Мастер Forefront Unified Access Gateway DirectAccess
Введение
DirectAccess – это новая технология, которая может быть реализована в паре ОС Windows 7 и Windows Server 2008 R2. DirectAccess абсолютно отличается от VPN или других технологий удаленного доступа. Целью DirectAccess является не только предоставление еще одного способа обеспечения доступа к интернету для компьютеров в корпоративной сети (как было с VPN и прикладными шлюзами), но и расширение корпоративной сети до любого места, в котором может находиться DirectAccess клиент. Преимуществом этой технологии является не только то, что вы всегда будете подключены к своей корпоративной сети, но и то, что ИТ персонал всегда будет иметь подключение к пользователям и их машинам ‘ в результате ваша централизованная инфраструктура контроля и управления будет иметь постоянный доступ ко всем членам домена, а не только к тем участникам домена, которые расположены за корпоративным брандмауэром или которые вошли в корпоративную сеть.
Это очень удобно. Одним из основных препятствий производительности пользователей является неспособность получить быстрый и надежный доступ к информации за корпоративным брандмауэром. Конечно, существуют способы, позволяющие обходить эту проблему, которые использовались на протяжении нескольких лет, такие как традиционные VPNs, прикладные шлюзы, шлюзы протоколов и SSL VPNs, но они не полностью решали действительные проблемы, с которыми сталкивались пользователи. Пользователям требовался простой, удобный и автоматический способ получения информации для выполнения своих задач, поскольку именно пользователи зарабатывают деньги для компании, выполняя свои задачи. Чем быстрее они справляются со своими задачами, тем быстрее компания получает прибыли и (в идеале) все получают прибавки к зарплате.
Однако иногда кажется, что нужды информационных отделов противоположены нуждам пользователей. ИТ персоналу необходимо контролировать то, что происходит с удаленными клиентами ‘ желательно еще до того , как эти клиенты подключаются к корпоративной сети. Удаленные клиенты зачастую представляют собой неизвестные объекты. У них различная конфигурация безопасности, они могли подключаться к любому количеству сетей с неизвестным статусом безопасности, а иногда пользователи даже могут быть неизвестны. По этим и другим причинам ИТ персонал всегда беспокоили удаленные клиенты, и лучшие информационные отделы очень осторожны, когда речь заходит о предоставлении минимальных прав любому узлу, подключающемуся из-за пределов корпоративного брандмауэра.
Что, если мы изменим это уравнение? Нет, я не говорю о ‘смерти DMZ’ или о том, что ‘межсетевой экран мертв’, поскольку мы знаем, что оба эти утверждения ложны, и всегда будут таковыми. Однако теперь мы можем предоставлять решение удаленного доступа, которое:
- Требует двухфакторной аутентификации
- Использует IPsec для защиты подключений с клиентских компьютеров к шлюзу удаленного доступа
- Может использовать IPsec для защиты подключений с клиентских компьютеров к целевой конечной точке
- Использует аутентификацию компьютеров и пользователей для создания подключений к шлюзу удаленного доступа
- Обеспечивает подключение еще до входа пользователя, чтобы ИТ персонал смог воспользоваться всем своим арсеналом инструментов безопасности и управления клиентами, который он использует для узлов в корпоративной сети, чтобы также иметь возможность контролировать настройки и безопасность любого участника домена, расположенного в любом месте в интернете
- Позволяет иметь полный контроль управления над управляемыми членами домена в любом месте в интернете без предоставления пользователям доступа к корпоративной сети
- Позволяет предоставлять компьютерам и пользователям домена доступ к корпоративным ресурсам таким же образом, как и при их нахождении в корпоративной сети
Если вы мыслите так же, как и я, вас это заинтересует. На самом деле, DirectAccess представляет собой решение удаленного доступа, которого мы ждали для предоставления сотрудникам с момента выхода первого PPTP туннеля в 20 веке. Это решение позволяет вашим пользователям быть продуктивными в любое время, постоянно, а также снимает напряжение со службы технической поддержки. Поскольку DirectAccess работает в любом месте, это означает, что в службу поддержки больше не будут поступать звонки с жалобами о неработающем VPN соединении в гостинице.
Компоненты Forefront UAG DirectAccess Remote Access топологии
Решение DirectAccess состоит из нескольких компонентов. Однако замечательным в DirectAccess является то, что вы уже знакомы с этими компонентами (по большей части). Сюда входит:
- IPv6 и технологии туннелирования IPv6
- DNS серверы
- Web серверы
- IPsec и Правила безопасности подключений (Connection Security Rules)
- Правила брандмауэра Windows
- Active Directory и групповая политика
- Сертификаты
IPv6 и технологии туннелирования IPv6
Итак, я знаю, что не многие из вас знакомы с IPv6 или технологиями туннелирования IPv6. Конечно, вы знаете, что это, но, возможно, вам никогда не приходилось с этим работать. Организации очень медленно принимают интернет протокол нового поколения. Но вот хорошая новость: Хотя это и фундамент решения DirectAccess, если вы используете Forefront UAG в качестве сервера DirectAccess, вам не нужно ничего знать о IPv6 и о технологиях туннелирования IPv6. С UAG вы просто настраиваете UAG сервер или массив, и он будет работать.
