Sự khác biệt giữa DirectAccess và VPN
Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về sự khác biệt
giữa DirectAccess và VPN.
DirectAccess có rất nhiều đặc tính làm cho nhiều người dùng nhầm lẫn
với VPN, tuy nhiên sự thật DirectAccess không giống như VPN. Vậy làm
thế nào để phân biệt được sự khác nhau giữa chúng. Trong bài này chúng
tôi sẽ giới thiệu cho các bạn sự khác nhau này bằng cách đặt chúng vào
khối cảnh có các kiểu máy khách khác nhau trên mạng, sau đó quan sát
các vấn đề kết nối và bảo mật quan trọng đối với mỗi kiểu máy khách
này.

Các kiểu máy khách
Để bắt đầu thảo luận này, chúng ta thừa nhận rằng có ba kiểu máy khách
nói chung đó là:
 Máy khách “bolted-in” bên trong mạng công ty
 Máy khách VPN truy cập từ xa qua roaming
 DirectAccess client
Máy khách “bolted-in” bên trong mạng công ty
Các máy khách “bolted-in” bên trong mạng công ty là hệ thống dù có thể
hoặc không được “bolted in” đúng nghĩa nhưng nó sẽ không bao giờ tách
rời khỏi mạng nội bộ của công ty (có thể hiểu là các máy khách được cột
chặt trong mạng công ty). Hệ thống này là một thành viên miền, là một hệ
thống luôn được quản lý và không bao giờ bị lộ diện trước các mạng
khác. Sự truy cập Internet của mạng này luôn được điều khiển bởi tường
lửa kiểm tra lớp ứng dụng, chẳng hạn như tường lửa TMG. USB và các
khe cắm truyền thông khác đều bị khóa chặn vật lý hoặc quản trị chặt chẽ,
việc truy cập cập lý đến tòa nhà, nơi các máy tính này cư trú chỉ được
phép đối với nhân viên và các khách hành tin cậy. Các hệ thống này đều
được cài đặt phần mềm anti-malware, được cấu hình qua Group Policy
hoặc một số hệ thống quản lý khác nhằm duy trì cấu hình bảo mật mong
muốn, Network Access Protection (NAP) được kích hoạt trên mạng để

ngăn chặn các hệ thống giả mạo có thể kết nối vào mạng và truy cập vào
tài nguyên công ty. Windows Firewall with Advanced Security được kích
hoạt và cấu hình nhằm giảm rủi ro trước các mối đe dọa xuất hiện từ
worm mạng.
Khái niệm máy khách “bolted-in” trong mạng công ty gần lý tưởng như ý
tưởng máy khách an toàn:
 Hệ thống không bao giờ bị lộ trước các mạng không tin cậy.
 Luôn được quản lý.
 Luôn nằm trong tầm kiểm soát của nhóm CNTT trong công ty.
 Việc truy cập được hạn chế cho nhân viên và khách tin cậy.
 Sự truy cập ngoài luồng vào hệ thống sẽ bị hạn chế bởi các cổng
cắm ngoài được quản trị hoặc được vô hiệu hóa dưới góc độ vật lý.
 Tường lửa Internet kiểm tra lớp ứng dụng chẳng hạn như TMG sẽ
tránh cho người dùng download các khai thác từ Internet.
 NAP giảm rủi ro đến từ các máy khách không được quản lý kết nối
với mạng và phổ biến malware thu được từ các mạng khác.
 Không có hiện tượng hệ thống sẽ bị đánh cắp do sử dụng các cách
thức vật lý để “bolt in” máy khách với cơ sở hạ tầng vật lý.
Bạn có thể hình dung đây là một hệ thống lý tưởng dưới dạng bảo mật
mạng, vậy đặc trưng này thực tế thế nào? Bạn có bao nhiêu hệ thống
khách chưa bao giờ rời mạng nội bộ công ty? Và thậm chí nếu có sự kiểm
soát thích hợp, các máy này có tránh các tấn công thế nào? Chúng ta cần
xem xét các mặt dưới đây:
 Social engineering là một phương pháp tấn công khá phổ biến,
phương pháp tấn công này cho phép kẻ tấn công có thể tăng truy
cập vật lý vào các máy tính được nào đó đã được mục tiêu hóa để
cài đặt malware và Trojan vào các máy tính “bolted-in” trong mạng
nội bộ.
 Thậm chí khi các cổng vật lý bị vô hiệu hóa, người dùng vẫn có thể
được phép truy cập đến một số ổ đĩa quang học – trong trường hợp

