Sự khác biệt giữa DirectAccess và VPN
Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác biệt giữa DirectAccess và VPNDirectAccess có rất nhiều đặc tính làm cho nhiều người dùng nhầm lẫn với VPN, tuy nhiên sự thật DirectAccess không giống như VPN. Vậy làm thế nào để phân biệt được sự khác nhau giữa chúng. Trong bài này chúng tôi sẽ giới thiệu cho các bạn sự khác nhau này bằng cách đặt chúng vào khối cảnh có các kiểu máy khách khác nhau trên mạng, sau đó quan sát các vấn đề kết nối và bảo mật quan trọng đối với mỗi kiểu máy khách này.
5 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 1858 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Sự khác biệt giữa DirectAccess và VPN, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác biệt giữa DirectAccess và
VPNDirectAccess có rất nhiều đặc tính làm cho nhiều người dùng nhầm lẫn với VPN, tuy nhiên sự thật
DirectAccess không giống như VPN. Vậy làm thế nào để phân biệt được sự khác nhau giữa chúng. Trong
bài này chúng tôi sẽ giới thiệu cho các bạn sự khác nhau này bằng cách đặt chúng vào khối cảnh có các
kiểu máy khách khác nhau trên mạng, sau đó quan sát các vấn đề kết nối và bảo mật quan trọng đối với
mỗi kiểu máy khách này.
Các kiểu máy khách
Để bắt đầu thảo luận này, chúng ta thừa nhận rằng có ba kiểu máy khách nói chung đó là:
Máy khách “bolted-in” bên trong mạng công ty
Máy khách VPN truy cập từ xa qua roaming
DirectAccess client
Máy khách “bolted-in” bên trong mạng công
ty
Các máy khách “bolted-in” bên trong mạng công ty là hệ thống dù có thể hoặc không được “bolted in” đúng
nghĩa nhưng nó sẽ không bao giờ tách rời khỏi mạng nội bộ của công ty (có thể hiểu là các máy khách
được cột chặt trong mạng công ty). Hệ thống này là một thành viên miền, là một hệ thống luôn được quản lý
và không bao giờ bị lộ diện trước các mạng khác. Sự truy cập Internet của mạng này luôn được điều khiển
bởi tường lửa kiểm tra lớp ứng dụng, chẳng hạn như tường lửa TMG. USB và các khe cắm truyền thông
khác đều bị khóa chặn vật lý hoặc quản trị chặt chẽ, việc truy cập cập lý đến tòa nhà, nơi các máy tính này
cư trú chỉ được phép đối với nhân viên và các khách hành tin cậy. Các hệ thống này đều được cài đặt phần
mềm anti-malware, được cấu hình qua Group Policy hoặc một số hệ thống quản lý khác nhằm duy trì cấu
hình bảo mật mong muốn, Network Access Protection (NAP) được kích hoạt trên mạng để ngăn chặn các
hệ thống giả mạo có thể kết nối vào mạng và truy cập vào tài nguyên công ty. Windows Firewall with
Advanced Security được kích hoạt và cấu hình nhằm giảm rủi ro trước các mối đe dọa xuất hiện từ worm
mạng.
Khái niệm máy khách “bolted-in” trong mạng công ty gần lý tưởng như ý tưởng máy khách an toàn:
Hệ thống không bao giờ bị lộ trước các mạng không tin cậy.
Luôn được quản lý.
Luôn nằm trong tầm kiểm soát của nhóm CNTT trong công ty.
Việc truy cập được hạn chế cho nhân viên và khách tin cậy.
Sự truy cập ngoài luồng vào hệ thống sẽ bị hạn chế bởi các cổng cắm ngoài được quản trị hoặc được vô hiệu
hóa dưới góc độ vật lý.
Tường lửa Internet kiểm tra lớp ứng dụng chẳng hạn như TMG sẽ tránh cho người dùng download các khai
thác từ Internet.
NAP giảm rủi ro đến từ các máy khách không được quản lý kết nối với mạng và phổ biến malware thu được từ
các mạng khác.
Không có hiện tượng hệ thống sẽ bị đánh cắp do sử dụng các cách thức vật lý để “bolt in” máy khách với cơ sở
hạ tầng vật lý.
