пятница, 20 апреля 2012 г.

DirectAccess: Новые решения VPN от Microsoft


Введение
Похоже, что только вчера, когда Windows Server 2008 был выпущен для общественности. Теперь, в 2009, мы должны думать о следующем клиента и серверных операционных систем. Теперь мы должны рассмотреть Windows 7 и Windows Server 2008 R2. Новый клиент и серверных операционных систем всегда есть свойств, которые делают модернизации заслуживает внимания, но иногда эти улучшения и / или новые функции являются дополнительными, а не революционным, а потому мы не чувствуем большую мотивацию к ускорить наши планы принятия.


Я не думаю, что это дело для Windows 7 и Windows Server 2008 R2. Многие организации решили не перейти на Windows Vista, и поэтому до сих пор используют в основном на машинах Windows XP. Эти компании понимают, что они не могут бегать десятилетней давности операционной системы навсегда, и они уже не думают, что это нужно, поскольку они были сильно впечатлены Windows 7. В Windows 7 улучшилась производительность, снизить требования к оборудованию и исключительных мер по укреплению безопасности, Есть очень мало причин не обновить. Windows Server 2008 R2 представляет собой совсем другое дело, что, как и в предыдущих релизах R2, Есть некоторые новые функции и возможности, но ничего же революционной, как то, что Windows 7 приносит на стол.
Есть ли что-то революционное, включенных в предстоящих Windows Server 2008 R2? Я бы сказал, что есть. По крайней мере, если вы паре Windows 7 с Windows Server 2008 R2. Что это революционная особенность? DirectAccess.
DirectAccess является новой Microsoft VPN решение, которое призвано изменить способ работать и думать о VPN соединения. В самом деле, Microsoft даже не хочу, чтобы вы думаете о DirectAccess как решение VPN (что это), поскольку они думают, что у вас был такой печальный опыт с VPNs на протяжении многих лет, что если вы слышите, что DirectAccess представляет собой технологию VPN, вы должны не волновался, как я, и, может быть, вы избежите обучения достаточно, чтобы понять, что полностью меняет DirectAccess VPN поле игры.
VPNs дал своим пользователям возможность подключаться к ресурсам корпоративной сети, обеспечение виртуальной сети уровне (Layer 2) подключения к корпоративной сети. Это звучит как хорошая вещь – в идеале VPN должны были обеспечить пользователям тот же опыт вычислительных они имеют когда они на самом деле подключены к сети компании, либо по Ethernet или беспроводной связи.
, Что на самом деле? Какие проблемы, созданные традиционные VPNs уровне сети?
* Межсетевые экраны и устройства веб прокси часто не позволяют исходящих соединений для протоколов, необходимых для подключения к серверу VPN
* NAT устройства требуют NAT редакторы для некоторых протоколов VPN. Часто NAT редакторы отсутствуют или слабо реализованы (например, редактор Linksys PPTP NAT). Кроме того, IPsec VPN на основе страдать от того, что поставщики не выполняют RFC соответствия, таких как IPsec реализации в некоторых SonicWall сервера VPN.
* Существует никакой гарантии, что исходный и конечный сетей на самом деле на различных идентификаторов сети, потому что люди часто используют аналогичные частные адресные пространства. Если в качестве источника и назначения сети ID то же самое, пользователи не смогут подключиться к корпоративной сети из-за столкновения подсети
* Пользователям необходимо вручную инициировать соединение VPN. Это привносит сложности для пользователей, а также генерирует обращения в службу поддержки, если пользователь видит что-то не работает, даже если соединение VPN это не проблема
* Поскольку VPN соединения должны быть вручную по инициативе пользователей, машины пользователей не имеют доступа, пока пользователь делает соединение. Ставит эти отключен машины за пределами ИТ административного контроля, и делает ее трудно держать якобы управляемых устройств в соответствии с корпоративной безопасности и управления рисками

