DirectAccess: новейшее решение Microsoft VPN — часть 1: обзор текущих решений для удаленного доступа
Введение
Кажется, это было только вчера, когда Windows Server 2008 был выпущен для публики. Теперь, в 2009 году, мы должны думать о следующих клиентских и серверных операционных системах. Теперь нам нужно рассмотреть Windows 7 и Windows Server 2008 R2. Новые клиентские и серверные операционные системы всегда имеют некоторые плюсы, которые делают обновление стоящим внимания, но иногда эти улучшения и/или новые функции носят инкрементальный характер, а не являются революционными, и поэтому мы не чувствуем большой мотивации для ускорения наших планов по внедрению.
Я не думаю, что это относится к Windows 7 и Windows Server 2008 R2. Многие организации решили не переходить на Windows Vista и поэтому по-прежнему работают в основном на компьютерах с Windows XP. Эти компании осознают, что не могут вечно работать с операционной системой десятилетней давности, и больше не думают, что им это нужно, поскольку Windows 7 произвела на них сильное впечатление. очень мало причин не обновляться. Windows Server 2008 R2 немного отличается тем, что, как и в предыдущих выпусках R2, содержит некоторые новые функции и возможности, но ничего столь же революционного, как то, что предлагает Windows 7.
Есть ли что-то революционное в грядущей версии Windows Server 2008 R2? Я бы сказал, что есть. По крайней мере, если вы соедините Windows 7 с Windows Server 2008 R2. Что это за революционная функция? Прямой доступ.
DirectAccess — это новое решение Microsoft VPN, которое призвано изменить то, как вы работаете и думаете о VPN-подключении. На самом деле, Microsoft даже не хочет, чтобы вы думали о DirectAccess как о решении VPN (что им и является), потому что они думают, что у вас был такой плохой опыт работы с VPN на протяжении многих лет, что если вы услышите, что DirectAccess — это технология VPN, вы не будьте так взволнованы, как я, и, возможно, вы не узнаете достаточно, чтобы понять, что DirectAccess полностью меняет игровое поле VPN.
Виртуальные частные сети дали вашим пользователям возможность подключаться к ресурсам в вашей корпоративной сети, предоставляя подключение уровня виртуальной сети (уровень 2) к вашей корпоративной сети. Звучит неплохо — в идеале VPN должна была предоставить вашим пользователям те же вычислительные возможности, что и при фактическом подключении к корпоративной сети через Ethernet или беспроводное соединение.
Так ли это было на самом деле? Какие проблемы возникают при использовании традиционных VPN на сетевом уровне?
- Брандмауэры и веб-прокси-устройства часто не разрешают исходящие соединения для протоколов, необходимых для подключения к вашему VPN-серверу.
- Устройствам NAT требуются редакторы NAT для некоторых протоколов VPN. Часто редакторы NAT отсутствуют или плохо реализованы (например, редактор Linksys PPTP NAT). Кроме того, VPN на основе IPsec страдает от того, что поставщики не обеспечивают соблюдение RFC, например, реализация IPsec на некоторых серверах SonicWall VPN.
- Невозможно гарантировать, что исходная и целевая сети на самом деле имеют разные сетевые идентификаторы, потому что люди склонны использовать одинаковые частные адресные пространства. Если идентификаторы исходной и целевой сетей совпадают, пользователи не могут подключиться к корпоративной сети из-за конфликта подсетей.
- Пользователям необходимо вручную инициировать VPN-подключение. Это создает сложности для пользователей, а также вызывает звонки в службу поддержки, если пользователь считает, что что-то не работает, даже если проблема не в VPN-подключении.
- Поскольку VPN-подключения должны инициироваться пользователями вручную, компьютеры пользователей недоступны для ИТ-отдела, пока пользователь не установит подключение. Это выводит эти отключенные машины из-под административного контроля ИТ-отдела и затрудняет поддержание якобы управляемых устройств в соответствии с корпоративными политиками безопасности и управления.
Учитывая все проблемы, которые у нас были с VPN на сетевом уровне, удивительно, что мы вообще их используем. Фактически, виртуальные частные сети сетевого уровня используются все реже и реже, поскольку вместо них внедряются другие решения для удаленного доступа. Эти другие решения не только проще для пользователей, они на самом деле более безопасны, потому что они помогают обеспечить соблюдение принципа безопасности наименьших привилегий. С минимальными привилегиями пользователи имеют доступ к службам и данным, которые им необходимы для выполнения их работы, но не более того.