Bạn có thể hình dung đây là một hệ thống lý tưởng dưới dạng bảo mật mạng, vậy đặc trưng này thực tế thế
nào? Bạn có bao nhiêu hệ thống khách chưa bao giờ rời mạng nội bộ công ty? Và thậm chí nếu có sự kiểm
soát thích hợp, các máy này có tránh các tấn công thế nào? Chúng ta cần xem xét các mặt dưới đây:
Social engineering là một phương pháp tấn công khá phổ biến, phương pháp tấn công này cho phép kẻ tấn
công có thể tăng truy cập vật lý vào các máy tính được nào đó đã được mục tiêu hóa để cài đặt malware và Trojan vào
các máy tính “bolted-in” trong mạng nội bộ.
Thậm chí khi các cổng vật lý bị vô hiệu hóa, người dùng vẫn có thể được phép truy cập đến một số ổ đĩa
quang học – trong trường hợp malware đã thu được từ một số khu vực bên ngoài có thể tìm ra cách đột nhập vào các
máy khách “bolted-in” trong mạng nội bộ.
Tuy tường lửa thanh tra lớp ứng dụng có thể ngăn chặn malware và Trojan xâm nhập vào mạng nội bộ, nhưng
nếu tường lửa không thực hiện hành động kiểm tra SSL (HTTPS), nó sẽ không còn giá trị nữa vì Trojans có thể sử
dụng kênh SSL an toàn (không được thanh tra) để đến được các máy trạm điều khiển của chúng. Thêm vào đó, người
dùng có thể lợi dụng các proxy nặc danh qua một kết nối SSL không mong đợi.
Nếu Trojan đã được cài đặt vào máy khách “bolted-in” trong mạng công ty, một Trojan tinh vi sẽ sử dụng HTTP
hoặc SSL để kết nối với các bộ điều khiển của nó và hầu như sẽ kết nối với site chưa được liệt vào dạng “nguy hiểm”.
Thậm chí nếu tổ chức nào đó đã sử dụng phương pháp danh sách trắng để bảo mật thì kẻ tấn công vẫn có thể chiếm
quyền điều khiển (DNS poisoning – giả mạo DNS) và chỉ thị cho Trojan kết nối đến site đó để nó có thể nhận các lệnh
điều khiển.
Nhiều người dùng có thể vòng tránh quyền kiểm soát của bạn nếu họ không thể truy cập vào các site hay truy
cập các tài nguyên Internet mà họ mong muốn. Nếu người dùng của bạn đang sử dụng các kết nối không dây, họ có
thể dễ dàng hủy kết nối với mạng không dây công ty và kết nối trở lại mạng bằng hệ thống khác để truy cập vào các tài
nguyên bị khóa theo chính sách công ty và sau đó lại kết nối trở lại với mạng công ty sau khi họ đã có được những gì
mình muốn. Người dùng với kết nối dù không dây hay chạy dây cũng đều có thể cắm wireless adapter để kết nối đến
một mạng không được lọc và thỏa hiệp máy tính qua một cổng khác. Trong kịch bản này, máy khách “bolted-in” của
mạng công ty vô tình đã nhận một số đặc tính của máy khách truy cập từ xa qua roaming.
Thực hiện bảo mật nhờ cần cù là một bài học không hiệu quả. Những gì tỏ rõ ở đây là, thậm chí có ở trong
tình huống lý tưởng đối với các máy khách “bolted in” trong mạng công ty, thì cũng vẫn có rất nhiều thứ có
thể không như mong đợi diễn ra và dẫn đến những tai nạn nghiêm trọng về bảo mật. Bạn vẫn cần phải thực
hiện mọi thứ để bảo đảm rằng các máy tính của mình được an toàn, cập nhật chúng một cách liên tục cũng
như quản lý chúng một cách tốt nhất – tuy nhiên cần đặt mình vào phối cảnh các máy tính được cách ly
như thế nào và không thể di chuyển các máy khách trong mạng công ty so với các kiểu hệ thống máy khách
khác.
