Quản trị mạng – Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác biệt giữa DirectAccess và VPN.
DirectAccess có rất nhiều đặc tính làm cho nhiều người dùng nhầm lẫn với VPN, tuy nhiên sự thật DirectAccess không giống như VPN. Vậy làm thế nào để phân biệt được sự khác nhau giữa chúng. Trong bài này chúng tôi sẽ giới thiệu cho các bạn sự khác nhau này bằng cách đặt chúng vào khối cảnh có các kiểu máy khách khác nhau trên mạng, sau đó quan sát các vấn đề kết nối và bảo mật quan trọng đối với mỗi kiểu máy khách này.
Các kiểu máy khách
Để bắt đầu thảo luận này, chúng ta thừa nhận rằng có ba kiểu máy khách nói chung đó là:
- Máy khách “bolted-in” bên trong mạng công ty
- Máy khách VPN truy cập từ xa qua roaming
- DirectAccess client
Máy khách “bolted-in” bên trong mạng công ty
Các máy khách “bolted-in” bên trong mạng công ty là hệ thống dù có thể hoặc không được “bolted in” đúng nghĩa nhưng nó sẽ không bao giờ tách rời khỏi mạng nội bộ của công ty (có thể hiểu là các máy khách được cột chặt trong mạng công ty). Hệ thống này là một thành viên miền, là một hệ thống luôn được quản lý và không bao giờ bị lộ diện trước các mạng khác. Sự truy cập Internet của mạng này luôn được điều khiển bởi tường lửa kiểm tra lớp ứng dụng, chẳng hạn như tường lửa TMG. USB và các khe cắm truyền thông khác đều bị khóa chặn vật lý hoặc quản trị chặt chẽ, việc truy cập cập lý đến tòa nhà, nơi các máy tính này cư trú chỉ được phép đối với nhân viên và các khách hành tin cậy. Các hệ thống này đều được cài đặt phần mềm anti-malware, được cấu hình qua Group Policy hoặc một số hệ thống quản lý khác nhằm duy trì cấu hình bảo mật mong muốn, Network Access Protection (NAP) được kích hoạt trên mạng để ngăn chặn các hệ thống giả mạo có thể kết nối vào mạng và truy cập vào tài nguyên công ty. Windows Firewall with Advanced Security được kích hoạt và cấu hình nhằm giảm rủi ro trước các mối đe dọa xuất hiện từ worm mạng.
Khái niệm máy khách “bolted-in” trong mạng công ty gần lý tưởng như ý tưởng máy khách an toàn:
- Hệ thống không bao giờ bị lộ trước các mạng không tin cậy.
- Luôn được quản lý.
- Luôn nằm trong tầm kiểm soát của nhóm CNTT trong công ty.
- Việc truy cập được hạn chế cho nhân viên và khách tin cậy.
- Sự truy cập ngoài luồng vào hệ thống sẽ bị hạn chế bởi các cổng cắm ngoài được quản trị hoặc được vô hiệu hóa dưới góc độ vật lý.
- Tường lửa Internet kiểm tra lớp ứng dụng chẳng hạn như TMG sẽ tránh cho người dùng download các khai thác từ Internet.
- NAP giảm rủi ro đến từ các máy khách không được quản lý kết nối với mạng và phổ biến malware thu được từ các mạng khác.
- Không có hiện tượng hệ thống sẽ bị đánh cắp do sử dụng các cách thức vật lý để “bolt in” máy khách với cơ sở hạ tầng vật lý.
Bạn có thể hình dung đây là một hệ thống lý tưởng dưới dạng bảo mật mạng, vậy đặc trưng này thực tế thế nào? Bạn có bao nhiêu hệ thống khách chưa bao giờ rời mạng nội bộ công ty? Và thậm chí nếu có sự kiểm soát thích hợp, các máy này có tránh các tấn công thế nào? Chúng ta cần xem xét các mặt dưới đây:
- Social engineering là một phương pháp tấn công khá phổ biến, phương pháp tấn công này cho phép kẻ tấn công có thể tăng truy cập vật lý vào các máy tính được nào đó đã được mục tiêu hóa để cài đặt malware và Trojan vào các máy tính “bolted-in” trong mạng nội bộ.
