DirectAccess и VPN: Это НЕ одно и то же

Одна из самых интересных сторон моей работы заключается в обработке корреспонденции, которую я получаю от пользователей, описывающих свои ситуации и задающих вопросы. От многих людей я слышу, что они хотят заменить свои VPN-решения на DirectAccess. И хотя я всегда рада, когда люди думают о развертывании DirectAccess (частично потому, что мой муж работает с UAG DirectAccess, и такие новости радуют его), мне приходится напоминать им о том, что хотя у DirectAccess есть множество характеристик, делающих его похожим на VPN, DirectAccess – это не VPN. Это гораздо больше. Чтобы понять, чем клиент DirectAccess отличается от клиента VPN, нужно рассмотреть их отличия от других типов клиентов в вашей сети и разобраться с возникающими у разных типов клиентов проблемами с соединением и безопасностью.

Типы клиентов

В начале обсуждения давайте примем, что есть всего три основных типа клиентов, являющихся членами доменов, под ваших административным контролем. Каждый из типов клиентов может считаться ‘управляемым клиентом’ в той или иной степени:

• Корпоративный клиент типа ‘bolted-in’
• Блуждающий клиент VPN с удаленным доступом
• Клиент DirectAccess

Корпоративный клиент типа ‘Bolted-In’

Корпоративный клиент типа ‘bolted-in’ представляет собой систему, которая может быть (может и не быть ) в буквальном смысле «ввинченной», но в любом случае она никогда не покидает пределов внутренней корпоративной сети. Такая система являяется членом домена, всегда находится под контролем и никогда не открывается для других сетей. Ее доступ к интернету всегда контролируется брандмауэром уровня приложения типа TMG. Слоты для подключения USB и других подключаемых устройств заблокированы физически или административно, а физический доступ в здание, где располагается такая система, разрешен только для сотрудников и сопровождаемых гостей. В таких системах установлено антивирусное ПО, которое настраивается через групповые политики или другую систему управления с целью поддержания требуемого уровня надежности, а Network Access Protection (NAP – Защита сетевого доступа) включена, чтобы предотвратить подключение сторонних систем и закрыть доступ к корпоративным ресурсам. Брандмауэр Windows с Advanced Security включен и настроен так, чтобы умеьшить риск от угроз сетевых червей.

Концепция корпоративного клиента типа ‘bolted-in’ подходит к идеалу защищенного клиента настолько, наколько вообще возможно себе представить:

• Система никогда не связывается с недоверенными сетями.
• Система всегда управляема.
• Система всегда находится под контролем IT-отдела компании.
• Доступ к системе ограничен сотрудниками и сопровождаемыми гостями.
• Внеплановый доступ к системе ограничен, поскольку порты для подключаемых устройств закрыты физически или административно.
• Брандмауэр уровня приложения типа TMG предотвращает загрузку пользователями опасного содержимого из Интернета.
• NAP сокращает риск того, что неуправляемые клиенты подключаться к сети и распространят вредоносное ПО, полученное из других систем.
• Маловероятно, что система будет физически украдена благодаря тем мерам, которые предпринимаются для физической защиты устройств типа‘bolt in’.

Наверное, такая система кажется вам идеальной с точки зрения сетевой безопасности, но насколько реальна такая характеристика? Сколько вы знаете клиентских систем, которые никогда не покидают пределов корпоративной сети? Даже при таких мерах предосторожности насколько уязвимы такие машины по отношению к атакам хакеров? Рассмотрим следующую ситуацию:

