Evitando conexões VPN para clientes que não possuem um virusscanner ativo

O que você está perguntando é o cerne de muitos produtos de "proteção de acesso à rede" (NAP). Pessoalmente, não acho que esforços como o NAP realmente façam alguma coisa útil, além de "manter honestos os computadores honestos".

Fundamentalmente, você está confiando na confiabilidade do computador cliente para "agir com verdade" sobre o que seu computador servidor NAP solicita. Não há como o seu servidor poder "provar" que um computador remoto está executando um determinado programa. Você está realmente apenas pegando a "boa palavra" desse computador remoto. Essa é a falha fatal na ideia por trás do NAP - a confiança é equivocada.

Em termos de manter sua rede segura, eu diria que o princípio do menor privilégio é o princípio orientador mais importante. Esteja ciente e monitore "pontos de estrangulamento" e vetores de ataque, mantenha OS e aplicativos atualizados, instale somente o software necessário em todos os computadores (servidores, clientes, etc.) e mantenha-se atualizado com os boletins de segurança.

A NAP não ajuda se uma máquina obtém um rootkit que pode "convencer" o antivírus local, etc., de que não está infectado. Acho que há mais a ganhar minimizando a superfície de ataque e detectando ataques com base no monitoramento de tráfego e comportamento.

Em termos de usuários de VPN, eu estaria usando uma VPN que limitava protocolos de entrada de clientes para um "conjunto permitido" conhecido - RPC-over-HTTP para clientes do Outlook (embora você possa fazer isso sem uma VPN com facilidade), o RDP para obter computadores de mesa fixos ou máquinas do Terminal Server, o WebDAV para obter compartilhamentos de arquivos exportados por HTTP, etc. O acesso irrestrito da camada 3 aos clientes VPN à rede está expondo uma ampla superfície de ataque.

Eu consideraria usar uma tecnologia de VPN baseada em parte na autenticação de dispositivos clientes, se você permitir mais acesso irrestrito à camada 3 (e, mesmo que não seja, se estiver preocupado com a conexão de dispositivos não autorizados VPN). Supondo que seus usuários não tenham direitos de "Administrador" em seus computadores clientes e não possam retirar o certificado do dispositivo e instalá-lo em um dispositivo arbitrário, usar algo como L2TP / IPsec e autenticação baseada em computador duraria muito. maneira de impedir que dispositivos não autorizados se conectem à VPN.

Você pode pesquisar a NAP no W2K8:

link

Isso pode não ser o melhor, mas a maneira mais complexa de fazer algo que pode ser um pouco simples.

Se sua VPN está sendo manipulada por um servidor w2008, você pode fazer uma consulta WMI

strComputer = OnConnectEvent(APPROPRIATE VPN INFO)

Set oWMI = GetObject( _
  "winmgmts:{impersonationLevel=impersonate}!\" & strComputer & "\root\SecurityCenter")

Set colItems = oWMI.ExecQuery("Select * from AntiVirusProduct")

For Each objItem in colItems
  With objItem
    WScript.Echo .companyName
    WScript.Echo .onAccessScanningEnabled
    WScript.Echo .pathToSignedProductExe
    WScript.Echo .productState
    WScript.Echo .productUptoDate
    WScript.Echo .versionNumber  
  End With

E então você pode comparar adequadamente

O Threat Management Gateway, junto com o MS Forefront e o Stirling Wave, deve fornecer esse tipo de funcionalidade. Parecia muito empolgante, mas eu só ouvi isso mencionado brevemente em um seminário sobre Microsoft Technologies, então não pude dar mais nenhum conselho.

O Symantec Endpoint Protection também pode detectar níveis de patch de computadores clientes e se o antivírus está atualizado. Mas ele é executado no cliente e é usado para proteger os clientes em vez dos servidores - se o Endpoint Protection não estiver instalado em um cliente, você não poderá fazer nada.