- Thậm chí khi các cổng vật lý bị vô hiệu hóa, người dùng vẫn có thể được phép truy cập đến một số ổ đĩa quang học – trong trường hợp malware đã thu được từ một số khu vực bên ngoài có thể tìm ra cách đột nhập vào các máy khách “bolted-in” trong mạng nội bộ.
- Tuy tường lửa thanh tra lớp ứng dụng có thể ngăn chặn malware và Trojan xâm nhập vào mạng nội bộ, nhưng nếu tường lửa không thực hiện hành động kiểm tra SSL (HTTPS), nó sẽ không còn giá trị nữa vì Trojans có thể sử dụng kênh SSL an toàn (không được thanh tra) để đến được các máy trạm điều khiển của chúng. Thêm vào đó, người dùng có thể lợi dụng các proxy nặc danh qua một kết nối SSL không mong đợi.
- Nếu Trojan đã được cài đặt vào máy khách “bolted-in” trong mạng công ty, một Trojan tinh vi sẽ sử dụng HTTP hoặc SSL để kết nối với các bộ điều khiển của nó và hầu như sẽ kết nối với site chưa được liệt vào dạng “nguy hiểm”. Thậm chí nếu tổ chức nào đó đã sử dụng phương pháp danh sách trắng để bảo mật thì kẻ tấn công vẫn có thể chiếm quyền điều khiển (DNS poisoning – giả mạo DNS) và chỉ thị cho Trojan kết nối đến site đó để nó có thể nhận các lệnh điều khiển.
- Nhiều người dùng có thể vòng tránh quyền kiểm soát của bạn nếu họ không thể truy cập vào các site hay truy cập các tài nguyên Internet mà họ mong muốn. Nếu người dùng của bạn đang sử dụng các kết nối không dây, họ có thể dễ dàng hủy kết nối với mạng không dây công ty và kết nối trở lại mạng bằng hệ thống khác để truy cập vào các tài nguyên bị khóa theo chính sách công ty và sau đó lại kết nối trở lại với mạng công ty sau khi họ đã có được những gì mình muốn. Người dùng với kết nối dù không dây hay chạy dây cũng đều có thể cắm wireless adapter để kết nối đến một mạng không được lọc và thỏa hiệp máy tính qua một cổng khác. Trong kịch bản này, máy khách “bolted-in” của mạng công ty vô tình đã nhận một số đặc tính của máy khách truy cập từ xa qua roaming.
Thực hiện bảo mật nhờ cần cù là một bài học không hiệu quả. Những gì tỏ rõ ở đây là, thậm chí có ở trong tình huống lý tưởng đối với các máy khách “bolted in” trong mạng công ty, thì cũng vẫn có rất nhiều thứ có thể không như mong đợi diễn ra và dẫn đến những tai nạn nghiêm trọng về bảo mật. Bạn vẫn cần phải thực hiện mọi thứ để bảo đảm rằng các máy tính của mình được an toàn, cập nhật chúng một cách liên tục cũng như quản lý chúng một cách tốt nhất – tuy nhiên cần đặt mình vào phối cảnh các máy tính được cách ly như thế nào và không thể di chuyển các máy khách trong mạng công ty so với các kiểu hệ thống máy khách khác.
