VPNアクセスをホワイトリストに登録するためにクライアントデバイスを一意に識別/タグ付けする方法は?
ラップトップやタワーなどのクライアントデバイスを一意に識別またはタグ付けして、VPNアクセス用にホワイトリストに登録する方法があるかどうか疑問に思っています。
(注:これは現時点では思考実験ですが、いつか実装できることを願っています)。また、私はVPNの経験があまりないことにも注意してください。
これが私がやろうとしていることです。
LANとDMZの2つのネットワークがあります。 2つの異なるVPNをセットアップしたいと思います。1つは有効なログオン資格情報を持つすべてのクライアントデバイス(ラップトップ、スマートフォン、タブレットなど)が接続できるDMZ)用で、もう1つは内部LAN用です。特定のクライアントのみへのアクセスを制限したい場合(たとえば、会社のラップトップや暗号化されたHDDを備えたタワー)。
問題は、ラップトップが自宅や空港などから接続できるため、IPホワイトリストはオプションではないということです(私は思います)。
Sslクライアント証明書でそれらを識別することを考えましたが、これまでブラウザでクライアント証明書を操作したことがあり、ユーザーがそれらをエクスポートして別のマシンに移動することができます。
うまくいけば、皆さんはこれで私たちを助けることができます。 (申し訳ありませんが、このトピックが数回出てきたことは知っていますが、解決策が見つかりませんでした)。
編集:同僚は、Ciscoanyconnectにはある種のクライアント識別機能があると述べました。調べてみます。それでも、これに関する他のオプションとヘルプは大歓迎です!
企業のセットアップで隠しファイルを使用してデバイスを識別することは非常に一般的です。多くのVPNシステムには、隠しファイルを検証するために使用するスクリプトフックがクライアントにあります。もちろん、これは許可されたラップトップにアクセスできる熟練した攻撃者に対しては安全ではありませんが、ある程度のセキュリティは提供します。証明書はこれに代わるものです。
原則として、TPMに基づくキー検証を使用できます。私はこれが実際に実装されているのを見たことがないので、それを実行することの実用性についてはわかりません。しかし、原則として、これは特定のハードウェアへのアクセスを結び付けるための非常に安全な方法です。
インフラストラクチャの詳細がわからないことをお詫び申し上げますが、基本的には証明書にご注目ください。多分これ クライアント証明書に関するビデオ 少し役に立ちます。
別の方法は、Radius Authまたはその他のもの(MSADなど)を使用することです。