Учитывая все проблемы, которые мы имели с VPNs сетевом уровне, это удивительно, что мы используем их. В самом деле, на уровне сети Виртуальные частные сети будет использоваться все меньше и меньше других решений для удаленного доступа осуществляется на своем месте. Эти и другие решения не только проще для пользователей, они действительно более безопасным, поскольку они способствуют усилению мер безопасности в принцип наименьших привилегий. При наименьших привилегий, пользователи имеют доступ к услугам и данным, необходимым для выполнения их работы, но не более того.
Например, рассмотрим следующие технологии:
* Outlook Web Access (OWA): OWA предоставляет пользователям доступ к Exchange услуги, используя связи веб-браузера через HTTPS. Пользователям не нужен доступ к сети уровня для подключения к почте и календарю
* Outlook RPC / HTTP: RPC / HTTP протокол позволяет пользователям воспользоваться полным, богатым клиентом Outlook без необходимости полного уровня доступа к сети включен в сеть связи слой VPN. Outlook RPC / MAPI сообщения инкапсулируются в связи HTTP и шифруется с помощью SSL
* Terminal Services Gateway: Вместо благоприятных полный уровень доступа сети для удаленных подключений рабочего стола на сервере терминалов или настольных операционных систем в корпоративной сети, вы можете воспользоваться TSG для инкапсуляции RDP соединения в туннель HTTP, а затем зашифровать его с SSL . Опять же, нет никакой необходимости для полного соединения уровне сети, чтобы дать пользователям подключения служб терминалов они требуют
Конечно, выставляя эти услуги Интернет представляет собой очень низкого уровня безопасности конструкции, поскольку это позволит крайне враждебно Интернет неограниченный доступ к вашему приложению внешних серверах. Решения, необходимые для защиты внешних серверах. Две из наиболее распространенных решений передовых брандмауэры, которые смешались сети и прокси наборы функций межсетевого экрана и SSL VPN-шлюзов.
Два хороших решений включают:
* Forefront Threat Management Gateway 2010: Forefront TMG (TMG) представляет собой смешанный прокси и брандмауэр сетевого уровня всестороннюю защиту от спама, веб-защиту от вредоносных программ и расширенные IDS / IPS возможностей. В дополнение к веб-прокси и сетевых множеств уровня функции межсетевого экрана, он также предоставляет усовершенствованные входящие SSL устранения возможности, так что брандмауэр TMG может быть использован для предварительной аутентификации и проверки входящих соединений с сервером приложений фронт-энды. Это существенно снижает риски, присущие в разоблачении этих передней сервера приложений класса для злоумышленников в Интернете
* Intelligent Application Gateway 2007 (IAG), а также предстоящих Unified Access Gateway (КГП): МАГ и УАГ являются всеобъемлющими SSL VPN решений, которые позволяют защитить серверы переднего плана приложения из интернета нападавших. IAG 2007 и КГП обеспечить нескольких SSL VPN технологии для обеспечения удаленного доступа к информации в корпоративной сети. IAG 2007 и КГП добавить к безопасности, которую обеспечивает межсетевой экран технологий, таких как Forefront TMG отводками об укреплении положительных и отрицательных логики фильтры, которые блокируют известно плохой связи и потенциально новых атак день, и ввести параметры проверки подлинности сверх того, что других решений SSL VPN-шлюз может обеспечить.
Хотя сервер приложений, передняя часть технологий и шлюзы безопасности, безусловно, способствовать снижению рисков и сложностей по сравнению с традиционными VPN сетевого уровня решения, то, безусловно, кажется, есть еще много работы предстоит сделать в этой области. Вы должны настроить сервер приложений, то вы должны настроить сервер приложений, сервер переднего плана (который должен быть помещен в DMZ, так как это Интернет перед принимающей), а затем вам нужно настроить брандмауэр или SSL VPN шлюз перед внешними серверами. Вы должны установить надлежащий контроль доступа между всеми зонами безопасности, и вы должны следить за всеми связей между различными зонами безопасности. Единой точки отказа где-нибудь в этой “цепи недоверия” может принести все это рушится вниз.
ACK! Там должно быть лучше.
DirectAccess спасения
Будь или не существует лучшего способа зависит от типа клиентских машинах вы работаете. Для неуправляемых клиентов неизвестной конфигурации безопасности и государства, вам лучше использовать интерфейсные соединения с серверами приложений, которые охраняются расширенный брандмауэр или SSL VPN-шлюзов. Существует никоим образом можно положить помаду на неуправляемых свиней и притворяться, что на сетевом уровне VPN соединения для этих машин может быть закреплена. Наименее привилегия сильных инструментов в пояс, когда речь идет о неуправляемых узлов и межсетевой экран и шлюз решения наиболее эффективных путей для обеспечения наименьших привилегий.
Что об управляемых компьютеров? А как насчет ваших пользователей, которые имеют ноутбуки, что ваша компания дает им? Вы сошли с пути, чтобы создать безопасную построить для каждого из этих ноутбуков и всякий раз, когда пользователи подключаются к корпоративной сети, они получают политики обновления и проверяются на последних безопасности и обновлений приложений, прежде чем допускается по корпоративной сети, благодаря Microsoft Network Access Protection (НПД).
Проблема в том, что эти пользователи не могут вернуться к корпоративной сети или, того хуже, не подключаться к нему на всех. Вы можете создать новый ноутбук, строить, а затем судно компьютера пользователю в другое состояние, другую страну или другом континенте. На данный момент, компьютер, как правило, вне вашего контроля, пока пользователь не вернется к корпоративной сети, либо, приехав в штаб-квартире, посещая отделение, или, может быть, с использованием обычного сетевого уровня VPN. Вы никогда не знали, когда любой из этих может произойти, или, если они когда-нибудь произойти. Это означает, что тщательно управлять ноутбук будет быстро падать возраста и совершенно не соблюдения. Что еще хуже, вы даже не знаете, что происходит, поскольку он не будет полностью доступна для вашего управления System Center, мониторинга и отчетности решений.
DirectAccess эта проблема решается. Если у вас есть Windows 7 клиентов и Windows Server 2008 R2 DirectAccess сервер Windows 7 клиент автоматически вызывает сервер DirectAccess при запуске компьютера. Клиент использует IPsec для обеспечения связи и использования IPv6 для подключения к серверам в корпоративной сети. Поскольку клиенты находятся за NAT устройства, и они будут более IPv4 Интернета, Windows 7 клиенты могут использовать целый ряд NAT Traversal и технологии IPv6 перехода, чтобы соединение с сервером DirectAccess, а затем на серверах в корпоративной сети.

