DirectAccess против VPN: это не одно и то же

Опубликовано: 8 Апреля, 2023


Введение


Одной из самых интересных частей моей работы является корреспонденция, которую я получаю от читателей, в которых подробно излагаются их собственные сценарии и вопросы. Я часто слышу от людей, которые хотят заменить свои текущие решения VPN на DirectAccess. Хотя я всегда рад слышать, что люди думают о развертывании DirectAccess (отчасти потому, что мой муж работает с UAG DirectAccess, и эта новость его радует), я должен напомнить им, что хотя DirectAccess обладает многими характеристиками, которые могут натолкнуть вас на VPN, DirectAccess — это не VPN. На самом деле, это намного больше. Один из способов понять, чем клиент DirectAccess отличается от клиента VPN, — сравнить его с другими типами клиентов в вашей сети и рассмотреть вопросы подключения и безопасности, которые важны для каждого из этих типов клиентов.


Типы клиентов


Чтобы начать это обсуждение, давайте предположим, что существует три основных типа клиентов, которые являются членами домена и находятся под вашим административным контролем. Каждый из типов клиентов будет считаться «управляемым клиентом» в большей или меньшей степени:



  • «Прикрученный» корпоративный клиент
  • Мобильный VPN-клиент удаленного доступа
  • Клиент DirectAccess

«Прикрученный» корпоративный клиент


«Привинченный» клиент корпоративной сети — это система, которая может быть буквально прикручена, а может и нет, но в любом случае она никогда не покидает корпоративную интрасеть. Эта система является членом домена, постоянно управляемой системой и никогда не подвергается воздействию каких-либо других сетей. Его доступ в Интернет всегда контролируется брандмауэром проверки прикладного уровня, таким как брандмауэр TMG. Слоты для USB и других съемных носителей либо административно, либо физически заблокированы, а физический доступ в здание, где он находится, разрешен только сотрудникам и гостям в сопровождении. В этих системах установлено программное обеспечение для защиты от вредоносных программ, они настроены с помощью групповой политики или какой-либо другой системы управления для поддержания желаемой конфигурации безопасности, а в сети включена защита доступа к сети (NAP), чтобы предотвратить подключение мошеннических систем к сети и доступ к корпоративным ресурсам. Брандмауэр Windows в режиме повышенной безопасности включен и настроен для снижения риска угроз, создаваемых сетевыми червями.


Эта концепция «привинченного» клиента корпоративной сети настолько близка к идеалу защищенного клиента, насколько это можно себе представить:



  • Система никогда не подвергается воздействию ненадежных сетей.
  • Система всегда управляема.
  • Система всегда находится под контролем корпоративных ИТ-специалистов.

  • Доступ к системе ограничен для сотрудников и сопровождаемых гостей.
  • «Внешний» доступ к системе ограничен, поскольку порты для съемных носителей отключены административно или физически.

  • Интернет-брандмауэр проверки прикладного уровня, такой как TMG, предотвращает загрузку пользователями эксплойтов из Интернета.

  • NAP снижает риск подключения неуправляемых клиентов к сети и распространения вредоносных программ, полученных из других сетей.

  • Маловероятно, что система будет украдена из-за физических мер, предпринятых для «прикручивания» клиента к физической инфраструктуре.

Хотя вы можете представить себе, что это идеальная система с точки зрения сетевой безопасности, насколько реалистична эта характеристика? Сколько у вас сейчас клиентских систем, которые никогда не покидают корпоративную сеть? И даже при таком контроле насколько защищены эти машины от атак? Рассмотрим следующее:



  • Социальная инженерия — это распространенный метод, который позволяет злоумышленникам получить физический доступ к машинам, на которые нацелена конкретная цель, чтобы вредоносные программы и трояны могли быть установлены на «прикрепленных» клиентах корпоративной сети.

  • Даже с отключенными физическими портами, скорее всего, пользователям будет предоставлен доступ как минимум к оптическому приводу — и в этом случае вредоносное ПО, полученное из какого-то внешнего места, потенциально может проникнуть в «привинченный» клиент корпоративной сети.

  • Хотя брандмауэр с проверкой на уровне приложений может иметь большое значение для предотвращения проникновения вредоносных программ и троянов в корпоративную сеть, если брандмауэр не выполняет проверку исходящего трафика SSL (HTTPS), он, по сути, бесполезен, поскольку трояны могут использовать безопасный (и непроверенный) SSL-канал для доступа к своим контроллерам. Кроме того, пользователи могут воспользоваться преимуществами анонимных прокси-серверов через неожиданное SSL-соединение.

