Sự khác biệt giữa DirectAccess và VPN- P1

Sự khác biệt giữa DirectAccess và VPNTrong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác biệt giữa DirectAccess và VPN. DirectAccess có rất nhiều đặc tính làm cho nhiều người dùng nhầm lẫn với VPN, tuy nhiên sự thật DirectAccess không giống như VPN. Vậy làm thế nào để phân biệt được sự khác nhau giữa chúng. Trong bài này chúng tôi sẽ giới thiệu cho các bạn sự khác nhau này bằng cách đặt chúng vào khối cảnh có các kiểu máy khách khác nhau trên mạng, sau đó quan sát các vấn...
Nội dung trích xuất từ tài liệu:
Sự khác biệt giữa DirectAccess và VPN- P1 Sự khác biệt giữa DirectAccess và VPNTrong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sựkhác biệt giữa DirectAccess và VPN.DirectAccess có rất nhiều đặc tính làm cho nhiều người dùngnhầm lẫn với VPN, tuy nhiên sự thật DirectAccess không giốngnhư VPN. Vậy làm thế nào để phân biệt được sự khác nhau giữachúng. Trong bài này chúng tôi sẽ giới thiệu cho các bạn sự khácnhau này bằng cách đặt chúng vào khối cảnh có các kiểu máykhách khác nhau trên mạng, sau đó quan sát các vấn đề kết nối vàbảo mật quan trọng đối với mỗi kiểu máy khách này.Các kiểu máy kháchĐể bắt đầu thảo luận này, chúng ta thừa nhận rằng có ba kiểu máykhách nói chung đó là: Máy khách “bolted-in” bên trong mạng công ty Máy khách VPN truy cập từ xa qua roaming DirectAccess clientMáy khách “bolted-in” bên trong mạng công tyCác máy khách “bolted-in” bên trong mạng công ty là hệ thốngdù có thể hoặc không được “bolted in” đúng nghĩa nhưng nó sẽkhông bao giờ tách rời khỏi mạng nội bộ của công ty (có thể hiểulà các máy khách được cột chặt trong mạng công ty). Hệ thốngnày là một thành viên miền, là một hệ thống luôn được quản lý vàkhông bao giờ bị lộ diện trước các mạng khác. Sự truy cậpInternet của mạng này luôn được điều khiển bởi tường lửa kiểmtra lớp ứng dụng, chẳng hạn như tường lửa TMG. USB và cáckhe cắm truyền thông khác đều bị khóa chặn vật lý hoặc quản trịchặt chẽ, việc truy cập cập lý đến tòa nhà, nơi các máy tính nàycư trú chỉ được phép đối với nhân viên và các khách hành tin cậy.Các hệ thống này đều được cài đặt phần mềm anti-malware, đượccấu hình qua Group Policy hoặc một số hệ thống quản lý khácnhằm duy trì cấu hình bảo mật mong muốn, Network AccessProtection (NAP) được kích hoạt trên mạng để ngăn chặn các hệthống giả mạo có thể kết nối vào mạng và truy cập vào tài nguyêncông ty. Windows Firewall with Advanced Security được kíchhoạt và cấu hình nhằm giảm rủi ro trước các mối đe dọa xuất hiệntừ worm mạng.Khái niệm máy khách “bolted-in” trong mạng công ty gần lýtưởng như ý tưởng máy khách an toàn: Hệ thống không bao giờ bị lộ trước các mạng không tin cậy. Luôn được quản lý. Luôn nằm trong tầm kiểm soát của nhóm CNTT trong côngty. Việc truy cập được hạn chế cho nhân viên và khách tin cậy. Sự truy cập ngoài luồng vào hệ thống sẽ bị hạn chế bởi cáccổng cắm ngoài được quản trị hoặc được vô hiệu hóa dưới góc độvật lý. Tường lửa Internet kiểm tra lớp ứng dụng chẳng hạn nhưTMG sẽ tránh cho người dùng download các khai thác từInternet. NAP giảm rủi ro đến từ các máy khách không được quản lýkết nối với mạng và phổ biến malware thu được từ các mạngkhác. Không có hiện tượng hệ thống sẽ bị đánh cắp do sử dụngcác cách thức vật lý để “bolt in” máy khách với cơ sở hạ tầng vậtlý.Bạn có thể hình dung đây là một hệ thống lý tưởng dưới dạng bảomật mạng, vậy đặc trưng này thực tế thế nào? Bạn có bao nhiêuhệ thống khách chưa bao giờ rời mạng nội bộ công ty? Và thậmchí nếu có sự kiểm soát thích hợp, các máy này có tránh các tấncông thế nào? Chúng ta cần xem xét các mặt dưới đây: Social engineering là một phương pháp tấn công khá phổbiến, phương pháp tấn công này cho phép kẻ tấn công có thể tăngtruy cập vật lý vào các máy tính được nào đó đã được mục tiêuhóa để cài đặt malware và Trojan vào các máy tính “bolted-in”trong mạng nội bộ. Thậm chí khi các cổng vật lý bị vô hiệu hóa, người dùng vẫncó thể được phép truy cập đến một số ổ đĩa quang học – trongtrường hợp malware đã thu được từ một số khu vực bên ngoài cóthể tìm ra cách đột nhập vào các máy khách “bolted-in” trongmạng nội bộ. Tuy tường lửa thanh tra lớp ứng dụng có thể ngăn chặnmalware và Trojan xâm nhập vào mạng nội bộ, nhưng nếu tườnglửa không thực hiện hành động kiểm tra SSL (HTTPS), nó sẽkhông còn giá trị nữa vì Trojans có thể sử dụng kênh SSL an toàn(không được thanh tra) để đến được các máy trạm điều khiển củachúng. Thêm vào đó, người dùng có thể lợi dụng các proxy nặcdanh qua một kết nối SSL không mong đợi. Nếu Trojan đã được cài đặt vào máy khách “bolted-in” trongmạng công ty, một Trojan tinh vi sẽ sử dụng HTTP hoặc SSL đểkết nối với các bộ điều khiển của nó và hầu như sẽ kết nối với sitechưa được liệt vào dạng “nguy hiểm”. Thậm chí nếu tổ chức nàođó đã sử dụng phương pháp danh sách trắng để bảo mật thì kẻ tấn ...