Cuối cùng và có lẽ quan trọng nhất, bạn cần biết rằng có hay không thì khái niệm máy khách “bolted-in”
trong mạng công ty có khi chỉ là một mối quan tâm. Có bao nhiêu máy khách này tồn tại trong các mạng
công ty ngày nay – đặc biệt các mạng mà ở đó đa số nhân viên là những người có kiến thức? Trong môi
trường như vậy, bạn có thể cho rằng VDI là giải pháp có tính khả thi, vì các nhiệm vụ mà họ thực hiện
không yêu cầu nhiều chức năng được cung cấp bởi môi trường máy tính đầy đủ, tuy nhiên các nhân viên có
kiến thức cần có sự linh hoạt và sức mạnh được cung cấp bởi một nền tảng máy tính hoàn chỉnh. Thêm
vào đó, ngày càng nhiều công ty nhận ra sự thuận lợi trong việc truyền thông từ xa và ngày càng nhiều
nhân viên làm việc từ nhà hoặc kết nối đến mạng công ty khi đang đi trên đường. Những vấn đề này đã làm
nảy sinh cho chúng ta:
Máy khách VPN truy cập từ xa qua roaming
Vào những năm 1990, việc sử dụng các máy khách “bolted-in” trong mạng công ty là một điều hay gặp. Tuy
nhiên đến thập kỷ thứ hai của thế kỷ 21, các nhân viên ngày một cần phải làm việc lưu động và điều đó đã
làm xuất hiện các máy khách VPN truy cập từ xa qua roaming. Nhân viên có kiến thức về máy tính có thể
cầm các máy tính laptop cấu hình cao đến nơi làm việc, về nhà, đến các địa điểm của khách hàng, đến
khách sạn, các cuộc hội thảo, sân bay,… có thể nói là bất cứ nơi đâu trên thế giới mà ở đó có kết nối
Internet. Trong nhiều trường hợp, sau khi truy cập Internet ở nhiều địa điểm khác nhau, họ mang laptop của
mình quay trở lại mạng công ty.
Các máy khách VPN truy cập từ xa qua roaming lại đặt ra một cách thức bảo mật rất khác so với các máy
khách “bolted-in” trong mạng công ty. Một điểm giống như các máy khách “bolted-in” trong mạng công ty,
các máy tính này là các thành viên miền, được cài đặt phần mềm chống malware, kích hoạt Windows
Firewall with Advanced Security và được cấu hình đồng thuận hoàn toàn với chính sách bảo mật công ty.
Lúc đầu các máy tính VPN roaming được cung cấp đến người dùng cũng an toàn như các máy khách
“bolted-in” trong mạng công ty.
Tuy nhiên trạng thái bảo mật và cấu hình đó không kéo dài được lâu. Người dùng có thể không kết nối với
mạng nội bộ công ty qua kết nối VPN nhiều ngày hoặc nhiều tuần. Hoặc họ có thể kết nối hàng ngày trong
khoảng thời gian một hoặc hai tuần, sau đó không kết nối trong khoảng thời gian vài tháng. Trong khoảng
thời gian chuyển tiếp, máy khách VPN qua roaming dần dần mất đi sự đồng thuận của mình. Chính sách
nhóm Group Policy của công ty không được cập nhật, các nâng cấp chống virus, malware không được cập
nhật kịp thời. Các chính sách bảo mật cũng như điều khiển được áp dụng cho các máy khách nằm trong
mạng nội bộ công ty có thể không khả thi đối với các máy khách VPN truy cập từ xa qua roaming vì chúng
không thể kết nối qua VPN theo cùng cách.
Việc các máy khách roaming ngày càng không bắt kịp các cấu hình cũng như chính sách an ninh của công
ty nên vấn đề ngày càng trở nên nghiêm trọng vì máy tính này thường được kết nối với rất nhiều mạng
không tin cậy cũng như không an toàn. Các mạng không tin cậy cũng như không an toàn này có thể có rất
nhiều worm mạng cũng như các mối hiểm họa khác.
Điều gì sẽ xảy ra khi người dùng mang các máy tính này của họ truy cập trở lại với mạng công ty? Điều gì
sẽ xảy ra nếu máy tính của họ bị thỏa hiệp bởi worms, viruses, Trojans hay một kiểu malware nào khác?
Mối nguy hiểm có thể được hạn chế nếu bạn kích hoạt Network Access Protection trong mạng, tuy nhiên có
bao nhiêu mạng đã kích hoạt NAP, dù chắc năng này đã có sẵn nhiều năm với tư cách là một phần của
Windows Server 2008?