  • Если троянец был установлен на «привинченном» клиенте корпоративной сети, хорошо написанный троянец будет использовать HTTP или SSL для подключения к своему контроллеру и, скорее всего, подключится к сайту, который еще не был классифицирован как «опасный». Даже если организация использует подход «белого списка» для обеспечения безопасности, злоумышленник может захватить низкопрофильный «безопасный сайт» (возможно, с отравлением DNS) и указать троянцу подключиться к этому сайту, чтобы он мог получать управляющие команды.

  • Пользователи могут попытаться обойти ваши средства контроля, если они не могут посещать сайты или получать доступ к нужным им интернет-ресурсам. Если пользователи используют беспроводные соединения, они могут легко отключиться от корпоративной беспроводной сети и подключиться к привязанному телефону, чтобы получить доступ к ресурсам, заблокированным корпоративным брандмауэром, а затем снова подключиться к корпоративной сети после того, как получат то, что им нужно. Пользователи с беспроводным или проводным подключением могут легко подключить беспроводную «воздушную карту» для подключения к сети без фильтрации и компрометации машины через альтернативный шлюз. В этом сценарии «прикрепленный» клиент корпоративной сети внезапно приобретает некоторые характеристики перемещающегося клиента удаленного доступа.

Дело не в том, что комплексная проверка безопасности является уроком бесполезности. Вместо этого должно быть ясно, что даже в идеальной ситуации «привинченного» клиента корпоративной сети есть много вещей, которые могут пойти не так и привести к инциденту безопасности. Вам по-прежнему нужно делать все возможное, чтобы убедиться, что ваши машины защищены, обновлены и хорошо управляются, но вам нужно оценить, как эти «изолированные» и неподвижные клиенты корпоративной сети сравниваются с другими типами корпоративных клиентских систем.


Наконец, и, возможно, это наиболее важно, стоит подумать о том, может ли концепция «привинченного» клиента корпоративной сети представлять только академический интерес. Сколько таких клиентов существует сегодня в корпоративных сетях, особенно в сетях, где большинство сотрудников являются работниками умственного труда? В рабочей среде вы можете подумать о VDI как о жизнеспособном решении, потому что задачи, которые они выполняют, не требуют широкого набора функций, обеспечиваемых полноценной средой ПК, но работникам умственного труда нужны гибкость и мощность, обеспечиваемые полнофункциональной средой. Платформа ПК. Кроме того, все больше и больше компаний осознают преимущества удаленной работы, и все больше и больше сотрудников работают из дома или подключаются к корпоративной сети, находясь в пути. Что приводит нас к:


Перемещаемый VPN-клиент удаленного доступа


В 1990-х корпоративный клиент с «привинчиванием» был нормой. Во втором десятилетии 21-го века работники стали гораздо более мобильными, и встроенный клиент уступил место перемещающемуся VPN-клиенту с удаленным доступом. У работников умственного труда есть мощные портативные компьютеры, которые они берут с собой на работу, домой, к клиентам, в отели, на конференции, в аэропорты и в любую другую точку мира, где есть подключение к Интернету. И во многих случаях, побывав в одном или нескольких таких местах, они возвращают эти ноутбуки в корпоративную сеть.


Мобильный VPN-клиент удаленного доступа представляет совершенно другой профиль угрозы по сравнению с мифическим «привинченным» клиентом корпоративной сети. Как и «прикрепленный» клиент корпоративной сети, эти машины являются членами домена, на них установлено программное обеспечение для защиты от вредоносных программ, на них включен брандмауэр Windows в режиме повышенной безопасности, и изначально они настроены на полное соответствие корпоративной политике безопасности. Мобильный клиентский компьютер VPN, когда он впервые доставлен пользователю, так же безопасен, как «прикрепленный» клиент корпоративной сети.


Однако такое состояние конфигурации и безопасности длится недолго. Пользователь может не подключаться к корпоративной сети через VPN-подключение в течение нескольких дней или недель. Или пользователь может подключаться ежедневно в течение недели или двух, а затем не подключаться в течение нескольких месяцев. Тем временем перемещаемый клиентский компьютер VPN медленно, но верно выходит из строя. Групповая политика не обновляется, антивирусные обновления могут выполняться нерегулярно, другое антивирусное программное обеспечение может устареть. Меры безопасности и соответствия требованиям, применяемые к клиентам, расположенным в корпоративной сети, могут никогда не найти своего пути к перемещающимся клиентам VPN с удаленным доступом, поскольку они не смогут своевременно подключиться через VPN.


