PAHA KYSYMYS
3.2.2010, 10:31Vaarantuuko DirectAccessin tietoturva salaamattomassa wlan-verkossa?

Viikon Pahassa kysymyksessä huolestuimme Windows 7:n DirectAccess -etäyhteyden tietoturvasta. Onko etäyhteyden käyttö turvallista esimerkiksi naapurikahvilan suojaamattomassa langattomassa verkossa?
Kysymykseen vastauksen antaa Microsoftin tietoturvajohtaja Kimmo Bergius.
Kuinka DirectAccessin tietoturva on hoidettu? Kuinka varmistetaan esimerkiksi, ettei yrityksen tietoturva vaarannu, vaikkapa etätyöläisen työskennellessä kahvilan salaamattomassa wlan-verkossa?
DirectAccess on Windows 7:n ja Windows Server 2008 R2:n avulla toteutettava vpn-etäyhteys (Virtual Private Network) organisaation verkkoon. Yhteys muodostetaan aina automaattisesti, kun kone on organisaation verkon ulkopuolella, mutta verkkoyhteydessä organisaation verkon reunalla olevaan DirectAccess-palvelimeen.
Yhteyden automaattisen muodostumisen vuoksi on luonnollisesti hyvin tärkeää, että tietoturva on hoidettu kuntoon. DirectAccessissä on neljä osa-aluetta, joiden avulla varmistetaan tietoturvaa:
Tietokoneen tunnistaminen
DirectAccess muodostaa kaksi vpn-tunneliyhteyttä käyttäjän koneesta organisaation verkkoon. Ensimmäinen näistä muodostetaan, kun käyttöjärjestelmä käynnistyy, jo ennen kuin käyttäjä kirjautuu koneeseen sisään.
Tämän tunnelin muodostamisessa kone tunnistetaan omalla varmenteellaan. Näin varmistetaan, että organisaation verkkoon DirectAccess-yhteyden voi muodostaa ainoastaan sallituista, organisaation domainiin kuuluvasta koneesta.
Jäikö edellinen Paha kysymys väliin? Tsekkaa aiemmat pahikset täältä.
Ensimmäinen tunneli on tarkoitettu ainoastaan koneen kokoonpanoasetusten määrittämiseen ja päivitysten asentamiseen, ja sen kautta koneelle esimerkiksi ladataan koneen ryhmäasetukset (Group Policy Object, GPO) domainin Domain Controller –palvelimilta.
Käyttäjän tunnistaminen
Toinen vpn-tunneli muodostetaan, kun käyttäjä kirjautuu sisään koneeseen. Tätä toista tunnelia käytetään varsinaisen käyttäjäliikenteen toteuttamiseen.
Tämän toisen tunnelin muodostamisessa käytetään käyttäjän varmennetta. Lisäksi tunnistamisessa voidaan edellyttää jonkin varmennepohjaisen tunnistusmenetelmän, esimerkiksi toimikortin käyttöä (niin sanottu Two-Factor Authentication eli TFA).
Tiedon salaaminen
Kummankin tunnelin muodostamisessa koneen ja käyttäjän tunnistamisessa käytetään IPSec-tietoturvaprotokollaa. Tämän lisäksi tunnelin kautta välitettävä liikenne myös salataan käyttämällä IPSec-protokollan salaustoimintoja.
Näin kaikki liikenne käyttäjän koneen ja organisaation verkon välillä kulkee salattuna, huolimatta siitä, minkä fyysisen verkon kautta liikenne kulkee.
Koneen varmistaminen
DirectAccessin yhteydessä on tietysti hyvin tärkeää, että organisaation it-ylläpito voi myös varmistaa, että tietokone on kunnossa ja täyttää it:n asettamat tietoturvavaatimukset.
Tähän käytetään NAP-palvelua (Network Access Protection), jonka avulla voidaan tutkia hyvin monenlaisia asioita koneen kokoonpanosta. NAP esimerkiksi varmistaa, että it:n edellyttämät päivitykset ovat asennettuina, koneeseen asennettu virustorjunta on käytössä ja ajan tasalla, ja että koneen paikallinen palomuuri on käytössä.
Näiden ominaisuuksien avulla voidaan toisaalta varmistaa, että yhteyden voi muodostaa ainoastaan domainiin kuuluvalta koneelta, domainin käyttäjätunnuksella ja että kone on kunnossa. Lisäksi IPSec-salauksen avulla voidaan varmistaa, että organisaation verkon ja koneen välillä välitettävät tiedot pysyvät salassa.
Lisätietoja DirectAccessistä, sen käyttöönotosta ja vaatimuksista löytyy osoitteesta: http://technet.microsoft.com/en-us/network/dd420463.aspx.

Olisiko sinulla ohjelmistojätille hankala kysymys? Lähetä kysymyksesi meille.
Tietoviikko valitsee kysymysten joukosta tiukimmat ja penää niihin vastauksen Microsoftilta. Asiattomat ja alatyyliset lohkaisut jätetään luonnollisesti huomiotta. Suosikkejamme ovat erityisesti yrityskäyttäjää koskettavat aiheet.
PAHA KYSYMYS
31.5.2010 9:11Miksei Microsoft ole tehnyt verkkokaupparatkaisua?
Kysymykseen vastaa tuote- ja ratkaisupäällikkö Arto Rämö Microsoftilta. »
PAHA KYSYMYS
7.4.2010 9:26Tuetaanko XP Modea Windows XP:n tuen jälkeen?
Niin miten on? Kysymykseen vastaa Microsoftin tietoturvajohtaja Kimmo Bergius. »
PAHA KYSYMYS
12.1.2010 10:31Miten Windows 7 asentuu miniläppäriin?
Kas näin se käy. Näillä Janne Pohjalan ohjeilla Windows 7 asentuu miniläppäriin. »


