Existe-t-il un moyen d'empêcher les connexions VPN sur la base de certains critères liés à la sécurité, tels que la présence d'un scanner de virus et de définitions de virus ?
Dans notre cas, nous avons un Windows Server 2008 faisant office de contrôleur de domaine et de serveur RRAS. Nous avons également ESET NOD32 Business en cours d'exécution sur chaque client, les installations étant poussées par le serveur.
Ce que vous demandez est le point central de nombreux produits de "protection de l'accès au réseau" (NAP). Personnellement, je ne pense pas que des efforts comme la NAP soient vraiment utiles, à part pour "garder les ordinateurs honnêtes honnêtes".
Fondamentalement, vous vous fiez à la fiabilité de l'ordinateur client pour qu'il " dise la vérité " sur ce que votre ordinateur serveur NAP lui demande. Il n'existe aucun moyen pour votre serveur de "prouver" qu'un ordinateur distant exécute un programme donné. Vous ne faites que croire la "bonne parole" de cet ordinateur distant. C'est la faille fatale de l'idée derrière NAP - la confiance est mal placée.
Pour ce qui est de la sécurité de votre réseau, je dirais que le principe du moindre privilège est le principe directeur le plus important. Il faut connaître et surveiller les "points d'étranglement" et les vecteurs d'attaque, mettre à jour les systèmes d'exploitation et les applications, installer uniquement les logiciels nécessaires sur tous les ordinateurs (serveurs, clients, etc.) et se tenir au courant des bulletins de sécurité.
Le NAP n'est d'aucune utilité si une machine est équipée d'un rootkit capable de "convaincre" l'antivirus local, etc. qu'elle n'est pas infectée. Je pense qu'il y a plus à gagner en minimisant la surface d'attaque et en détectant les attaques sur la base de la surveillance du trafic et du comportement.
En ce qui concerne les utilisateurs de VPN, j'utiliserais un VPN qui limite les protocoles entrants des clients à un "ensemble autorisé" connu -- RPC sur HTTP pour les clients Outlook (bien que vous puissiez le faire sans VPN tout aussi facilement), RDP pour accéder à des ordinateurs de bureau fixes ou à des machines Terminal Server, WebDAV pour obtenir des partages de fichiers exportés sur HTTP, etc. Donner aux clients VPN un accès illimité à la couche 3 du réseau expose certainement une large surface d'attaque.
J'envisagerais d'utiliser une technologie VPN basée en partie sur l'authentification des dispositifs clients si vous autorisez un accès de couche 3 plus libre (et même si vous ne le faites pas, si vous êtes préoccupé par la connexion de dispositifs non autorisés au VPN). En supposant que vos utilisateurs ne disposent pas de droits d'"administrateur" sur leurs ordinateurs clients et qu'ils ne peuvent pas retirer le certificat de l'appareil pour l'installer sur un appareil arbitraire, l'utilisation de quelque chose comme L2TP/IPsec et l'authentification basée sur l'ordinateur contribuerait grandement à empêcher les appareils non autorisés de se connecter au VPN.
Ce n'est peut-être pas la meilleure, mais plutôt la manière la plus complexe de faire quelque chose qui pourrait être assez simple.
Si votre VPN est géré par un serveur W2008, vous pouvez faire une requête WMI.
strComputer = OnConnectEvent(APPROPRIATE VPN INFO)
Set oWMI = GetObject( _
"winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\SecurityCenter")
Set colItems = oWMI.ExecQuery("Select * from AntiVirusProduct")
For Each objItem in colItems
With objItem
WScript.Echo .companyName
WScript.Echo .onAccessScanningEnabled
WScript.Echo .pathToSignedProductExe
WScript.Echo .productState
WScript.Echo .productUptoDate
WScript.Echo .versionNumber
End WithEt ensuite vous pouvez comparer de manière appropriée
Threat Management Gateway, MS Forefront et le Stirling Wave devraient vous fournir ce type de fonctionnalité. Cela semblait très excitant, mais je n'ai entendu parler de cela que brièvement dans un séminaire sur les technologies Microsoft et je ne peux donc pas donner d'autres conseils.
Symantec Endpoint Protection peut également détecter les niveaux de correctifs des machines clientes et vérifier si l'antivirus est à jour. Mais il fonctionne sur le client et est utilisé pour protéger les clients plutôt que les serveurs. Si Endpoint Protection n'est pas installé sur un client, vous ne pouvez rien y faire.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