malware đã thu được từ một số khu vực bên ngoài có thể tìm ra
cách đột nhập vào các máy khách “bolted-in” trong mạng nội bộ.
 Tuy tường lửa thanh tra lớp ứng dụng có thể ngăn chặn malware và
Trojan xâm nhập vào mạng nội bộ, nhưng nếu tường lửa không
thực hiện hành động kiểm tra SSL (HTTPS), nó sẽ không còn giá
trị nữa vì Trojans có thể sử dụng kênh SSL an toàn (không được
thanh tra) để đến được các máy trạm điều khiển của chúng. Thêm
vào đó, người dùng có thể lợi dụng các proxy nặc danh qua một kết
nối SSL không mong đợi.
 Nếu Trojan đã được cài đặt vào máy khách “bolted-in” trong mạng
công ty, một Trojan tinh vi sẽ sử dụng HTTP hoặc SSL để kết nối
với các bộ điều khiển của nó và hầu như sẽ kết nối với site chưa
được liệt vào dạng “nguy hiểm”. Thậm chí nếu tổ chức nào đó đã
sử dụng phương pháp danh sách trắng để bảo mật thì kẻ tấn công
vẫn có thể chiếm quyền điều khiển (DNS poisoning – giả mạo
DNS) và chỉ thị cho Trojan kết nối đến site đó để nó có thể nhận
các lệnh điều khiển.
 Nhiều người dùng có thể vòng tránh quyền kiểm soát của bạn nếu
họ không thể truy cập vào các site hay truy cập các tài nguyên
Internet mà họ mong muốn. Nếu người dùng của bạn đang sử dụng
các kết nối không dây, họ có thể dễ dàng hủy kết nối với mạng
không dây công ty và kết nối trở lại mạng bằng hệ thống khác để
truy cập vào các tài nguyên bị khóa theo chính sách công ty và sau
đó lại kết nối trở lại với mạng công ty sau khi họ đã có được những
gì mình muốn. Người dùng với kết nối dù không dây hay chạy dây
cũng đều có thể cắm wireless adapter để kết nối đến một mạng
không được lọc và thỏa hiệp máy tính qua một cổng khác. Trong
kịch bản này, máy khách “bolted-in” của mạng công ty vô tình đã
nhận một số đặc tính của máy khách truy cập từ xa qua roaming.
Thực hiện bảo mật nhờ cần cù là một bài học không hiệu quả. Những gì

