在本文中,我们将讨论 DirectAccess 和 VPN 之间的区别。
DirectAccess 有很多让很多用户对 VPN 感到困惑的功能,但事实上 DirectAccess 与 VPN 并不相同。那么如何区分它们之间的差异。在本文中,我们将通过将它们放置在网络上具有不同客户端类型的场景中来向您介绍这种差异,然后观察每种类型的重要连接和安全问题。这个客户。
客户类型
为了开始这个讨论,我们承认有以下三种一般类型的客户:
- 客户被“固定”在公司网络中
- 漫游远程访问 VPN 客户端
- DirectAccess 客户端
客户端被“固定”在公司网络中
公司网络内的“固定”客户端是可能会或可能不会正确“固定”但永远不会与公司内部网络分离的系统(可以解释为作为机器)。客人与公司网络相关联。该系统是域成员、受管系统,从不暴露于其他网络。此网络的 Internet 访问始终由应用层检测防火墙控制,例如 TMG 防火墙。 USB 和其他通信插槽被物理封锁或严格管理,只有受信任的员工和乘客才能进入这些计算机所在的建筑物。这些系统安装有反恶意软件,通过组策略或其他一些管理系统进行配置以维护所需的安全配置,在网络上启用网络访问保护 (NAP) 以防止假系统连接到网络并访问公司资源.启用并配置了具有高级安全性的 Windows 防火墙以降低网络蠕虫带来的威胁风险。
企业网络中“固定”客户端的概念几乎与安全客户端的概念一样理想:
- 系统永远不会暴露在不受信任的网络中。
- 始终托管。
- 始终处于公司 IT 团队的控制之下。
- 仅限受信任的员工和客人访问。
- 对系统的外部访问将受到物理管理或禁用的外部端口的限制。
- 检查 TMG 等应用层的 Internet 防火墙将阻止用户从 Internet 下载漏洞利用程序。
- NAP 降低了不受管理的客户端连接到网络和传播从其他网络获取的恶意软件的风险。
- 不会因为使用物理方式将客户端“插入”物理基础设施而被盗用。
你可以想象这是一个网络安全形式的理想系统,那么这个特性如何现实呢?您从未离开过公司内部网的访客系统有多少?而且即使有适当的控制,它们又如何避免攻击呢?我们需要考虑以下几个方面:
- 社会工程是一种常见的攻击方法,这种攻击方法允许攻击者增加对某些已被消化的计算机的物理访问,从而在计算机上安装恶意软件和木马。 Intranet 中的“固定”计算。
- 即使物理端口被禁用,用户仍然可以访问某些光驱- 如果恶意软件从某个外部区域获得,它可以找到入侵的方法。在本地的“固定”客户端上网络。
- 虽然应用层检测防火墙可以阻止恶意软件和木马进入本地网络,但是如果防火墙不进行SSL(HTTPS)检查,它将不再有效,因为木马可以使用它。使用安全 SSL 通道(未经检查)访问其控制工作站。此外,用户可以通过意外的 SSL 连接利用匿名代理。
- 如果特洛伊木马已安装在企业网络中的“固定”客户端上,则复杂的特洛伊木马会使用 HTTP 或 SSL 连接到其控制器,并且几乎会连接到未列出的站点。变成“危险”的形式。即使一个组织已经使用白名单方法来保证安全,攻击者仍然可以控制(DNS 中毒)并指示木马连接到该站点,使其具有 可以接收控制命令。
