Sự khác biệt giữa DirectAccess và VPN- P1

Chia sẻ: Cong Thanh | Ngày: | Loại File: PDF | Số trang:5

Thêm vào BST

Báo xấu

97
lượt xem 10
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Sự khác biệt giữa DirectAccess và VPN Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác biệt giữa DirectAccess và VPN. DirectAccess có rất nhiều đặc tính làm cho nhiều người dùng nhầm lẫn với VPN, tuy nhiên sự thật DirectAccess không giống như VPN. Vậy làm thế nào để phân biệt được sự khác nhau giữa chúng. Trong bài này chúng tôi sẽ giới thiệu cho các bạn sự khác nhau này bằng cách đặt chúng vào khối cảnh có các kiểu máy khách khác nhau trên mạng, sau đó quan sát các vấn...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Sự khác biệt giữa DirectAccess và VPN- P1

Sự khác biệt giữa DirectAccess và VPN Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác biệt giữa DirectAccess và VPN. DirectAccess có rất nhiều đặc tính làm cho nhiều người dùng nhầm lẫn với VPN, tuy nhiên sự thật DirectAccess không giống như VPN. Vậy làm thế nào để phân biệt được sự khác nhau giữa chúng. Trong bài này chúng tôi sẽ giới thiệu cho các bạn sự khác nhau này bằng cách đặt chúng vào khối cảnh có các kiểu máy khách khác nhau trên mạng, sau đó quan sát các vấn đề kết nối và bảo mật quan trọng đối với mỗi kiểu máy khách này.
Các kiểu máy khách Để bắt đầu thảo luận này, chúng ta thừa nhận rằng có ba kiểu máy khách nói chung đó là:  Máy khách “bolted-in” bên trong mạng công ty  Máy khách VPN truy cập từ xa qua roaming  DirectAccess client Máy khách “bolted-in” bên trong mạng công ty Các máy khách “bolted-in” bên trong mạng công ty là hệ thống dù có thể hoặc không được “bolted in” đúng nghĩa nhưng nó sẽ không bao giờ tách rời khỏi mạng nội bộ của công ty (có thể hiểu
là các máy khách được cột chặt trong mạng công ty). Hệ thống này là một thành viên miền, là một hệ thống luôn được quản lý và không bao giờ bị lộ diện trước các mạng khác. Sự truy cập Internet của mạng này luôn được điều khiển bởi tường lửa kiểm tra lớp ứng dụng, chẳng hạn như tường lửa TMG. USB và các khe cắm truyền thông khác đều bị khóa chặn vật lý hoặc quản trị chặt chẽ, việc truy cập cập lý đến tòa nhà, nơi các máy tính này cư trú chỉ được phép đối với nhân viên và các khách hành tin cậy. Các hệ thống này đều được cài đặt phần mềm anti-malware, được cấu hình qua Group Policy hoặc một số hệ thống quản lý khác nhằm duy trì cấu hình bảo mật mong muốn, Network Access Protection (NAP) được kích hoạt trên mạng để ngăn chặn các hệ thống giả mạo có thể kết nối vào mạng và truy cập vào tài nguyên công ty. Windows Firewall with Advanced Security được kích hoạt và cấu hình nhằm giảm rủi ro trước các mối đe dọa xuất hiện từ worm mạng. Khái niệm máy khách “bolted-in” trong mạng công ty gần lý tưởng như ý tưởng máy khách an toàn:  Hệ thống không bao giờ bị lộ trước các mạng không tin cậy.  Luôn được quản lý.  Luôn nằm trong tầm kiểm soát của nhóm CNTT trong công
ty.  Việc truy cập được hạn chế cho nhân viên và khách tin cậy.  Sự truy cập ngoài luồng vào hệ thống sẽ bị hạn chế bởi các cổng cắm ngoài được quản trị hoặc được vô hiệu hóa dưới góc độ vật lý.  Tường lửa Internet kiểm tra lớp ứng dụng chẳng hạn như TMG sẽ tránh cho người dùng download các khai thác từ Internet.  NAP giảm rủi ro đến từ các máy khách không được quản lý kết nối với mạng và phổ biến malware thu được từ các mạng khác.  Không có hiện tượng hệ thống sẽ bị đánh cắp do sử dụng các cách thức vật lý để “bolt in” máy khách với cơ sở hạ tầng vật lý. Bạn có thể hình dung đây là một hệ thống lý tưởng dưới dạng bảo mật mạng, vậy đặc trưng này thực tế thế nào? Bạn có bao nhiêu hệ thống khách chưa bao giờ rời mạng nội bộ công ty? Và thậm chí nếu có sự kiểm soát thích hợp, các máy này có tránh các tấn công thế nào? Chúng ta cần xem xét các mặt dưới đây:  Social engineering là một phương pháp tấn công khá phổ
biến, phương pháp tấn công này cho phép kẻ tấn công có thể tăng truy cập vật lý vào các máy tính được nào đó đã được mục tiêu hóa để cài đặt malware và Trojan vào các máy tính “bolted-in” trong mạng nội bộ.  Thậm chí khi các cổng vật lý bị vô hiệu hóa, người dùng vẫn có thể được phép truy cập đến một số ổ đĩa quang học – trong trường hợp malware đã thu được từ một số khu vực bên ngoài có thể tìm ra cách đột nhập vào các máy khách “bolted-in” trong mạng nội bộ.  Tuy tường lửa thanh tra lớp ứng dụng có thể ngăn chặn malware và Trojan xâm nhập vào mạng nội bộ, nhưng nếu tường lửa không thực hiện hành động kiểm tra SSL (HTTPS), nó sẽ không còn giá trị nữa vì Trojans có thể sử dụng kênh SSL an toàn (không được thanh tra) để đến được các máy trạm điều khiển của chúng. Thêm vào đó, người dùng có thể lợi dụng các proxy nặc danh qua một kết nối SSL không mong đợi.  Nếu Trojan đã được cài đặt vào máy khách “bolted-in” trong mạng công ty, một Trojan tinh vi sẽ sử dụng HTTP hoặc SSL để kết nối với các bộ điều khiển của nó và hầu như sẽ kết nối với site chưa được liệt vào dạng “nguy hiểm”. Thậm chí nếu tổ chức nào đó đã sử dụng phương pháp danh sách trắng để bảo mật thì kẻ tấn