Мобильный VPN-клиент все больше и больше выпадает из заданной вами конфигурации соответствия требованиям безопасности, и проблема усугубляется, поскольку машина подключена к нескольким сетям с низким и неизвестным уровнем доверия. Эти неуправляемые или плохо управляемые сети могут быть переполнены сетевыми червями, и компьютер может быть открыт для пользователей, которые имеют физический или логический доступ к компьютеру и которые в противном случае не имели бы доступа к компьютеру, если бы он никогда не покидал корпоративную сеть.


Что происходит, когда пользователь возвращает этот компьютер, вышедший из-под контроля, в корпоративную сеть? Что делать, если компьютер был скомпрометирован червями, вирусами, троянскими программами и другими формами вредоносного ПО? Ущерб может быть ограничен, если в вашей сети включена защита доступа к сети, но сколько сетей фактически включили NAP, даже несмотря на то, что он был доступен в течение многих лет как часть платформы Windows Server 2008 и более поздних версий?


Конечно, пользователю даже не нужно будет возвращать скомпрометированный компьютер в сеть. Предположим, пользователь подключил компьютер к нескольким разным сетям, открыл доступ к компьютеру нескольким пользователям с неизвестным уровнем доверия и в итоге получил скомпрометированный компьютер. Затем через три месяца пользователю необходимо сменить пароль, чтобы он подключался через VPN для смены пароля. Потенциально катастрофические последствия для безопасности будут такими же, как если бы компьютер был фактически возвращен в физическую корпоративную сеть.


Как видите, у роумингового VPN-клиента есть ряд проблем с безопасностью по сравнению с историческим «привинченным» клиентом:



  • Блуждающий VPN-клиент периодически подключается к корпоративной сети, а иногда и никогда, и поэтому выходит за пределы досягаемости групповой политики и других систем управления.

  • Мобильный VPN-клиент подвергается воздействию неуправляемых и плохо управляемых сетей, что увеличивает потенциальную «поверхность злоумышленника», которой подвергается перемещающийся удаленный VPN-клиент, по сравнению с машиной, которая никогда не покидает корпоративную сеть.

  • Мобильные VPN-клиенты могут получать доступ к Интернету, а пользователи могут делать все, что захотят, при подключении к интернет-сайтам, поскольку фильтрация интернет-соединений обычно не осуществляется, когда VPN-клиент не подключен к корпоративной сети.

  • Если VPN-клиент настроен на отключение раздельного туннелирования, он может быть вынужден использовать корпоративные шлюзы доступа в Интернет во время подключения клиента. Однако после разрыва VPN-подключения пользователь снова может делать то, что хочет, а также делиться любыми вредоносными программами или троянскими программами, полученными компьютером во время отключения от VPN, при повторном подключении.

  • Пользователи могут избегать подключения к VPN из-за медленного времени входа в систему, непостоянства подключения и неоптимальности всей работы VPN, что еще больше увеличивает риск несоблюдения требований безопасности и увеличивает риск компрометации.

Таким образом, с точки зрения безопасности перемещаемый VPN-клиент значительно отличается от «прикрепленного» клиента корпоративной сети:



  • Групповая политика может своевременно обновляться, а может и не обновляться.
  • Антивирусное программное обеспечение может своевременно обновляться, а может и не обновляться.
  • Программное обеспечение для защиты от вредоносных программ может своевременно обновляться, а может и не обновляться.
  • Другие методы управления и контроля могут или не могут своевременно переконфигурировать клиент.
  • Число людей, имеющих доступ к физическому компьютеру VPN-клиента, потенциально больше, чем тех, кто имеет доступ к «привинченному» корпоративному сетевому клиенту, включая не только членов семьи и друзей пользователя, но и людей, которые могут фактически украсть компьютер.

Ключевое различие между роуминговым VPN-клиентом и «прикрепленным» клиентом корпоративной сети заключается в том, что VPN-клиент не всегда управляем и подвергается большему количеству программных и физических угроз. Однако есть способы смягчить некоторые из этих угроз, и многие компании уже внедрили для этого такие методы, как следующие:



  • Развертывание шифрования диска (например, BitLocker), чтобы в случае кражи машины диск нельзя было прочитать с помощью «офлайн-атаки». Шифрование диска также может использовать метод доступа к диску на основе «ключа», так что если машина выключена, она не загрузится без ключа.

  • Требование двухфакторной аутентификации для входа на машину, при этом второй фактор также требуется для разблокировки машины или вывода ее из спящего режима.

  • Развертывание NAP или аналогичных технологий для проверки безопасности конечной точки до того, как машине будет разрешен доступ к корпоративной сети. Если машина не может выполнить исправление, доступ к корпоративной сети запрещен.