- 如果许多用户无法访问网站或访问所需的 Internet 资源,他们可以绕过您的控制。如果您的用户正在使用无线连接,他们可以轻松地断开与公司无线网络的连接,并使用另一个系统重新连接到网络,以根据策略访问锁定的资源。公司,然后在他们拥有他们想要的东西后连接回公司网络。具有无线或有线连接的用户还可以插入无线适配器以连接到未经过滤的网络,并通过另一个端口破坏计算机。在这种情况下,企业“固定”客户端网络意外收到了一些漫游远程客户端功能。
通过勤奋来实施安全是无效的教训。这里很清楚的是,即使在企业网络中“固定”客户的理想情况下,仍有许多事情可能无法预料并导致严重的安全事故。您仍然需要尽一切努力确保您的计算机安全、保持更新并以最佳方式管理它们- 但需要将自己置于计算机的角度。与其他类型的客户端系统相比,如何隔离和无法移动企业网络中的客户端。
最后,或许也是最重要的一点,您需要知道企业网络中的“固定”客户端概念是否可能只是一个问题。如今,企业网络中有多少这样的客户——尤其是那些大多数员工都熟悉的客户?在这样的环境下,你可以假设 VDI 是一个可行的解决方案,因为他们执行的任务不需要完整计算机环境提供的许多功能,但知识渊博的员工需要完整计算机平台提供的灵活性和能力。此外,越来越多的公司意识到远程通信的优势,越来越多的员工在家工作或在旅途中连接到公司网络。我们遇到了这些问题:
漫游远程访问VPN客户端
在 1990 年代,在企业网络中使用“固定”客户端很常见。然而,到了 21 世纪的第二个十年,员工越来越需要在移动设备上工作,这导致了漫游远程访问 VPN 客户端。知识渊博的计算机人员可以拿着高配置的膝上型计算机上班、在家、到客户地点、到酒店、研讨会、机场等,在世界上任何有互联网连接的地方。在许多情况下,他们在许多不同地点访问 Internet 后,将笔记本电脑带回公司网络。
漫游远程访问 VPN 客户端再次构成了与企业网络中的“固定”客户端截然不同的安全方式。就像企业网络中的“固定”客户端一样,这些计算机是域成员,安装了反恶意软件,激活了具有高级安全性的 Windows 防火墙,并完全按照公司隐私政策进行了配置。最初提供给用户的漫游 VPN 计算机与公司网络中的“固定”客户端一样安全。
但是,安全状态和配置并没有持续多久。用户可能在数天或数周内无法通过 VPN 连接连接到公司内部网。或者他们可以每天连接一两个星期,然后几个月不连接。在过渡期间,漫游的 VPN 客户端逐渐失去他们的同意。组策略组策略没有更新,杀毒更新,恶意软件没有及时更新。应用于位于公司 Intranet 上的客户端的安全策略和控制对于漫游远程访问 VPN 客户端可能不可行,因为它们无法通过 VPN 与它们连接。方式。
漫游客户端跟不上公司配置和安全策略的事实变得越来越严重,因为这台计算机经常连接到许多不受信任和不安全的网络。全部。这些不可靠且不安全的网络可能存在许多网络蠕虫以及其他威胁。
当用户将他们的计算机带回公司网络时会发生什么?如果他们的计算机受到蠕虫、病毒、特洛伊木马或其他类型的恶意软件的危害,会发生什么?如果您在网络上启用网络访问保护,则风险可能会受到限制,但有多少网络启用了 NAP,即使此功能已作为 Windows Server 2008 的一部分提供多年?