DNS Серверы
Любой ИТ специалист, который не зря ест свой хлеб, знает о DNS серверах и о том, как устанавливать и настраивать их. DirectAccess использует DNS, чтобы решить, какие подключения должны проходить через DirectAccess IPsec туннели, а какие должны идти непосредственно в интернет. К тому же, DNS используется для регистрации IPv6 адресов DirectAccess клиентов и серверов. Однако помните, что вам ничего не нужно знать о IPv6; вам лишь нужны DNS серверы, которые могут принимать динамические регистрации записей IPv6 DNS AAAA. Это происходит автоматически в Windows Vista и выше, а также в Windows Server 2008 и выше.
Web серверы
DirectAccess использует технологию под названием ‘Сервер сетевых расположений (Network Location Server)’ или NLS. Сервер NLS используется DirectAccess клиентом для определения того, находится ли DirectAccess клиент в корпоративной сети или в интернете. Если DirectAccess клиент может подключиться к NLS, он знает, что находится в корпоративной сети, и он отключает свою конфигурацию DirectAccess клиента. Если NLS недоступен, то DirectAccess клиент считает, что он находится вне корпоративной сети, после чего включает конфигурацию DirectAccess клиента и пытается создать IPsec туннель для подключения к DirectAccess серверу через интернет.
IPsec и Правила безопасности подключений (Connection Security Rules)
Вот еще один компонент, с которым вы, возможно, незнакомы. Некоторые говорят, что защита сетевого доступа (Network Access Protection) не прижилась, поскольку люди не понимали IPsec политик и правил безопасности подключений, которые используются для управления NAP решением. Это, возможно, так, а может быть и не так, но это не имеет значения. С DirectAccess, несмотря на то, что IPsec и правила безопасности подключений используются для управления подключениями между DirectAccess клиентом и DirectAccess сервером, либо между DirectAccess клиентом и целевым сервером, отличная новость заключается в том, что UAG DirectAccess сервер выполняет всю работу за вас .
Вы настраиваете все, что вам нужно, в мастере UAG DirectAccess, и IPsec политики и правила безопасности подключений будут настроены за вас автоматически. Если вы хотите понять, как они работают, отлично. Но вам вовсе не нужно быть IPsec экспертом, чтобы настроить рабочее и корректно функционирующее DirectAccess решение.
Правила брандмауэра Windows
Высока вероятность того, что многим из вас приходилось работать с брандмауэром Windows Firewall with Advanced Security или WFAS. WFAS – это отличное штатное решение межсетевого экрана, доступное в Windows Vista и выше, а также Windows Server 2008 и выше. Вы можете создавать многогранные политики и привязывать проверку подлинности к правилам брандмауэра.
Более того, вы можете использовать оснастку WFAS в групповой политике и разворачивать правила WFAS для групп компьютеров автоматически. DirectAccess использует WFAS для включения необходимых протоколов между DirectAccess клиентами и серверами. Но что, если вы ничего не знаете о правилах брандмауэра и о WFAS? Это не проблема. Мастер Forefront UAG DirectAccess создает эти правила, создает объекты групповой политики и настройки этих объектов, а затем автоматически разворачивает эти настройки за вас. Все действительно проще некуда.
Active Directory и групповая политика
Вы знаете все о Active Directory и групповой политике, не так ли? Вам приходилось работать с этими компонентами со времен Windows 2000 Server. DirectAccess использует Active Directory для аутентификации, а групповою политику для внесения всех необходимых изменений в конфигурацию, которые требуются на DirectAccess клиентах и серверах. Даже если вы не очень разбираетесь в Active Directory и объектах групповой политики (GPO), не стоит беспокоиться. Мастер Forefront UAG DirectAccess создаст объекты GPO, привяжет их и создаст настройки этих объектов, чтобы установить их на клиентах. Вам не нужно быть специалистом в области Active Directory или GPO, чтобы заставить Forefront UAG DirectAccess решение работать с ходу .