tỏ rõ ở đây là, thậm chí có ở trong tình huống lý tưởng đối với các máy
khách “bolted in” trong mạng công ty, thì cũng vẫn có rất nhiều thứ có
thể không như mong đợi diễn ra và dẫn đến những tai nạn nghiêm trọng
về bảo mật. Bạn vẫn cần phải thực hiện mọi thứ để bảo đảm rằng các máy
tính của mình được an toàn, cập nhật chúng một cách liên tục cũng như
quản lý chúng một cách tốt nhất – tuy nhiên cần đặt mình vào phối cảnh
các máy tính được cách ly như thế nào và không thể di chuyển các máy
khách trong mạng công ty so với các kiểu hệ thống máy khách khác.
Cuối cùng và có lẽ quan trọng nhất, bạn cần biết rằng có hay không thì
khái niệm máy khách “bolted-in” trong mạng công ty có khi chỉ là một
mối quan tâm. Có bao nhiêu máy khách này tồn tại trong các mạng công
ty ngày nay – đặc biệt các mạng mà ở đó đa số nhân viên là những người
có kiến thức? Trong môi trường như vậy, bạn có thể cho rằng VDI là giải
pháp có tính khả thi, vì các nhiệm vụ mà họ thực hiện không yêu cầu
nhiều chức năng được cung cấp bởi môi trường máy tính đầy đủ, tuy
nhiên các nhân viên có kiến thức cần có sự linh hoạt và sức mạnh được
cung cấp bởi một nền tảng máy tính hoàn chỉnh. Thêm vào đó, ngày càng
nhiều công ty nhận ra sự thuận lợi trong việc truyền thông từ xa và ngày
càng nhiều nhân viên làm việc từ nhà hoặc kết nối đến mạng công ty khi
đang đi trên đường. Những vấn đề này đã làm nảy sinh cho chúng ta:
Máy khách VPN truy cập từ xa qua roaming
Vào những năm 1990, việc sử dụng các máy khách “bolted-in” trong
mạng công ty là một điều hay gặp. Tuy nhiên đến thập kỷ thứ hai của thế
kỷ 21, các nhân viên ngày một cần phải làm việc lưu động và điều đó đã
làm xuất hiện các máy khách VPN truy cập từ xa qua roaming. Nhân viên
có kiến thức về máy tính có thể cầm các máy tính laptop cấu hình cao đến
nơi làm việc, về nhà, đến các địa điểm của khách hàng, đến khách sạn,
các cuộc hội thảo, sân bay,… có thể nói là bất cứ nơi đâu trên thế giới mà
ở đó có kết nối Internet. Trong nhiều trường hợp, sau khi truy cập
Internet ở nhiều địa điểm khác nhau, họ mang laptop của mình quay trở

lại mạng công ty.
Các máy khách VPN truy cập từ xa qua roaming lại đặt ra một cách thức
bảo mật rất khác so với các máy khách “bolted-in” trong mạng công ty.
Một điểm giống như các máy khách “bolted-in” trong mạng công ty, các
máy tính này là các thành viên miền, được cài đặt phần mềm chống
malware, kích hoạt Windows Firewall with Advanced Security và được
cấu hình đồng thuận hoàn toàn với chính sách bảo mật công ty. Lúc đầu
các máy tính VPN roaming được cung cấp đến người dùng cũng an toàn
như các máy khách “bolted-in” trong mạng công ty.
Tuy nhiên trạng thái bảo mật và cấu hình đó không kéo dài được lâu.
Người dùng có thể không kết nối với mạng nội bộ công ty qua kết nối
VPN nhiều ngày hoặc nhiều tuần. Hoặc họ có thể kết nối hàng ngày trong
khoảng thời gian một hoặc hai tuần, sau đó không kết nối trong khoảng
thời gian vài tháng. Trong khoảng thời gian chuyển tiếp, máy khách VPN
qua roaming dần dần mất đi sự đồng thuận của mình. Chính sách nhóm
Group Policy của công ty không được cập nhật, các nâng cấp chống
virus, malware không được cập nhật kịp thời. Các chính sách bảo mật
cũng như điều khiển được áp dụng cho các máy khách nằm trong mạng
nội bộ công ty có thể không khả thi đối với các máy khách VPN truy cập
từ xa qua roaming vì chúng không thể kết nối qua VPN theo cùng cách.
Việc các máy khách roaming ngày càng không bắt kịp các cấu hình cũng
như chính sách an ninh của công ty nên vấn đề ngày càng trở nên nghiêm
trọng vì máy tính này thường được kết nối với rất nhiều mạng không tin
cậy cũng như không an toàn. Các mạng không tin cậy cũng như không an
toàn này có thể có rất nhiều worm mạng cũng như các mối hiểm họa
khác.
Điều gì sẽ xảy ra khi người dùng mang các máy tính này của họ truy cập
trở lại với mạng công ty? Điều gì sẽ xảy ra nếu máy tính của họ bị thỏa
hiệp bởi worms, viruses, Trojans hay một kiểu malware nào khác? Mối
nguy hiểm có thể được hạn chế nếu bạn kích hoạt Network Access

