¿Cómo puedo validar que los clientes VPN son máquinas propiedad de la compañía?

Primero, me gustaría pensar en esto de manera ligeramente diferente. Algunas personas apuntarán a la huella digital del dispositivo como un mecanismo, pero no creo que resuelva el problema real aquí.

Voy a asumir un VPN bien reforzado (multifactor, certificado requerido, etc.) en esta circunstancia. Esta es esencialmente la expectativa estándar para VPN. Ahora esto en sí mismo no resuelve el problema que describe.

A menos que tenga una administración de clientes realmente sólida que incluya: nadie es un administrador que no debería serlo, es casi imposible evitar que alguien que realmente quiere exportar el certificado (priv / pub) que emite para el cliente.

Para eliminar estas posibles fugas de los certificados necesarios para obtener VPN, debe evitar que el certificado se exporte de cualquier forma. Hay dos formas de hacer frente a la gestión de certificados que están destinadas a hacer precisamente eso. La primera está basada en una tarjeta inteligente tradicional, puede obtenerla en tamaño de tarjeta de crédito, o ahora el nuevo tamaño de chiclet.

Tamañodetarjetadecrédito

ChicletSized(máspequeñodeloquesemuestraaquí.)

Sisoninsosteniblesocostosos(puedenserambos)parasuorganización,puedeconsiderarelusodetarjetasvirtualesvirtuales.Estasfuncionessonesencialmentelasmismasquelastarjetasinteligentesfísicas,exceptoqueutilizanelTPMdelamáquinayuncontroladordetercerospararealizaresasoperaciones,ycontienenlasclavesprivadasrelevantes.

AhoraTPMeselmecanismoquelosproveedoresdehardwareindicaráneselmejor( y académicamente estoy de acuerdo con esa lógica ) sin embargo, prácticamente encontrará la mejor forma de interactuar con los clientes de VPN es atenerse a las interacciones del certificado. Las tarjetas inteligentes virtuales le brindan tanto la adherencia al host del TPM y la mayoría de las veces es más fácil interactuar con ellas.

El motivo de la funcionalidad tipo SmartCard es que hace que sea prácticamente imposible (actualmente) extraer las claves privadas del certificado sin un nivel de esfuerzo significativo. El uso del TPM como mecanismo ahora vincula el certificado a la máquina.

Con una buena gestión del ciclo de vida y un control estricto de dónde emite estos certificados. Puede hacer un trabajo bastante bueno para autenticar que los dispositivos a los que ha emitido estos certificados son los que se conectan a la VPN.

¡El problema es que hay pocas diferencias entre una máquina corporativa que posee un certificado y otra máquina que tiene el mismo certificado!

En mi humilde opinión hay 2 líneas de defensa aquí:

1. Primero es social : los empleados autorizados para usar la VPN deben firmar un estatuto para reconocer que saben que solo pueden conectar las máquinas corporativas a la VPN y que la conexión de otra máquina sería un ataque de seguridad. De una panacea pero nunca olvides educar a los usuarios ...
2. El segundo es técnico, pero más difícil. Algunas soluciones VPN pueden controlar que cualquier máquina que se conecte a la red tenga instalado el antivirus requerido y todos los parches necesarios. No estoy acostumbrado a OpenVPN, pero podría intentar encapsular la conexión en un software instalado en la máquina cliente que lo escanea en busca de la presencia del software de seguridad requerido (antivirus y parches del sistema) y envía un informe al servidor. Si el servidor no valida el informe, la conexión se interrumpe. Todavía es posible falsificar la autenticación de la máquina, pero es realmente intencional y el usuario debería tener que explicar por qué hizo eso ...

De hecho, la segunda forma técnica permite principalmente controlar que la máquina cliente siga las reglas de seguridad corporativa para evitar que algunos usuarios (VIP ...) nunca conecten su computadora portátil a la red principal para cargarla. Los parches de seguridad y firmas antivirus ...

Si bien la solución específica dependerá de su cliente VPN, en teoría, debería poder configurar las cosas de modo que el sistema de conexión tenga que tener un certificado de cliente válido donde el certificado de cliente esté vinculado a un cliente específico (lo más probable basado en MAC). El único problema con este enfoque es que resultará en mayores gastos de administración, ya que tendrá que emitir certificados individuales para cada equipo del personal, revocarlos cuando se retiren los equipos y emitir nuevos cuando el personal obtenga actualizaciones, etc. dependerá de la cantidad de personal y las tasas de retención de personal, etc.

Un área de investigación sería buscar en Google 'cero redes de confianza'. En una red de confianza cero, ignora la distinción de red local / externa y en su lugar utiliza una combinación de verificación de usuario y máquina para determinar los niveles de acceso. Los usuarios están autorizados a acceder a servicios basados en una combinación de sus credenciales personales y el dispositivo desde el que se conectan.

Si su empresa tiene un HIPS, la lista blanca de aplicaciones se puede aplicar de forma centralizada y se puede usar para este propósito.

La forma más complicada es usar hashes para validar el ejecutable del cliente. Calcule el hash para el archivo original y verifique el valor cada vez que tenga que instalarlo.