Сертификаты
Сертификаты, сертификаты, сертификаты! Они везде! Многим из вас приходилось иметь с ними дело, так или иначе. Иногда работа с сертификатами была простой, а иногда проблемы были настолько сложными, что при их решении вы рвали на себе волосы. Решение Forefront UAG DirectAccess использует сертификаты. Вам нужны будут сертификаты машины, установленные на все DirectAccess клиенты, чтобы они могли создавать IPsec соединения с DirectAccess сервером (сертификаты используются для аутентификации и шифрования), вам нужны будут сертификаты веб сайта для NLS, о котором мы говорили ранее, вам также нужен будет сертификат веб сайта для IP-HTTPS слушателя на сервере UAG DirectAccess (IP-HTTPS – это технология туннелирования IPv6, позволяющая DirectAccess клиентам туннелировать IPv6 сообщения через IPv4 сеть; ключевым моментом здесь является то, что она инкапсулирует сообщения в SSL защищенный HTTP заголовок, чтобы он мог проходить через брандмауэры и веб-прокси серверы, ограничивающие доступ только для HTTP и HTTPS трафика).
Вам нужно уметь работать с сертификатами, чтобы заставить решение DirectAccess функционировать. Однако вам не придется прибегать к использованию PowerShell или выполнению сложных командных сценариев, чтобы заставить решение работать. Сертификаты компьютера требуют пару нажатий в редакторе групповой политики (Group Policy Editor), а сертификат веб сайта требует всего пару кликов в оснастке сертификатов консоли MMC. Сертификат IP-HTTPS необходимо приобрести у платного поставщика сертификатов. Вот и все! С мастером UAG DirectAccess все очень просто.
Заключение
DirectAccess – это та технология, которую мы ждали на протяжении 20 лет ‘ даже если вы того не осознавали. Вы хотели эту технологию для себя и своих пользователей. DirectAccess – это безопасный способ подключения ваших пользователей и компьютеров домена к сети, чтобы они могли получить доступ к нужным ресурсам, когда они в них нуждаются, из любой точки без ущерба для производительности. DirectAccess также дает ИТ специалистам все, чтобы быть уверенными в том, что подключения зашифрованы, что имеет место проверка подлинности и безопасность. Теперь ИТ персонал может расширять свое влияние на всех пользователей и компьютеры домена, практически в любое время и постоянно, чтобы машины, находящие за пределами сети, имели нужную конфигурацию и соответствовали требованиям безопасности. Это означает, что удаленные машины теперь представляют профиль угроз, который отличается от всех остальных машин, передвигающихся в корпоративную сеть и из нее.
Однако независимо от того, насколько замечательна технология и какую ценность она представляет для организаций, если ее слишком сложно настраивать и обслуживать, она того не стоит. Мы уже сталкивались с подобными прорывами от Microsoft, такими как NAP и изоляция доменов и серверов (Server and Domain Isolation) ‘ две замечательные технологии, которые должны были изменить мир, но так этого и не сделали. Хорошей новостью в DirectAccess является то, что уровень сложности, хотя он и есть, гораздо ниже, чем может показаться. На самом деле высока вероятность того, что вы уже знаете о большинстве технологий, которые используются в DirectAccess решении, и вы быстро сможете воспользоваться своими знаниями для установки и настройки этой технологии. Вам не придется возиться с PowerShell (если вы сами того не пожелаете), вам не придется писать командные сценарии (если вы не захотите) и вам не придется изучать уйму новых технологий, прежде чем приступать к работе. Пропорции цена/преимущества в DirectAccess гораздо выше, чем у любых других технологий, с которыми вам доводилось работать прежде.
Во второй части этого цикла я покажу вам мастер UAG DirectAccess, а также расскажу о том, почему следует использовать UAG в качестве сервера для решения DirectAccess. Могу гарантировать, как только вы вкусите DirectAccess, вам больше не захочется использовать VPN подключения и подключаться к старым SSL VPN порталам. До встречи! ‘ Дэб.
Автор: Деб Шиндер (Deb Shinder)
Дебра Литтлджон Шиндер (DEBRA LITTLEJOHN SHINDER), MCSE, MVP (Security) является консультантом по технологиям, инструктором и писателем, автором множества книг по компьютерным операционным системам, сетям и безопасности. Она также является техническим редактором, редактором по разработкам и соавтором для более чем 20 дополнительных книг. Ее статьи регулярно публикуются на TechProGuild Web-сайте TechRepublic и Windowsecurity.com и появляются в печатных журналах, таких как Windows IT Pro (прежнее название: Windows & .NET) Magazine. Она создала учебные материалы, корпоративные технические описания, маркетинговые материалы и документацию по продуктам для Microsoft Corporation, Hewlett-Packard, DigitalThink, GFI Software, Sunbelt Software, CNET и других технологических компаний. Деб живет и работает в Dallas-Ft Worth районе и может быть доступна по почте mailo:deb\@shinder.net или через web-сайт www.shinder.net.
Источник: https://www.Redline-Software.com
Возникли вопросы?
Обращайтесь на форум!