Sự khác biệt giữa DirectAccess và VPN

Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự
khác biệt giữa DirectAccess và VPN.
DirectAccess có rất nhiều đặc tính làm cho nhiều người dùng
nhầm lẫn với VPN, tuy nhiên sự thật DirectAccess không giống
như VPN. Vậy làm thế nào để phân biệt được sự khác nhau giữa
chúng. Trong bài này chúng tôi sẽ giới thiệu cho các bạn sự khác
nhau này bằng cách đặt chúng vào khối cảnh có các kiểu máy
khách khác nhau trên mạng, sau đó quan sát các vấn đề kết nối v
à
bảo mật quan trọng đối với mỗi kiểu máy khách này.

Các kiểu máy khách
Để bắt đầu thảo luận này, chúng ta th
ừa nhận rằng có ba kiểu máy
khách nói chung đó là:
 Máy khách “bolted-in” bên trong mạng công ty
 Máy khách VPN truy cập từ xa qua roaming
 DirectAccess client
Máy khách “bolted-in” bên trong mạng công ty
Các máy khách “bolted-in” bên trong mạng công ty là hệ thống
dù có thể hoặc không được “bolted in” đúng nghĩa nhưng nó sẽ
không bao giờ tách rời khỏi mạng nội bộ của công ty (có thể hiểu
là các máy khách được cột chặt trong mạng công ty). Hệ thống
này là một thành viên miền, là một hệ thống luôn được quản lý v
à
không bao giờ bị lộ diện trước các mạng khác. Sự truy cập
Internet của mạng này luôn được điều khiển bởi tường lửa kiểm
tra lớp ứng dụng, chẳng hạn như tường lửa TMG. USB và các
khe cắm truyền thông khác đều bị khóa chặn vật lý hoặc quản trị

kết nối với mạng và phổ biến malware thu được từ các mạng
khác.
 Không có hiện tượng hệ thống sẽ bị đánh cắp do sử dụng
các cách thức vật lý để “bolt in” máy khách với cơ sở hạ tầng vật
lý.
Bạn có thể hình dung đây là một hệ thống lý tưởng dư
ới dạng bảo
mật mạng, vậy đặc trưng này thực tế thế nào? Bạn có bao nhiêu
hệ thống khách chưa bao giờ rời mạng nội bộ công ty? Và thậm
chí nếu có sự kiểm soát thích hợp, các máy này có tránh các tấn
công thế nào? Chúng ta cần xem xét các mặt dưới đây:
 Social engineering là một phương pháp tấn công khá phổ
biến, phương pháp tấn công này cho phép kẻ tấn công có thể tăng
truy cập vật lý vào các máy tính được nào đó đã được mục tiêu
hóa để cài đặt malware và Trojan vào các máy tính “bolted-in”
trong mạng nội bộ.
 Thậm chí khi các cổng vật lý bị vô hiệu hóa, người dùng v
ẫn
có thể được phép truy cập đến một số ổ đĩa quang học – trong
trường hợp malware đã thu được từ một số khu vực bên ngoài có
thể tìm ra cách đột nhập vào các máy khách “bolted-in” trong
mạng nội bộ.
 Tuy tường lửa thanh tra lớp ứng dụng có thể ngăn chặn
malware và Trojan xâm nhập vào mạng nội bộ, nhưng nếu tường
lửa không thực hiện hành động kiểm tra SSL (HTTPS), nó sẽ
không còn giá trị nữa vì Trojans có thể sử dụng k
ênh SSL an toàn
(không được thanh tra) để đến được các máy trạm điều khiển của
chúng. Thêm vào đó, người dùng có thể lợi dụng các proxy nặc
danh qua một kết nối SSL không mong đợi.