Cuối cùng và có lẽ quan trọng nhất, bạn cần biết rằng có hay không thì khái niệm máy khách “bolted-in” trong mạng công ty có khi chỉ là một mối quan tâm. Có bao nhiêu máy khách này tồn tại trong các mạng công ty ngày nay – đặc biệt các mạng mà ở đó đa số nhân viên là những người có kiến thức? Trong môi trường như vậy, bạn có thể cho rằng VDI là giải pháp có tính khả thi, vì các nhiệm vụ mà họ thực hiện không yêu cầu nhiều chức năng được cung cấp bởi môi trường máy tính đầy đủ, tuy nhiên các nhân viên có kiến thức cần có sự linh hoạt và sức mạnh được cung cấp bởi một nền tảng máy tính hoàn chỉnh. Thêm vào đó, ngày càng nhiều công ty nhận ra sự thuận lợi trong việc truyền thông từ xa và ngày càng nhiều nhân viên làm việc từ nhà hoặc kết nối đến mạng công ty khi đang đi trên đường. Những vấn đề này đã làm nảy sinh cho chúng ta:
Máy khách VPN truy cập từ xa qua roaming
Vào những năm 1990, việc sử dụng các máy khách “bolted-in” trong mạng công ty là một điều hay gặp. Tuy nhiên đến thập kỷ thứ hai của thế kỷ 21, các nhân viên ngày một cần phải làm việc lưu động và điều đó đã làm xuất hiện các máy khách VPN truy cập từ xa qua roaming. Nhân viên có kiến thức về máy tính có thể cầm các máy tính laptop cấu hình cao đến nơi làm việc, về nhà, đến các địa điểm của khách hàng, đến khách sạn, các cuộc hội thảo, sân bay,… có thể nói là bất cứ nơi đâu trên thế giới mà ở đó có kết nối Internet. Trong nhiều trường hợp, sau khi truy cập Internet ở nhiều địa điểm khác nhau, họ mang laptop của mình quay trở lại mạng công ty.
Các máy khách VPN truy cập từ xa qua roaming lại đặt ra một cách thức bảo mật rất khác so với các máy khách “bolted-in” trong mạng công ty. Một điểm giống như các máy khách “bolted-in” trong mạng công ty, các máy tính này là các thành viên miền, được cài đặt phần mềm chống malware, kích hoạt Windows Firewall with Advanced Security và được cấu hình đồng thuận hoàn toàn với chính sách bảo mật công ty. Lúc đầu các máy tính VPN roaming được cung cấp đến người dùng cũng an toàn như các máy khách “bolted-in” trong mạng công ty.
Tuy nhiên trạng thái bảo mật và cấu hình đó không kéo dài được lâu. Người dùng có thể không kết nối với mạng nội bộ công ty qua kết nối VPN nhiều ngày hoặc nhiều tuần. Hoặc họ có thể kết nối hàng ngày trong khoảng thời gian một hoặc hai tuần, sau đó không kết nối trong khoảng thời gian vài tháng. Trong khoảng thời gian chuyển tiếp, máy khách VPN qua roaming dần dần mất đi sự đồng thuận của mình. Chính sách nhóm Group Policy của công ty không được cập nhật, các nâng cấp chống virus, malware không được cập nhật kịp thời. Các chính sách bảo mật cũng như điều khiển được áp dụng cho các máy khách nằm trong mạng nội bộ công ty có thể không khả thi đối với các máy khách VPN truy cập từ xa qua roaming vì chúng không thể kết nối qua VPN theo cùng cách.
Việc các máy khách roaming ngày càng không bắt kịp các cấu hình cũng như chính sách an ninh của công ty nên vấn đề ngày càng trở nên nghiêm trọng vì máy tính này thường được kết nối với rất nhiều mạng không tin cậy cũng như không an toàn. Các mạng không tin cậy cũng như không an toàn này có thể có rất nhiều worm mạng cũng như các mối hiểm họa khác.
Điều gì sẽ xảy ra khi người dùng mang các máy tính này của họ truy cập trở lại với mạng công ty? Điều gì sẽ xảy ra nếu máy tính của họ bị thỏa hiệp bởi worms, viruses, Trojans hay một kiểu malware nào khác? Mối nguy hiểm có thể được hạn chế nếu bạn kích hoạt Network Access Protection trong mạng, tuy nhiên có bao nhiêu mạng đã kích hoạt NAP, dù chắc năng này đã có sẵn nhiều năm với tư cách là một phần của Windows Server 2008?
