阻止沒有活動病毒掃描程序的客戶端的 VPN 連接
有沒有辦法根據某些安全相關標準(例如是否存在病毒掃描程序和病毒定義)來阻止 VPN 連接?
在我們的例子中,我們有一個 Windows Server 2008 作為域控制器和 RRAS 伺服器。我們還在每個客戶端上執行 ESET NOD32 Business,安裝由伺服器推送。
您要問的是許多“網路訪問保護”(NAP)產品的癥結所在。就個人而言,我不認為像 NAP 這樣的努力真的有什麼用處,除了“保持誠實的電腦誠實”。
從根本上說,您依靠客戶端電腦的可信度來“真實地”處理您的 NAP 伺服器電腦的要求。您的伺服器無法“證明”遠端電腦正在執行給定程序。您實際上只是在接受那台遠端電腦的“好話”。這就是 NAP 背後理念的致命缺陷——信任是錯誤的。
在保持網路安全方面,我認為最小特權原則是最重要的指導原則。了解並監控“阻塞點”和攻擊媒介,更新作業系統和應用程序,僅在所有電腦(伺服器、客戶端等)上安裝必要的軟體,並及時了解安全公告。
如果一台機器上安裝了一個可以“說服”本地防病毒軟體等它沒有被感染的 rootkit,那麼 NAP 將無濟於事。我認為通過最小化攻擊面和基於監控流量和行為檢測攻擊可以獲得更多收益。
就 VPN 使用者而言,我將使用 VPN 將來自客戶端的入站協議限制為已知的“允許集”——用於 Outlook 客戶端的 RPC-over-HTTP(儘管您可以使用 oa VPN 輕鬆做到這一點) ,RDP 到固定的台式電腦或終端伺服器機器,WebDAV 來獲取通過 HTTP 導出的文件共享等。讓 VPN 客戶端不受限制地訪問網路的第 3 層肯定會暴露出廣泛的攻擊面。
如果您要允許更多不受限制的第 3 層訪問(即使您不是,如果您擔心未經授權的設備連接到 VPN),我會考慮使用部分基於客戶端設備身份驗證的 VPN 技術。假設您的使用者在他們的客戶端電腦上沒有“管理員”權限,並且不能以其他方式從設備上撬出證書並將其安裝在任意設備上,使用 L2TP/IPsec 之類的東西和基於電腦的身份驗證會持續很長時間防止未經授權的設備連接到 VPN 的方法。