Protection trong mạng, tuy nhiên có bao nhiêu mạng đã kích hoạt NAP,
dù chắc năng này đã có sẵn nhiều năm với tư cách là một phần của
Windows Server 2008?
Rõ ràng người dùng không nên mang máy tính bị thỏa hiệp trở lại mạng.
Giả định một người dùng nào đó đã kết nối máy tính của họ với một số
mạng khác nhau và cuối cùng máy tính này đã bị thỏa hiệp. Sau ba tháng
anh ta cần thay đổi mật khẩu của mình vì vậy đã thực hiện kết nối thông
qua VPN để thay đổi mật khẩu. Trong trường hợp này những hậu quả bảo
mật tai hại sẽ tương tự như trường hợp máy tính này được kết nối vật lý
với mạng công ty.
Như những gì bạn thấy, việc roaming đã nảy sinh ra rất nhiều vấn đề bảo
mật so với các máy khách “bolted in” trong mạng công ty:
 Máy khách roaming thường được kết nối một cách không liên tục
với mạng công ty – hoặc đôi khi không kết nối – do đó sẽ không
bắt kịp các chính sách an ninh cũng như các hệ thống quản lý khác.
 Bị lộ diện trước các mạng không được quản lý hoặc được quản lý
giản đơn, gia tăng “bề mặt tấn công” tiềm tàng so với các máy
khách không rời khỏi mạng nội bộ.
 Có thể truy cập Internet và người dùng có thể thực hiện bất cứ thứ
gì họ muốn trong khi kết nối Internet vì các máy khách này không
bị kiểm tra và lọc các kết nối Internet.
 Nếu máy khách VPN được cấu hình để vô hiệu hóa tính năng split
tunneling, nó có thể bị bắt buộc sử dụng các cổng truy cập Internet
công ty trong thời gian máy khách kết nối. Mặc dù vậy, khi kết nối
VPN bị rớt, người dùng có thể thực hiện những gì họ muốn – có
thể chia sẻ bất cứ malware hoặc trojan mà máy tính bị tiêm nhiễm
trong khi hủy kết nối khỏi VPN và kết nối trở lại.
 Người dùng có thể tránh kết nối đến VPN vì thời gian đăng nhập
chập, kết nối không nhất quán và toàn bộ trải nghiệm VPN kém tối
ưu, nhiều rủi ro trong việc không bắt kịp chính sách bảo mật công

ty cũng như tăng rủi ro thỏa hiệp.
Máy khách VPN qua roaming vì vậy khác đáng kể so với máy khách
“bolted-in” trong mạng công ty ở phối cảnh bảo mật:
 Group policy có thể hoặc không được cập nhật kịp thời.
 Phần mềm anti-virus có thể hay không được cập nhật kịp thời.
 Phần mềm Anti-malware có thể hoặc không được cập nhật kịp thời.
 Các phương pháp quản lý và điều khiển khác có thể hoặc không thể
cấu hình lại máy khách kịp thời.
 Số người có thể truy cập vật lý đến các máy tính VPN thường lớn
hơn số người có thể truy cập đến các máy tính “bolted-in” trong
mạng công ty, không chỉ các thành viên gia đình của người dùng
và bạn bè mà còn cả những người đánh cắp máy tính.
Sự khác biệt chính giữa máy khách VPN qua roaming và máy khách
“bolted-in” trong mạng công ty là, máy khách VPN thường nằm ngoài
quyền kiểm soát và bị lộ diện trước một số lượng lớn các mối đe dọa.
Mặc dù vậy, có nhiều cách để giảm nhẹ một số các mối đe dọa này và
nhiều công ty đã giới thiệu các phương pháp thực hiện đó, chẳng hạn
như:
 Sử dụng mã hóa đĩa (chẳng hạn như BitLocker) để nếu một máy
tính nào đó bị mất, kẻ trộm sẽ không thể đọc dữ liệu trong ổ đĩa.
Mã hóa đĩa cũng có thể sử dụng phương pháp truy cập bằng cách
“khóa” đĩa để khi tắt máy tính người dùng sẽ không thể khởi động
khi không có khóa.
 Yêu cầu xác thực hai hệ số để đăng nhập vào máy tính, cùng với đó
cũng yêu cầu hai hệ số để mở khóa máy tính cũng như đánh thức
chúng.
 Sử dụng NAP hoặc các kỹ thuật tương tự để test bảo mật trước khi
máy tính được phép truy cập vào mạng công ty. Nếu máy tính
không thể khắc phục, nó sẽ không được phép truy cập vào mạng
công ty.