Rõ ràng người dùng không nên mang máy tính bị thỏa hiệp trở lại mạng. Giả định một người dùng nào đó đã kết nối máy tính của họ với một số mạng khác nhau và cuối cùng máy tính này đã bị thỏa hiệp. Sau ba tháng anh ta cần thay đổi mật khẩu của mình vì vậy đã thực hiện kết nối thông qua VPN để thay đổi mật khẩu. Trong trường hợp này những hậu quả bảo mật tai hại sẽ tương tự như trường hợp máy tính này được kết nối vật lý với mạng công ty.
Như những gì bạn thấy, việc roaming đã nảy sinh ra rất nhiều vấn đề bảo mật so với các máy khách “bolted in” trong mạng công ty:
- Máy khách roaming thường được kết nối một cách không liên tục với mạng công ty – hoặc đôi khi không kết nối – do đó sẽ không bắt kịp các chính sách an ninh cũng như các hệ thống quản lý khác.
- Bị lộ diện trước các mạng không được quản lý hoặc được quản lý giản đơn, gia tăng “bề mặt tấn công” tiềm tàng so với các máy khách không rời khỏi mạng nội bộ.
- Có thể truy cập Internet và người dùng có thể thực hiện bất cứ thứ gì họ muốn trong khi kết nối Internet vì các máy khách này không bị kiểm tra và lọc các kết nối Internet.
- Nếu máy khách VPN được cấu hình để vô hiệu hóa tính năng split tunneling, nó có thể bị bắt buộc sử dụng các cổng truy cập Internet công ty trong thời gian máy khách kết nối. Mặc dù vậy, khi kết nối VPN bị rớt, người dùng có thể thực hiện những gì họ muốn – có thể chia sẻ bất cứ malware hoặc trojan mà máy tính bị tiêm nhiễm trong khi hủy kết nối khỏi VPN và kết nối trở lại.
- Người dùng có thể tránh kết nối đến VPN vì thời gian đăng nhập chập, kết nối không nhất quán và toàn bộ trải nghiệm VPN kém tối ưu, nhiều rủi ro trong việc không bắt kịp chính sách bảo mật công ty cũng như tăng rủi ro thỏa hiệp.
- Group policy có thể hoặc không được cập nhật kịp thời.
- Phần mềm anti-virus có thể hay không được cập nhật kịp thời.
- Phần mềm Anti-malware có thể hoặc không được cập nhật kịp thời.
- Các phương pháp quản lý và điều khiển khác có thể hoặc không thể cấu hình lại máy khách kịp thời.
- Số người có thể truy cập vật lý đến các máy tính VPN thường lớn hơn số người có thể truy cập đến các máy tính “bolted-in” trong mạng công ty, không chỉ các thành viên gia đình của người dùng và bạn bè mà còn cả những người đánh cắp máy tính.
Sự khác biệt chính giữa máy khách VPN qua roaming và máy khách “bolted-in” trong mạng công ty là, máy khách VPN thường nằm ngoài quyền kiểm soát và bị lộ diện trước một số lượng lớn các mối đe dọa. Mặc dù vậy, có nhiều cách để giảm nhẹ một số các mối đe dọa này và nhiều công ty đã giới thiệu các phương pháp thực hiện đó, chẳng hạn như:
- Sử dụng mã hóa đĩa (chẳng hạn như BitLocker) để nếu một máy tính nào đó bị mất, kẻ trộm sẽ không thể đọc dữ liệu trong ổ đĩa. Mã hóa đĩa cũng có thể sử dụng phương pháp truy cập bằng cách “khóa” đĩa để khi tắt máy tính người dùng sẽ không thể khởi động khi không có khóa.
- Yêu cầu xác thực hai hệ số để đăng nhập vào máy tính, cùng với đó cũng yêu cầu hai hệ số để mở khóa máy tính cũng như đánh thức chúng.
- Sử dụng NAP hoặc các kỹ thuật tương tự để test bảo mật trước khi máy tính được phép truy cập vào mạng công ty. Nếu máy tính không thể khắc phục, nó sẽ không được phép truy cập vào mạng công ty.