• Социальная инженерия – обычный способ получения физического доступа к конкретным машинам в сети клиентов типа ‘bolted-in’, на которых можно установить вирусы и трояны.
• Даже если порты физически отключены, вероятно, у пользователей будет доступ к, как минимум, оптическим приводам – и в этом случае появляется возможность для попадания вирусов на корпоративный клиент типа ‘bolted-in’.
• Хотя брандмауэр уровня приложения может значительно усилить защиту от попадания вирусов и троянов в корпоративную сеть, если брандмауэр не осуществляет проверку исходящих SSL (HTTPS), в сущности, он становится бесполезным, поскольку трояны могут воспользоваться защищенным (и непроверяемым) SSL-каналом для достижения контроллеров. Кроме того, пользователи могут работать через анонимные прокси через неожидаемое SSL-соединение.
• Если троян попадает на корпоратинвый клиент типа ‘bolted-in’, то, если он грамотно написан, он воспользуется HTTP или SSL для соединения со своим контроллером, и попробует соединиться с сайтом, который еще не был внесен в категорию опасных. Даже если в организации используется подход, основанный на ‘белом листе’, злоумышленник может взломать низкопрофильный ‘безопасный сайт’ (скажем, путем отравления DNS) и настроить троян на соединение с таким сайтом, чтобы он могут оттуда получать команды.
• Пользователи могут попытаться обойти вашу защиту, если им не удается зайти на сайт, куда им хочется попасть. Если у них беспроводное соединение, они легко могут отключиться от корпоративной сети и подключиться через собственный телефон, чтобы получить доступ к блокируемым корпоративным брандмауэром ресурсам, а затем переподключиться к корпоративной сети. Пользователи с проводным или беспроводным соединением легко могут подключить беспроводной модем, чтобы подключиться к незащищенной сети и поставить под угрозу машину через иной шлюз. В таком случае корпоративный клиент типа ‘bolted-in’ неожиданно приобретает некоторые характеристики блуждающего клиента с удаленным доступом.

Суть тут не в том, что принятие мер защиты – бесплодное занятие. Нужно просто понимать, что даже в идеальной ситуации корпоративного клиента типа ‘bolted in’ много что может пойти не так и привести к взлому системы. Вам все равно нужно будет делать все возможное, чтобы на современном уровне обеспечивать безопасность машин; и тут как раз стоит сравнить между собой эти ‘изолированные’ и немобильные корпоративные клиенты с другими типами систем корпоративных клиентов.

Наконец, наверное, самое важное: стоит подумать о том, не является ли концепция корпоративных клиентов типа ‘bolted-in’ лишь предметом академического интереса. Сколько таких клиентов существует в корпоративных сетях сегодня – особенно это касается сетей, где большинство работников составляют интеллектуальные работники? В среде с машинами, направленными на решение определенных задач, вы можете посчитать приемлимым решением VDI, поскольку выполняемые задачи не требуют широкой функциональности, обеспечиваемой средой с полноценными компьютерами, но для интеллектуальных работников требуются гибкость и мощь, предоставляемые полноценными платформами на базе ПК. Кроме того, все больше компаний осознают преимущества телекоммуникационных технологий, и все больше сотрудников работают из дома или подключаются к корпоративной сети, находясь в дороге. Все это приводит нас к следующему:

Блуждающий клиент VPN с удаленным доступом

В 1990-х корпоративные клиенты типа‘bolted-in’ были нормой. К началу второй декады 21-го столетия работники стали намного мобильнее и клиенты bolted-in уступили место блуждающим клиентам VPN с удаленным доступом. У интеллектуальных работников теперь есть мощные ноутбуки, с которыми они ездят на работу, домой, в отели, на конференции, в аэропорты и в любое другое место, где есть Интернет-соединение. Чаще всего, побывав в таких местах, они приносят ноутбук обратно в корпоративную сеть.

Блуждающий клиент VPN с удаленным доступом совершенно иначе борется с угрозами по сравнению с мифическим корпоративным клиентом bolted-in. Как и в случае с клиентами типа ‘bolted-in’, эти машины являются членами домена, на них установлено антивирусное ПО, у них включен брандмауэр Windows с Advanced Security, и чаще всего они настроены на соответствие с корпоративной политикой в области информационной безопасности. Компьютер – блуждающий клиент VPN, когда его получает пользователь, настолько же надежен, как и корпоративный клиент типа ‘bolted-in’.

Однако такие настройки и это состояние защищенности долго не протягивают. Пользователь может не подключаться к корпоративной сети через VPN-соединение днями или неделями. Или он может подключаться каждый день в течение недели или двух, а затем не подключаться месяцами. В таком случае блуждающий клиент VPN постепенно, но неизбежно перестает удовлетворять требованиям безопасности. Групповые политики не обновляются, антивирусные обновления происходят нерегулярно, да и другое защитное ПО может оказаться устаревшим. Системы управления безопасностью и синхронизацией, относящиеся к клиентской машине в корпоративной сети, могут и не обнаружить доступ к блуждающему клиенту VPN, поскольку им систематически не удается подключиться через VPN.