显然用户不应将受感染的计算机带回网络。假设某用户将他们的计算机连接到多个不同的网络,最终计算机被入侵。三个月后,他需要更改密码,因此他通过 VPN 建立连接以更改密码。在这种情况下,灾难性的安全后果将类似于此计算机物理连接到公司网络的情况。
如您所见,与企业网络中的“固定”客户端相比,漫游产生了很多安全问题:
- 漫游客户端通常会间歇性地连接到公司网络- 或者有时没有连接- 因此无法跟上安全政策和其他管理系统的步伐。
- 与未离开 Intranet 的客户端相比,暴露于非托管或非托管网络,增加潜在的“攻击面”。
- 可以访问 Internet,用户可以在连接到 Internet 时做任何他们想做的事情,因为这些客户端没有经过 Internet 连接检查和过滤。
- 如果 VPN 客户端配置为禁用拆分隧道,则可能需要在客户端连接时使用公司 Internet 访问端口。但是,当 VPN 连接断开时,用户可以做他们想做的事- 可以在断开与 VPN 的连接并重新连接时共享计算机被感染的任何恶意软件或木马。
- 用户可以避免连接到 VPN,因为登录时间短、连接不稳定、整体 VPN 体验不太理想、未能跟上公司安全政策的许多风险和不断增加的风险。妥协。
- 集团政策可能会及时更新,也可能不会及时更新。
- 防病毒软件可能会及时更新,也可能不会及时更新。
- 反恶意软件可能会也可能不会及时更新。
- 其他管理和控制方法可能会或可能不会及时重新配置。
- 可以物理访问 VPN 计算机的人数通常大于可以访问公司网络中“固定”计算机的人数,而不仅仅是用户和朋友的家人。以及偷电脑的人。
漫游 VPN 客户端和企业网络中的“固定”客户端之间的主要区别在于,VPN 客户端经常失控并面临大量威胁。但是,有很多方法可以缓解其中一些威胁,并且许多公司已经引入了此类实施方法,例如:
- 使用磁盘加密(如 BitLocker),这样如果计算机丢失,窃贼将无法读取驱动器中的数据。磁盘加密还可以通过“锁定”磁盘来使用访问方法,这样当计算机关闭时,用户将无法在没有密钥的情况下启动。
- 需要双重身份验证才能登录计算机,同时需要两个系数来解锁和唤醒计算机。
- 在允许计算机访问公司网络之前,使用 NAP 或类似技术测试安全性。如果电脑无法修复,将无法访问公司网络。
- 请勿使用管理员帐号登录网络,这是为了防止恶意攻击。
- 通过整个客户端在物理上和逻辑上设置数据中心。
使用其中一些措施将大大减少对远程访问 VPN 客户端的潜在威胁。虽然与企业网络中的“固定”客户端相比,它是不可分级的,但在某些情况下,漫游远程访问 VPN 客户端可以降低风险。.我们将介绍本节中的一种方法。
DirectAccess 客户端
我们正在讨论 DirectAccess 客户端主题。与 VPN 客户端一样,这台计算机可以从公司网络移动到酒店的房间、会议中心、机场或远程访问 VPN 计算机的任何地方。通过漫游可以存在。 DirectAccess 客户端将连接到受信任和不受信任的网络,就像远程访问 VPN 客户端一样,计算机物理受损的风险与机器所见的风险相似。 VPN客人。所以如果比较的话,DirectAccess客户端和VPN从安全角度来看基本是一样的。
不过,漫游和DirectAccess还是有一些显着的区别:
- DirectAccess 客户端始终处于托管状态。只要启用并连接到 Internet,DirectAccess 客户端就会连接到 ma管理服务器以及时更新公司安全配置。
- DirectAccess 客户端始终处于服务状态。如果 IT 组需要连接到任何 DirectAccess 客户端以执行某些配置软件或解决此客户端上的问题,他们不会遇到任何问题,因为 DirectAccess 客户端和 IT 管理站之间的连接始终是双向连接.
- DirectAccess 客户端使用两个单独的隧道进行连接。但是,它只能通过第一条隧道访问配置和管理基础设施。在用户登录并创建基础设施隧道之前,通常无法访问网络。
当将 DirectAccess 客户端与远程访问 VPN 客户端进行比较时,您会发现 DirectAccess 客户端似乎不如 VPN 安全,这是因为 DirectAccess 客户端始终处于群组。信息技术公司。与 VPN 客户端不同,它们可能会或可能不会长时间连接到公司网络,这很容易导致无法跟上常见的安全配置并增加安全漏洞的风险。此外,上述适用于远程访问 VPN 客户端的缓解方法也可以与 DirectAccess 客户端一起使用。
到目前为止,我们已经实现了比较漫游远程访问VPN客户端和DirectAccess客户端的目标,显然本文中展示的所有内容都表明DirectAccess客户端在一般安全性方面表现更安全公司与漫游实施相比。
评论