- Không sử dụng các tài khoản quản trị để đăng nhập vào mạng, điều này nhằm ngăn chặn các tấn công nguy hiểm.
- Đặt trung tâm dữ liệu cách biệt về mặt vật lý cũng như logic với toàn bộ máy khách.
Sử dụng một số biện pháp này sẽ giảm được nhiều mối đe dọa tiềm ẩn đối với các máy khách VPN truy cập từ xa. Tuy không thể san lấp mặt bằng so với các máy khách “bolted-in” trong mạng công ty nhưng chúng ta vẫn có một số kịch bản mà ở đó máy khách VPN truy cập từ xa qua roaming có thể giảm bớt được các rủi ro. Chúng ta sẽ đi xem xét một trong trong số phương pháp đó trong phần dưới này.
Máy khách DirectAccess
Chúng ta đang nói đến chủ đề máy khách DirectAccess. Giống như các máy khách VPN, máy tính này có thể di chuyển từ mạng công ty, đến một phòng nào đó trong khách sạn, trung tâm hội thảo, sân bay, hay bất cứ nơi đâu mà một máy tính VPN truy cập từ xa qua roaming có thể tồn tại. Máy khách DirectAccess sẽ được kết nối với cả mạng tin cậy và không tin cậy, giống như máy khách VPN truy cập từ xa, và rủi ro của việc thỏa hiệp vật lý của máy tính cũng tương tự như những gì đã thấy đối với máy khách VPN. Như vậy nếu làm phép so sánh thì máy khách DirectAccess và VPN về cơ bản là giống như trước phối cảnh bảo mật.
Mặc dù vậy, vẫn có một số khác biệt đáng kể giữa việc roaming và DirectAccess:
- Máy khách DirectAccess luôn được quản lý. Chỉ cần được bật và được kết nối Internet, máy khách DirectAccess sẽ có kết nối với các máy chủ quản lý để cập nhật kịp thời các cấu hình bảo mật công ty.
- Máy khách DirectAccess luôn trong trạng thái phục vụ. Nếu nhóm CNTT cần kết nối đến máy khách DirectAccess nào để thực hiện một cấu hình phần mềm gì đó hoặc khắc phục sự cố vấn đề trên máy khách này thì họ sẽ không gặp bất cứ trở ngại gì vì kết nối giữa máy khách DirectAccess và trạm quản lý CNTT luôn là kết nối hai chiều.
- Máy khách DirectAccess sử dụng hai đường hầm riêng biệt để kết nối. Tuy nhiên nó chỉ có thể truy cập đến cơ sở hạ tầng cấu hình và quản lý qua đường hầm đầu tiên. Sự truy cập mạng nói chung không có sẵn cho tới khi người dùng đăng nhập và tạo đường hầm cơ sở hạ tầng.
Khi so sánh máy khách DirectAccess với máy khách VPN truy cập từ xa, bạn sẽ thấy ở máy khách DirectAccess xuất hiện ít mối đe dọa bảo mật hơn so với VPN, điều này là vì máy khách DirectAccess luôn nằm trong sự kiểm soát của nhóm CNTT công ty. Khác hẳn với các máy khách VPN, chúng có thể hoặc không kết nối với mạng công ty trong khoảng thời gian khá lâu, điều này rất dễ dẫn đến không bắt kịp cấu hình bảo mật chung và làm tăng rủi thỏa hiệp bảo mật. Thêm vào đó, các phương pháp làm giảm nhẹ như được đề cập ở trên được áp dụng cho các máy khách VPN truy cập xa cũng có thể được mang ra sử dụng với máy khách DirectAccess.
Đến đây chúng ta đã đạt được mục đích của mình là so sánh được các máy khách VPN truy cập xa qua roaming và các máy khách DirectAccess, rõ ràng tất cả những gì được minh chứng trong bài đã cho thấy máy khách DirectAccess cho thấy sự an toàn hơn trong vấn đề bảo mật chung của công ty so với việc thực hiện roaming.