Come posso verificare che i client VPN siano macchine di proprietà dell'azienda?

In primo luogo, ci penserei in modo leggermente diverso. Alcune persone puntano a Device Fingerprinting come meccanismo, ma non penso che risolva il vero problema qui.

In questa circostanza assumerò una VPN ben consolidata (Multi-Factor, Certificato richiesto, ecc.). Questo è essenzialmente l'aspettativa standard per VPN. Ora questo in sé non risolve il problema che descrivi.

A meno che tu non abbia una gestione cliente seriamente seria, tra cui: nessuno è mai un amministratore che non dovrebbe essere, è quasi impossibile impedire a qualcuno che lo voglia davvero di esportare il certificato (priv / pub) che emetti per il cliente.

Per schiacciare queste potenziali perdite dei certificati necessari per ottenere su VPN è necessario impedire che il certificato venga esportato in qualsiasi modo. Ci sono due modi per andare alla gestione dei certificati che sono pensati per fare proprio questo. Il primo è basato su Smartcard tradizionali, puoi acquistarle in formato carta di credito, o ora le nuove dimensioni di chiclet.

Dimensionicartadicredito

ChicletSized(piùpiccolodiquantomostratoqui.)

Sequestisonoinsostenibiliocostosi(possonoessereentrambi)perlatuaorganizzazione,puoiutilizzareSmartcardvirtuali.Questefunzionisonoessenzialmentelestessedellesmartcardfisiche,tranneperilfattocheutilizzanoilTPMdellamacchinaeundriverditerzepartipereseguiretalioperazioniecontenerelerelativechiaviprivate.

OraTPMèilmeccanismocheiproviderhardwareindicherannoèilmigliore( e accademicamente sono d'accordo con quella logica ) Tuttavia, praticamente troverai il modo in cui interagisci con i client VPN, il meglio è attenersi alle interazioni del certificato. Le smart card virtuali offrono sia l'aderenza dell'host del TPM che la maggior parte delle volte è solo più facile interagire con.

Il motivo della funzionalità simile a SmartCard è che rende praticamente impossibile (al momento) estrarre le chiavi private del certificato senza un livello significativo di sforzo. Usando il TPM come il meccanismo ora lega il certificato alla macchina.

Con una buona gestione del ciclo di vita e un controllo rigoroso su dove emetti questi certificati. Puoi fare un lavoro piuttosto dannoso per autenticare i dispositivi ai quali hai rilasciato questi certificati e quelli che si connettono a VPN.

Il problema è che ci sono poche differenze tra un computer aziendale in possesso di un certificato e un'altra macchina con lo stesso certificato!

IMHO ci sono 2 linee di difesa qui:

1. Il primo è social : i dipendenti autorizzati a utilizzare la VPN devono firmare una carta per riconoscere di essere in grado di connettere solo macchine aziendali alla VPN e che connettere un'altra macchina sarebbe un attacco di sicurezza - lontano da una panacea, ma non dimenticare di educare gli utenti ...
2. Il secondo è tecnico, ma più difficile. Alcune soluzioni VPN possono controllare che qualsiasi macchina connessa alla rete abbia installato l'antivirus richiesto e tutte le patch richieste. Non sono abituato a OpenVPN, ma potresti provare a incapsulare la connessione in un pezzo di software installato sul computer client che esegue la scansione per la presenza del software di sicurezza richiesto (patch antivirus e di sistema) e invia un rapporto al server. Se il server non convalida il report, la connessione è interrotta. È ancora possibile falsificare l'autenticazione della macchina, ma è veramente intenzionale e l'utente dovrebbe spiegare perché l'ha fatto ...

Infatti, il secondo metodo tecnico consente principalmente di controllare che la macchina client segua le regole di sicurezza aziendali per evitare che alcuni (VIP ...) utenti non colleghino mai il loro laptop alla rete principale per caricare le patch di sicurezza e le firme antivirus ...

Mentre la soluzione specifica dipenderà dal tuo client VPN, in teoria, dovresti essere in grado di impostare le cose in modo che il sistema di connessione abbia bisogno di avere un certificato client valido dove il certificato client è legato a un client specifico (molto probabilmente basato su MAC). L'unico problema con questo approccio risulterà in spese generali di amministrazione più elevate poiché sarà necessario emettere certificati individuali per ogni macchina dello staff, revocarli quando le macchine vengono ritirate e emetterne di nuove quando il personale ottiene aggiornamenti ecc. Quanto di un sovraccarico questo è dipenderà dal numero di personale e dai tassi di fidelizzazione del personale, ecc.

Un'area di ricerca sarebbe quella di google "zero trust network". In una rete di fiducia zero, si ignora la distinzione della rete locale / esterna e si utilizza invece una combinazione di verifica utente e macchina per determinare i livelli di accesso. Gli utenti sono autorizzati ad accedere ai servizi in base a una combinazione delle loro credenziali personali e del dispositivo dal quale si connettono.

Se la tua azienda ha un HIPS, la whitelist delle applicazioni può essere applicata centralmente e può essere utilizzata a tale scopo.

Il modo più complicato è usare gli hash per validare l'eseguibile del client. Calcola l'hash per il file originale e verifica il valore ogni volta che devi installarlo.