Rõ ràng người dùng không nên mang máy tính bị thỏa hiệp trở lại mạng. Giả định một người dùng nào đó
đã kết nối máy tính của họ với một số mạng khác nhau và cuối cùng máy tính này đã bị thỏa hiệp. Sau ba
tháng anh ta cần thay đổi mật khẩu của mình vì vậy đã thực hiện kết nối thông qua VPN để thay đổi mật
khẩu. Trong trường hợp này những hậu quả bảo mật tai hại sẽ tương tự như trường hợp máy tính này
được kết nối vật lý với mạng công ty.
Như những gì bạn thấy, việc roaming đã nảy sinh ra rất nhiều vấn đề bảo mật so với các máy khách “bolted
in” trong mạng công ty:
Máy khách roaming thường được kết nối một cách không liên tục với mạng công ty – hoặc đôi khi không kết
nối – do đó sẽ không bắt kịp các chính sách an ninh cũng như các hệ thống quản lý khác.
Bị lộ diện trước các mạng không được quản lý hoặc được quản lý giản đơn, gia tăng “bề mặt tấn công” tiềm
tàng so với các máy khách không rời khỏi mạng nội bộ.
Có thể truy cập Internet và người dùng có thể thực hiện bất cứ thứ gì họ muốn trong khi kết nối Internet vì các
máy khách này không bị kiểm tra và lọc các kết nối Internet.
Nếu máy khách VPN được cấu hình để vô hiệu hóa tính năng split tunneling, nó có thể bị bắt buộc sử dụng các
cổng truy cập Internet công ty trong thời gian máy khách kết nối. Mặc dù vậy, khi kết nối VPN bị rớt, người dùng có thể
thực hiện những gì họ muốn – có thể chia sẻ bất cứ malware hoặc trojan mà máy tính bị tiêm nhiễm trong khi hủy kết
nối khỏi VPN và kết nối trở lại.
Người dùng có thể tránh kết nối đến VPN vì thời gian đăng nhập chập, kết nối không nhất quán và toàn bộ trải
nghiệm VPN kém tối ưu, nhiều rủi ro trong việc không bắt kịp chính sách bảo mật công ty cũng như tăng rủi ro thỏa
hiệp.
Máy khách VPN qua roaming vì vậy khác đáng kể so với máy khách “bolted-in” trong mạng công ty ở phối cảnh bảo mật:
Group policy có thể hoặc không được cập nhật kịp thời.
Phần mềm anti-virus có thể hay không được cập nhật kịp thời.
Phần mềm Anti-malware có thể hoặc không được cập nhật kịp thời.
Các phương pháp quản lý và điều khiển khác có thể hoặc không thể cấu hình lại máy khách kịp thời.
Số người có thể truy cập vật lý đến các máy tính VPN thường lớn hơn số người có thể truy cập đến các máy
tính “bolted-in” trong mạng công ty, không chỉ các thành viên gia đình của người dùng và bạn bè mà còn cả những
người đánh cắp máy tính.
Sự khác biệt chính giữa máy khách VPN qua roaming và máy khách “bolted-in” trong mạng công ty là, máy
khách VPN thường nằm ngoài quyền kiểm soát và bị lộ diện trước một số lượng lớn các mối đe dọa. Mặc
dù vậy, có nhiều cách để giảm nhẹ một số các mối đe dọa này và nhiều công ty đã giới thiệu các phương
pháp thực hiện đó, chẳng hạn như:
Sử dụng mã hóa đĩa (chẳng hạn như BitLocker) để nếu một máy tính nào đó bị mất, kẻ trộm sẽ không thể đọc
dữ liệu trong ổ đĩa. Mã hóa đĩa cũng có thể sử dụng phương pháp truy cập bằng cách “khóa” đĩa để khi tắt máy tính
người dùng sẽ không thể khởi động khi không có khóa.
Yêu cầu xác thực hai hệ số để đăng nhập vào máy tính, cùng với đó cũng yêu cầu hai hệ số để mở khóa máy
tính cũng như đánh thức chúng.
Sử dụng NAP hoặc các kỹ thuật tương tự để test bảo mật trước khi máy tính được phép truy cập vào mạng
công ty. Nếu máy tính không thể khắc phục, nó sẽ không được phép truy cập vào mạng công ty.
