旅行する従業員は、VPNを介して一部のサーバーにアクセスできます。これは問題なく機能し、それ自体では問題ではありません。先日、VPNクライアントが内部ネットワークでポートスキャンを実行しようとしているように見えました。その後、ホストをスキャンしたところ、それが当社所有のデバイスではないことがわかりました。接続を初期化するために使用された証明書に関連付けられているユーザーと話をしたところ、明らかにマルウェアに感染しているプライベートPCにVPNクライアントをコピーしたことを認めました。
VPNクライアントがNACのようなものを実装して、会社が所有していないホストを除外する適切な方法はありますか?
最初に、私はこれについて少し異なって考えます。メカニズムとしてデバイスフィンガープリントを指摘する人もいますが、ここでは実際の問題を解決できないと思います。
この状況では、十分に強化されたVPN(多要素、証明書が必要など)を想定します。これは本質的にVPNの標準的な期待です。これ自体は、あなたが説明する問題を解決しません。
あなたが真剣に強力なクライアント管理をしている場合を除いて:誰もすべきではない管理者は誰もいないので、クライアントに対して発行した証明書(priv/pub)を本当にエクスポートしたい人を防ぐことはほぼ不可能です。
VPNに接続するために必要な証明書のこれらの潜在的なリークを潰すには、証明書が何らかの方法でエクスポートされないようにする必要があります。証明書管理を行うには、2つの方法があります。 1つ目は、従来のスマートカードベースで、クレジットカードサイズまたは新しいチクレットサイズで入手できます。
クレジットカードサイズ
チクレットサイズ(ここに示す画像よりも小さい)
これらが組織にとって受け入れ難い場合、または費用がかかる場合(両方の場合もあります)、仮想スマートカードの使用を検討できます。これらの機能は、マシンのTPMとサードパーティのドライバーを使用してこれらの操作を実行し、関連する秘密キーを保持することを除いて、基本的に物理スマートカードと同じです。
現在、TPMは、ハードウェアプロバイダーが最高であることを示すメカニズムです( そして学問的に私はその論理に同意します )。ただし、実際には、VPNクライアントとのやり取りの方法として、証明書にこだわるのが最適です。相互作用。仮想スマートカードを使用すると、TPMのホストスティッキ性とほとんどの場合、操作が簡単になります。
スマートカードのような機能の理由は、かなりの労力をかけずに証明書の秘密鍵を抽出することが(現在)事実上不可能になるためです。 TPMをメカニズムとして使用すると、証明書がマシンに関連付けられます。
優れたライフサイクル管理と、これらの証明書を発行する場所を厳密に制御します。これらの証明書を発行したデバイスがVPNに接続しているデバイスであることを認証するかなり良いジョブを実行できます。
問題は、証明書を保持している企業のマシンと同じ証明書を保持している別のマシンとの間にほとんど違いがないことです。
私見ここには2つの防衛線があります:
実際、2番目のtechnical方法では、主にクライアントマシンが企業のセキュリティルールに従って、一部の(VIP ...)ユーザーがラップトップをメインネットワークに接続してセキュリティパッチをロードしないようにすることを制御できます。およびアンチウイルス署名...