Обратите внимание, что пользователи не должны войти в систему для подключения DirectAccess, которая будет создана. Это означает, что вы можете управлять этими машинами, пока они включены. Связи DirectAccess является двунаправленным, поэтому вы можете подключиться к этим машинам, инвентаризация этих машинах и применять безопасности и управления рисками на этих машинах, как если бы они были подключены к сети.
Когда пользователь входит в систему, второй VPN соединение установлено. Однако, в отличие от типичной PPTP, L2TP/IPsec или SSTP VPN, входа пользователей в систему на DirectAccess VPN автоматически. Пользователям не нужно поставить галочку в поле; пользователю не нужно нажимать кнопку с надписью “подключаться к корпоративной сети”. Кроме того, пользователь не должен беспокоиться о том, за межсетевым экраном или прокси-сервер, так как единственное требование заключается в том, что брандмауэр или прокси-сервер позволяет исходящий доступ HTTPS. С SSL является “универсальный порт брандмауэра”, пользователи никогда не должно быть никаких проблем с подключением к серверам DirectAccess.
Так что теперь? Рассмотрим следующий пример:
* Пользователи открывают Outlook, и он просто работает, потому что клиентская машина имеет виртуальное соединение уровне сети IPv6 включен машин в сети
* Пользователям не нужно, чтобы когда-либо использовать OWA, поскольку их родной соединения с Exchange MAPI можно легко включить в DirectAccess VPN
* Когда пользователь получает сообщение электронной почты, содержащей ссылку на файл-сервер или сайт SharePoint в локальной сети, пользователь просто нажимает на ссылку и она работает. Вам не нужно думать о публикации этих ресурсов в Интернет и решения вопросов, связанных с DNS переводе интрасети имен Интернета
* Компьютеры автоматически оцениваются НПД и реабилитированным на основе корпоративной политики. Это происходит всякий раз, когда при запуске компьютера и автоматически подключается к DirectAccess VPN. Это означает, управляемые машины всегда должны мы, в соответствии
Это лишь несколько примеров того, что вы получаете при развертывании DirectAccess в вашей сети. Ясно, что DirectAccess является не только очень крутой удаленного доступа VPN решения, но что-то изменится, как вы подход вся концепция виртуальных частных сетей в будущем.
Заключение
Помните, речь идет об управляемых компьютерах здесь. Они являются членами домена компьютеров, которые рассмотрены в рамках корпоративного контроля и управления. Вы должны были значительно выше ожиданий у этих машин, чем у вас есть для неуправляемых машин. Как вы можете видеть, DirectAccess позволяет вам реализовать ваши высокие ожидания для этих машин, независимо от того, где эта машина находится. DirectAccess позволяет продлить эффективное управление вашего домена и политики безопасности контроля для всех машин под Вашим руководством, и сделать это в любое время, что машина включена, даже если пользователь не регистрируется на компьютере.

Комментариев нет:

Отправить комментарий