Không sử dụng các tài khoản quản trị để đăng nhập vào mạng, điều này nhằm ngăn chặn các tấn công nguy
hiểm.
Đặt trung tâm dữ liệu cách biệt về mặt vật lý cũng như logic với toàn bộ máy khách.
Sử dụng một số biện pháp này sẽ giảm được nhiều mối đe dọa tiềm ẩn đối với các máy khách VPN truy
cập từ xa. Tuy không thể san lấp mặt bằng so với các máy khách “bolted-in” trong mạng công ty nhưng
chúng ta vẫn có một số kịch bản mà ở đó máy khách VPN truy cập từ xa qua roaming có thể giảm bớt được
các rủi ro. Chúng ta sẽ đi xem xét một trong trong số phương pháp đó trong phần dưới này.
Máy khách DirectAccess
Chúng ta đang nói đến chủ đề máy khách DirectAccess. Giống như các máy khách VPN, máy tính này có
thể di chuyển từ mạng công ty, đến một phòng nào đó trong khách sạn, trung tâm hội thảo, sân bay, hay bất
cứ nơi đâu mà một máy tính VPN truy cập từ xa qua roaming có thể tồn tại. Máy khách DirectAccess sẽ
được kết nối với cả mạng tin cậy và không tin cậy, giống như máy khách VPN truy cập từ xa, và rủi ro của
việc thỏa hiệp vật lý của máy tính cũng tương tự như những gì đã thấy đối với máy khách VPN. Như vậy
nếu làm phép so sánh thì máy khách DirectAccess và VPN về cơ bản là giống như trước phối cảnh bảo
mật.
Mặc dù vậy, vẫn có một số khác biệt đáng kể giữa việc roaming và DirectAccess:
Máy khách DirectAccess luôn được quản lý. Chỉ cần được bật và được kết nối Internet, máy khách
DirectAccess sẽ có kết nối với các máy chủ quản lý để cập nhật kịp thời các cấu hình bảo mật công ty.
Máy khách DirectAccess luôn trong trạng thái phục vụ. Nếu nhóm CNTT cần kết nối đến máy khách
DirectAccess nào để thực hiện một cấu hình phần mềm gì đó hoặc khắc phục sự cố vấn đề trên máy khách này thì họ
sẽ không gặp bất cứ trở ngại gì vì kết nối giữa máy khách DirectAccess và trạm quản lý CNTT luôn là kết nối hai chiều.
Máy khách DirectAccess sử dụng hai đường hầm riêng biệt để kết nối. Tuy nhiên nó chỉ có thể truy cập đến cơ
sở hạ tầng cấu hình và quản lý qua đường hầm đầu tiên. Sự truy cập mạng nói chung không có sẵn cho tới khi người
dùng đăng nhập và tạo đường hầm cơ sở hạ tầng.
Khi so sánh máy khách DirectAccess với máy khách VPN truy cập từ xa, bạn sẽ thấy ở máy khách
DirectAccess xuất hiện ít mối đe dọa bảo mật hơn so với VPN, điều này là vì máy khách DirectAccess luôn
nằm trong sự kiểm soát của nhóm CNTT công ty. Khác hẳn với các máy khách VPN, chúng có thể hoặc
không kết nối với mạng công ty trong khoảng thời gian khá lâu, điều này rất dễ dẫn đến không bắt kịp cấu
hình bảo mật chung và làm tăng rủi thỏa hiệp bảo mật. Thêm vào đó, các phương pháp làm giảm nhẹ như
được đề cập ở trên được áp dụng cho các máy khách VPN truy cập xa cũng có thể được mang ra sử dụng
với máy khách DirectAccess.
Đến đây chúng ta đã đạt được mục đích của mình là so sánh được các máy khách VPN truy cập xa qua
roaming và các máy khách DirectAccess, rõ ràng tất cả những gì được minh chứng trong bài đã cho thấy
máy khách DirectAccess cho thấy sự an toàn hơn trong vấn đề bảo mật chung của công ty so với việc thực
hiện roaming.
Các file đính kèm theo tài liệu này:
- Sự khác biệt giữa DirectAccess và VPN.pdf