 Không sử dụng các tài khoản quản trị để đăng nhập vào mạng, điều
này nhằm ngăn chặn các tấn công nguy hiểm.
 Đặt trung tâm dữ liệu cách biệt về mặt vật lý cũng như logic với
toàn bộ máy khách.
Sử dụng một số biện pháp này sẽ giảm được nhiều mối đe dọa tiềm ẩn đối
với các máy khách VPN truy cập từ xa. Tuy không thể san lấp mặt bằng
so với các máy khách “bolted-in” trong mạng công ty nhưng chúng ta vẫn
có một số kịch bản mà ở đó máy khách VPN truy cập từ xa qua roaming
có thể giảm bớt được các rủi ro. Chúng ta sẽ đi xem xét một trong trong
số phương pháp đó trong phần dưới này.
Máy khách DirectAccess
Chúng ta đang nói đến chủ đề máy khách DirectAccess. Giống như các
máy khách VPN, máy tính này có thể di chuyển từ mạng công ty, đến một
phòng nào đó trong khách sạn, trung tâm hội thảo, sân bay, hay bất cứ nơi
đâu mà một máy tính VPN truy cập từ xa qua roaming có thể tồn tại. Máy
khách DirectAccess sẽ được kết nối với cả mạng tin cậy và không tin cậy,
giống như máy khách VPN truy cập từ xa, và rủi ro của việc thỏa hiệp vật
lý của máy tính cũng tương tự như những gì đã thấy đối với máy khách
VPN. Như vậy nếu làm phép so sánh thì máy khách DirectAccess và
VPN về cơ bản là giống như trước phối cảnh bảo mật.
Mặc dù vậy, vẫn có một số khác biệt đáng kể giữa việc roaming và
DirectAccess:
 Máy khách DirectAccess luôn được quản lý. Chỉ cần được bật và
được kết nối Internet, máy khách DirectAccess sẽ có kết nối với
các máy chủ quản lý để cập nhật kịp thời các cấu hình bảo mật
công ty.
 Máy khách DirectAccess luôn trong trạng thái phục vụ. Nếu nhóm
CNTT cần kết nối đến máy khách DirectAccess nào để thực hiện
một cấu hình phần mềm gì đó hoặc khắc phục sự cố vấn đề trên
máy khách này thì họ sẽ không gặp bất cứ trở ngại gì vì kết nối

giữa máy khách DirectAccess và trạm quản lý CNTT luôn là kết
nối hai chiều.
 Máy khách DirectAccess sử dụng hai đường hầm riêng biệt để kết
nối. Tuy nhiên nó chỉ có thể truy cập đến cơ sở hạ tầng cấu hình và
quản lý qua đường hầm đầu tiên. Sự truy cập mạng nói chung
không có sẵn cho tới khi người dùng đăng nhập và tạo đường hầm
cơ sở hạ tầng.
Khi so sánh máy khách DirectAccess với máy khách VPN truy cập từ xa,
bạn sẽ thấy ở máy khách DirectAccess xuất hiện ít mối đe dọa bảo mật
hơn so với VPN, điều này là vì máy khách DirectAccess luôn nằm trong
sự kiểm soát của nhóm CNTT công ty. Khác hẳn với các máy khách
VPN, chúng có thể hoặc không kết nối với mạng công ty trong khoảng
thời gian khá lâu, điều này rất dễ dẫn đến không bắt kịp cấu hình bảo mật
chung và làm tăng rủi thỏa hiệp bảo mật. Thêm vào đó, các phương pháp
làm giảm nhẹ như được đề cập ở trên được áp dụng cho các máy khách
VPN truy cập xa cũng có thể được mang ra sử dụng với máy khách
DirectAccess.
Đến đây chúng ta đã đạt được mục đích của mình là so sánh được các
máy khách VPN truy cập xa qua roaming và các máy khách
DirectAccess, rõ ràng tất cả những gì được minh chứng trong bài đã cho
thấy máy khách DirectAccess cho thấy sự an toàn hơn trong vấn đề bảo
mật chung của công ty so với việc thực hiện roaming.