Блуждающий клиент VPN все сильнее и сильнее выпадает из вашей надежной конфигурации, и проблема тем самым усиливается в разы, поскольку машина подключается ко многим сетям с низким или вовсе отсутствующим уровнем доверия. Эти неуправляемые или плохо управляемые сети могут содержать массу червей, и компьютер может подпасть под контроль пользователей, имеющих физический или логический доступ к компьютеру, и которые никоим образом не могли бы получить этот доступ, если бы машина никогда не покидала пределы корпоративной сети.

А что же происходит, когда пользователь приносит тот самый компьютер, который давно перестал сооветствовать настройкам корпоративной сети? Что, если компьютер заражен червями, вирусами, троянами и другими видами вредоносного ПО? Вред можно ограничить, если у вас в сети включена Network Access Protection, но в скольких сетях в действительности включают NAP, даже при том, что она доступна много лет, являясь частью Windows Server 2008 и последующих платформ?

Конечно, пользователю даже не понадобится приносить компьютер обратно в сеть. Предположим, что пользователь подключал свой компьютер к множеству различных сетей, позволил работать с компьютерам неизвестным пользователям, в результате чего получил зараженный компьютер. Затем пользователю нужно изменить пароль через три месяца, поэтому он подключается через VPN для осуществления необходимых измененй. Потенциально результаты могут быть столь же катастрофичны, как и в случае физического возвращения комьпютера в корпоративную сеть.

Как видите, блуждающий клиент VPN страдает от множества проблем с безопасностью по сравнению с историческим клиентом типа ‘bolted in’:

• Блуждающий клиент VPN подключается к корпоративной сети нерегулярно, ‘а иногда и никогда‘, вследствие чего выпадает из-под действия групповых политик и других систем управления.
• Блуждающий клиент VPN подвержен воздействию неуправляемых или плохо управляемых сетей, что увеличивает ‘область атак’, к которым блуждающий клиент VPN с удаленным доступом может оказаться уязвим, по сравнению с машиной, которая никогда не покидает пределов корпоративной сети.
• Блуждающий клиент VPN может получать доступ к Интернету, и пользователи могут делать все что угодно при этом, ведь обычно никто не фильтрует содержимое Интернета, когда клиент VPN не подключен к корпоративной сети.
• Если настройки клиента VPN предполагают отключение функции split tunnel, клиент может оказаться вынужденным воспользоваться корпоративными шлюзами доступа к Интернету, когда клиент подключен. Однако, если VPN-соединение отключается, пользователь снова может делать что ему угодно; и может поймать любой вирус или троян, пока комьютер, отключенный от VPN, не подключится опять.
• Пользователи могут избегать подключения к VPN, поскольку скорость входа в систему медленная, соединение неустойчиво, и в целом работа с VPN далека от оптимальной; и это опять же увеличивает возможность выпадения из соответствия с корпоративными параметрами и риск заражения.

Блуждающий клиент VPN, следовательно, значительно отличается от корпоративного клиента типа ‘bolted-in’ с точки зрения информационной безопасности:

• Групповые политики могут обновляться, а могут и не обновляться на регулярной основе.
• Антивирусное ПО может обновляться, а может и не обновляться регулярно.
• Другие средства контроля и управления могут иметь, а могут и не иметь возможность регулярного обновления.
• Число людей, имеющих физический доступ к компьютеру с клиентом VPN потенциально больше, чем в случае с корпоративным клиентом типа ‘bolted-in’, включая не только друзей и членов семьи пользователя, но также и тех, кто потенциально может украсть компьютер.

Ключевое отличие клиента VPN от корпоративного клиента типа ‘bolted-in’ заключается в том, что клиент VPN не всегда управляем, и что он подвержен большему количеству физических и программных угроз. Однако существуют способы уменьшить некоторые из этих угроз, и многие компании уже представили свои способы для этого, например:

• Развертывание шифрования диска (например, BitLocker), чтобы в случае кражи машины, содержимое диска невозможно было бы прочитать – случай ‘оффлайновой атаки’. Шифрование диска может также воплотить процедуру доступа к диску на основе ‘ключей’, то есть после выключения машины ее нельзя будет загрузить без ключа.
• Требование двухфакторной авторизации для входа в систему, причем второй фактор также требуется для разблокировки машины или выхода из спящего режима.
• Развертывание NAP или аналогичных технологий для проверки безопасности в конечной точке перед тем, как разрешать машине доступ в корпоративную сеть. Если машина не проходит проверку, в корпоративную сеть она не попадает.
• Требование, чтобы пользовательские аккаунты, используемые для входа в сеть, не были теми же административными аккаунтами, которые обслуживают работу сети, чтобы предотвратить распространине атак.
• Отделение центра данных от всех клиентов с тем, чтобы клиенты, работающие через VPN, клиенты, располагающиеся в корпоративной сети, были физически и логически разделены от общего множества клиентов.

