Sự khác biệt giữa DirectAccess và VPN Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác biệt giữa DirectAccess và VPN. DirectAccess có rất nhiều đặc tính làm cho nhiều người dùng nhầm lẫn với VPN, tuy nhiên sự thật DirectAccess không giống như VPN. Vậy làm thế nào để phân biệt được sự khác nhau giữa chúng. Trong bài này chúng tôi sẽ giới thiệu cho các bạn sự khác nhau này bằng cách đặt chúng vào khối cảnh có các kiểu máy khách khác nhau trên mạng, sau đó quan sát các vấn đề kết nối v à bảo mật quan trọng đối với mỗi kiểu máy khách này. Các kiểu máy khách Để bắt đầu thảo luận này, chúng ta th ừa nhận rằng có ba kiểu máy khách nói chung đó là:  Máy khách “bolted-in” bên trong mạng công ty  Máy khách VPN truy cập từ xa qua roaming  DirectAccess client Máy khách “bolted-in” bên trong mạng công ty Các máy khách “bolted-in” bên trong mạng công ty là hệ thống dù có thể hoặc không được “bolted in” đúng nghĩa nhưng nó sẽ không bao giờ tách rời khỏi mạng nội bộ của công ty (có thể hiểu là các máy khách được cột chặt trong mạng công ty). Hệ thống này là một thành viên miền, là một hệ thống luôn được quản lý v à không bao giờ bị lộ diện trước các mạng khác. Sự truy cập Internet của mạng này luôn được điều khiển bởi tường lửa kiểm tra lớp ứng dụng, chẳng hạn như tường lửa TMG. USB và các khe cắm truyền thông khác đều bị khóa chặn vật lý hoặc quản trị chặt chẽ, việc truy cập cập lý đến tòa nhà, nơi các máy tính này cư trú chỉ được phép đối với nhân viên và các khách hành tin c ậy. Các hệ thống này đều được cài đặt phần mềm anti-malware, đư ợc cấu hình qua Group Policy hoặc một số hệ thống quản lý khác nhằm duy trì cấu hình bảo mật mong muốn, Network Access Protection (NAP) được kích hoạt trên mạng để ngăn chặn các hệ thống giả mạo có thể kết nối vào mạng và truy cập v ào tài nguyên công ty. Windows Firewall with Advanced Security được kích hoạt và cấu hình nhằm giảm rủi ro trư ớc các mối đe dọa xuất hiện từ worm mạng. Khái niệm máy khách “bolted-in” trong mạng công ty gần lý tưởng như ý tưởng máy khách an toàn:  Hệ thống không bao giờ bị lộ trước các mạng không tin cậy.  Luôn được quản lý.  Luôn nằm trong tầm kiểm soát của nhóm CNTT trong công ty.  Việc truy cập được hạn chế cho nhân viên và khách tin cậy.  Sự truy cập ngoài luồng vào hệ thống sẽ bị hạn chế bởi các cổng cắm ngoài được quản trị hoặc được vô hiệu hóa dư ới góc độ vật lý.  Tường lửa Internet kiểm tra lớp ứng dụng chẳng hạn như TMG sẽ tránh cho người dùng download các khai thác từ Internet.  NAP giảm rủi ro đến từ các máy khách không được quản lý kết nối với mạng và phổ biến malware thu được từ các mạng khác.  Không có hiện tượng hệ thống sẽ bị đánh cắp do sử dụng các cách thức vật lý để “bolt in” máy khách với cơ sở hạ tầng vật lý. Bạn có thể hình dung đây là một hệ thống lý tưởng dư ới dạng bảo mật mạng, vậy đặc trưng này thực tế thế nào? Bạn có bao nhiêu hệ thống khách chưa bao giờ rời mạng nội bộ công ty? Và thậm chí nếu có sự kiểm soát thích hợp, các máy này có tránh các tấn công thế nào? Chúng ta cần xem xét các mặt dưới đây:  Social engineering là một phương pháp tấn công khá phổ biến, phương pháp tấn công này cho phép kẻ tấn công có thể tăng truy cập vật lý vào các máy tính được nào đó đã được mục tiêu hóa để cài đặt malware và Trojan vào các máy tính “bolted-in” trong mạng nội bộ.  Thậm chí khi các cổng vật lý bị vô hiệu hóa, người dùng v ẫn có thể được phép truy cập đến một số ổ đĩa quang học – trong trường hợp malware đã thu được từ một số khu vực bên ngoài có thể tìm ra cách đột nhập vào các máy khách “bolted-in” trong mạng nội bộ.  Tuy tường lửa thanh tra lớp ứng dụng có thể ngăn chặn malware và Trojan xâm nhập vào mạng nội bộ, nhưng nếu tường lửa không thực hiện hành động kiểm tra SSL (HTTPS), nó sẽ không còn giá trị nữa vì Trojans có thể sử dụng k ênh SSL an toàn (không được thanh tra) để đến được các máy trạm điều khiển của chúng. Thêm vào đó, người dùng có thể lợi dụng các proxy nặc danh qua một kết nối SSL không mong đợi.  Nếu Trojan đã được cài đặt vào máy khách “bolted- in” trong mạng công ty, một Trojan tinh vi sẽ sử dụng HTTP hoặc SSL để kết nối với các bộ điều khiển của nó và hầu như s ẽ kết nối với site chưa được liệt vào dạng “nguy hiểm”. Thậm chí nếu tổ chức nào đó đã sử dụng phương pháp danh sách trắng để bảo mật thì k ẻ tấn . Sự khác biệt giữa DirectAccess và VPN Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác biệt giữa DirectAccess và VPN. DirectAccess có rất nhiều. với VPN, tuy nhiên sự thật DirectAccess không giống như VPN. Vậy làm thế nào để phân biệt được sự khác nhau giữa chúng. Trong bài này chúng tôi sẽ giới thiệu cho các bạn sự khác nhau này bằng. cách đặt chúng vào khối cảnh có các kiểu máy khách khác nhau trên mạng, sau đó quan sát các vấn đề kết nối v à bảo mật quan trọng đối với mỗi kiểu máy khách này. Các kiểu máy khách Để bắt