  • Обеспечение того, чтобы учетные записи пользователей, используемые для входа в сеть, не совпадали с административными учетными записями, используемыми для управления сетевыми серверами и службами, для предотвращения атак с повышением прав.

  • Отодвигание центра обработки данных от всех клиентов, как VPN, так и клиентов, расположенных в корпоративной сети, чтобы центр обработки данных был физически и логически отделен от всей совокупности клиентов.

Использование одного или нескольких из этих средств защиты значительно уменьшит потенциальную угрозу, которую представляют VPN-клиенты удаленного доступа. Хотя, возможно, это не уравнивает поле с «привинченным» клиентом корпоративной сети, могут быть сценарии, в которых перемещающийся VPN-клиент удаленного доступа может фактически представлять меньший риск. Мы рассмотрим один из них позже в этой статье.


Клиент DirectAccess


Теперь мы подошли к теме клиента DirectAccess. Как и VPN-клиент, этот компьютер может перемещаться из корпоративной сети в гостиничный номер, в конференц-центр, в аэропорт и в любое другое место, где может находиться перемещающийся VPN-клиент удаленного доступа. Клиент DirectAccess в течение своего жизненного цикла будет подключен как к доверенным, так и к ненадежным сетям, точно так же, как перемещающийся VPN-клиент удаленного доступа, и риск физической компрометации компьютера также аналогичен риску, наблюдаемому при перемещении удаленного VPN-клиента. Таким образом, может показаться, что результатом сравнения клиента DirectAccess и клиента VPN является то, что они практически одинаковы с точки зрения угроз.


Однако есть некоторые существенные различия между перемещающимся VPN-клиентом удаленного доступа и клиентом DirectAccess.



  • Клиент DirectAccess всегда управляем. Пока клиентский компьютер DirectAccess включен и подключен к Интернету, клиент DirectAccess будет иметь возможность подключения к серверам управления, которые обеспечивают соответствие клиента DirectAccess конфигурации безопасности.

  • Клиент DirectAccess всегда исправен. Если ИТ-специалистам необходимо подключиться к клиенту DirectAccess для выполнения пользовательской настройки программного обеспечения или устранения неполадок в клиенте DirectAccess, проблем с получением доступа не возникнет, поскольку соединение между клиентом DirectAccess и станциями управления ИТ является двунаправленным.

  • Клиент DirectAccess использует для подключения два отдельных туннеля. Клиент DirectAccess имеет доступ только к инфраструктуре управления и конфигурации через первый туннель. Общий доступ к сети недоступен, пока пользователь не войдет в систему и не создаст инфраструктурный туннель.

Если сравнить клиент DirectAccess с VPN-клиентом удаленного доступа, клиент DirectAccess может представлять гораздо меньший уровень угроз, чем VPN-клиент, поскольку клиент DirectAccess всегда находится под контролем корпоративных ИТ-специалистов. Это резко контрастирует с перемещающимися VPN-клиентами удаленного доступа, которые могут подключаться или не подключаться к корпоративной сети в течение длительных периодов времени, что приводит к энтропии конфигурации, которая может значительно увеличить риск компрометации системы. Кроме того, упомянутые выше меры по уменьшению опасности, применимые к VPN-клиенту удаленного доступа, также можно использовать с клиентом DirectAccess.


Здесь мы подходим к моменту проведения важного различия: при сравнении перемещаемого VPN-клиента удаленного доступа с клиентом DirectAccess все данные указывают на тот факт, что клиент DirectAccess представляет меньший профиль угрозы. Сравнения между клиентом DirectAccess и клиентом корпоративной сети, «закрепленным на болтах», вероятно, представляют только академический интерес, поскольку такие «прикрепленные» клиенты есть лишь в немногих организациях, и большинство фирм позволяют пользователям с доступом через VPN получать доступ к ресурсам корпоративной сети, а оба VPN клиенты и клиенты DirectAccess будут входить и выходить из корпоративной сети, делая разделение между «клиентом корпоративной сети» и «удаленным клиентом» практически бессмысленным с точки зрения безопасности.


Вывод


Я слышал, что некоторые люди выражают озабоченность по поводу возможных угроз, которые клиент DirectAccess может представлять для корпоративной сети из-за его возможности «всегда включен». Однако эта озабоченность выражается без учета контекста клиента DirectAccess и его сравнения с традиционным VPN-клиентом удаленного доступа. Из анализа, представленного в этой статье, на данный момент должно быть ясно, что, поскольку клиент DirectAccess всегда управляется, всегда обновляется и всегда находится под командованием и контролем корпоративных ИТ-специалистов, его профиль угроз действительно намного ниже, чем представленный клиентом. VPN-клиент удаленного доступа.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023