Каждый из этих способов может значительно помочь в уменьшении угроз для клиентов VPN с удаленным доступом. И хотя это не уравнивает такие клиенты с корпоративными клиентами типа ‘bolted-in’, есть масса сценариев, в которых блуждающий клиент VPN с удаленным доступом действительно может работать без особого риска. Один из таких сценариев мы рассмотрим далее в этой же статье.

Клиент DirectAccess

Теперь переходим к клиенту DirectAccess. Как и клиент VPN, такой компьютер может покидать пределы корпоративной сети, появляться в комнатах отелей, в конференц-залах, в аэропортах, и в любых других местах, где мог бы находиться блуждающий клиент VPN с удаленным доступом. Клиент DirectAccess в процессе своей жизнедеятельности будет подключаться к доверенным и недоверенным сетям, точно как и клиент VPN с удаленным доступом, и физическая угроза компьютеру совершенно аналогична угрозам для блуждающего клиента VPN. То есть, сравнивая клиент DirectAccess и клиент VPN, можно прийти к выводу, что с точки зрения угроз они идентичны.

Однако есть несколько значительных различий между блуждающий клиентом VPN и клиентом DirectAccess:

• Клиент DirectAccess всегда управляем. Пока компьютер с клиентом DirectAccess включен и подключен к Интернету, клиент DirectAccess будет подключаться к управляющим серверам, которые поддерживают клиент DirectAccess в состоянии синхронизированности с настройками безопасности.
• С клиентом DirectAccess всегда можно работать. Если IT-отделу требуется подключиться к клиенту DirectAccess для осуществления настройки ПО или для решения проблем на клиенте DirectAccess, нет никаких проблем для получения доступа, поскольку соединение между клиентом DirectAccess и управляющими станциями двунаправленное.
• Клиент DirectAccess использует два отдельных тоннеля для соединения. Клиент DirectAccess имеет доступ только к управляющей и конфигурационной инфраструктуре через первый тоннель. Общий доступ к сети недоступен, пока пользователь подключается и создает тоннель для инфраструктуры.

При сравнении клиента DirectAccess с клиентом VPN, клиент DirectAccess представляется намного менее уязвимым, чем клиент VPN, поскольку клиент DirectAccess всегда находится под контролем и руководством IT’шников компании. Это резко контрастирует с блуждающими клиентами VPN, которые могут быть, а могут и не быть подключенными к корпоративной сети длительное время, что приводит к конфигурационной энтропии, которая значительно увеличивает риск заражения системы. Кроме того, усовершенствования, упомянутые выше применительно к клиенту VPN, также могут использоваться и при работе с клиентом DirectAccess.

И тут нам нужно принять важное решение: при сравнении блуждающего клиента VPN с клиентом DirectAccess, все свидетельства в пользу того, что клиент DirectAccess обеспечивает меньший уровень угроз. Сравнения клиента DirectAccess с корпоративным клиентом типа ‘bolted-in’, вероятно, представляют лишь академический интерес; ведь в очень немногих организациях остались еще такие клиенты bolted-in, и большинство фирм предоставляют пользователям VPN-доступ для работы с ресурсами корпоративной сети, и клиенты VPN и клиенты DirectAccess будут работать с корпоративной сетью, делая различия между ‘клиентом корпоративной сети’ и ‘удаленным клиентом’ практически бессмысленными c точки зрения информационной безопасности.

Заключение

Многие люди выражают беспокойство по поводу возможных угроз, представляемых клиентами DirectAccess для корпоративных сетей из-за их возможностей к всегда включенному состоянию. Однако это соображение высказывается без учета контекста клиента DirectAccess и того, насколько он отличается от традиционного удаленного клиента VPN. Исходя из предоставленного в данной статье анализа, становится ясно, что поскольку клиент DirectAccess всегда управляем, всегда обновляем и всегда находится под контролем и руководством IT-отдела компании, степень угрозы при работе с ним действительно намного ниже, чем та, которая обеспечивается удаленным клиентом VPN.