfrastrukturen genom den första tunneln. Allmän nätverksåtkomst är inte tillgänglig förrän användaren loggar in och skapar infrastrukturtunneln.

när du jämför DirectAccess-klienten med fjärråtkomst VPN-klienten kan DirectAccess-klienten presentera en mycket lägre hotprofil än VPN-klienten, eftersom DirectAccess-klienten alltid ligger inom kommandot och kontrollen av företagets IT. Detta står i skarp kontrast till roaming fjärråtkomst VPN-klienter som kan eller inte kan ansluta till företagets nätverk under långa perioder, vilket leder till konfiguration entropi som avsevärt kan öka risken för system kompromiss. Dessutom kan de begränsningar som nämns ovan som gäller för VPN-klienten för fjärråtkomst också användas med DirectAccess-klienten.

här når vi punkten att göra en kritisk skillnad: när man jämför roaming remote access VPN-klienten med DirectAccess-klienten pekar alla bevis på att DirectAccess-klienten utgör en lägre hotprofil. Jämförelser mellan DirectAccess-klienten och den” inskruvade ”corpnet-klienten är förmodligen bara av akademiskt intresse – eftersom få organisationer har dessa” inskruvade ”klienter längre och de flesta företag gör det möjligt för användare med VPN-åtkomst att nå corpnet-resurser,och både VPN-klienter och DirectAccess-klienter kommer att flytta in och ut ur företagets nätverk, vilket gör uppdelningen mellan” corpnet-klienten ”och” fjärrklienten ” praktiskt taget meningslös ur ett säkerhetsperspektiv.

slutsats

jag har hört ett antal personer uttrycka oro över de möjliga hot som en DirectAccess-klient kan presentera för företagets nätverk på grund av dess ”alltid på” kapacitet. Denna oro uttrycks dock utan att ta hänsyn till sammanhanget för DirectAccess-klienten och hur den jämförs med den traditionella VPN-klienten för fjärråtkomst. Från analyserna i den här artikeln bör det vara tydligt vid denna tidpunkt att eftersom DirectAccess-klienten alltid hanteras, alltid uppdaterad och alltid inom kommandot och kontrollen av företagets IT, är dess hotprofil verkligen mycket lägre än den som presenteras av fjärråtkomst VPN-klienten.

Lämna ett svar

Din e-postadress kommer inte publiceras.

Previous post Trädgårdsmyter-lär dig sanningen om trädgårdsarbete
Next post du gör det fel: forma ditt skägg