Например, рассмотрим следующие технологии:
- Outlook Web Access (OWA): OWA предоставляет пользователям доступ к службам Exchange с помощью подключения через веб-браузер по протоколу HTTPS. Пользователям не требуется доступ на уровне сети для подключения к своей почте и информации календаря.
- Outlook RPC/HTTP. Протокол RPC/HTTP позволяет пользователям пользоваться преимуществами полнофункционального многофункционального клиента Outlook, не требуя полного уровня доступа к сети, обеспечиваемого VPN-подключением сетевого уровня. Связь Outlook RPC/MAPI инкапсулируется в соединение HTTP и шифруется с помощью SSL.
- Шлюз служб терминалов: вместо включения полного доступа на сетевом уровне, чтобы разрешить подключения удаленного рабочего стола к серверу терминалов или операционной системе рабочего стола в корпоративной сети, вы можете воспользоваться преимуществами TSG для инкапсуляции подключений RDP в туннель HTTP, а затем зашифровать их с помощью SSL. Опять же, нет необходимости в полном подключении на сетевом уровне, чтобы предоставить пользователям необходимое подключение к службам терминалов.
Конечно, предоставление доступа к этим службам из Интернета представляет собой очень плохую схему безопасности, поскольку это позволило бы чрезвычайно враждебному Интернету получить неограниченный доступ к серверам переднего плана ваших приложений. Требуется решение для защиты интерфейсных серверов. Двумя наиболее распространенными решениями являются усовершенствованные брандмауэры, которые сочетают в себе наборы функций сети и прокси-брандмауэра, а также шлюзы SSL VPN.
Два хороших решения включают в себя:
- Forefront Threat Management Gateway 2010: Forefront TMG (TMG) представляет собой сочетание прокси-сервера и брандмауэра сетевого уровня с комплексной защитой от нежелательной почты, защитой от веб-вредоносного ПО и расширенными возможностями IDS/IPS. В дополнение к набору функций веб-прокси и брандмауэра сетевого уровня он также предоставляет сложные возможности входящего моста SSL, так что брандмауэр TMG можно использовать для предварительной аутентификации и проверки входящих подключений к внешним интерфейсам вашего сервера приложений. Это значительно снижает риски, связанные с раскрытием интерфейса сервера приложений для злоумышленников в Интернете.
- Intelligent Application Gateway 2007 (IAG) и грядущий Unified Access Gateway (UAG): IAG и UAG — это комплексные решения SSL VPN, которые позволяют защитить интерфейсные серверы приложений от злоумышленников из Интернета. IAG 2007 и UAG предоставляют несколько технологий SSL VPN для защиты удаленного доступа к информации в корпоративной сети. IAG 2007 и UAG усиливают безопасность, обеспечиваемую технологиями брандмауэров, такими как Forefront TMG, путем наложения усовершенствованных фильтров положительной и отрицательной логики, которые блокируют известные плохие соединения и потенциальные атаки нулевого дня, а также вводят параметры проверки подлинности сверх того, что могут другие решения шлюза SSL VPN. предоставлять.
В то время как интерфейсные технологии серверов приложений и шлюзы безопасности, безусловно, помогают снизить риски и сложности по сравнению с традиционными решениями VPN сетевого уровня, определенно кажется, что в этой области еще предстоит проделать большую работу. Вы должны настроить сервер приложений, затем вам нужно настроить сервер переднего плана сервера приложений (который необходимо поместить в DMZ, поскольку это хост с выходом в Интернет), а затем вам нужно настроить брандмауэр или Шлюз SSL VPN перед внешними серверами. Вы должны установить соответствующие элементы управления доступом между всеми зонами безопасности и контролировать все соединения между различными зонами безопасности. Единственная точка отказа в любом месте этой «цепи недоверия» может привести к краху всей системы.
ПОДТВЕРЖДЕНИЕ! Там должен быть лучший способ.
Прямой доступ к спасению
Есть ли лучший способ, зависит от типа клиентских машин, с которыми вы работаете. Для неуправляемых клиентов с неизвестной конфигурацией и состоянием безопасности лучше использовать интерфейсные подключения к серверам приложений, защищенным расширенными брандмауэрами или шлюзами SSL VPN. Невозможно накрасить губы неуправляемой свинье и притвориться, что VPN-соединения на сетевом уровне для этих хостов можно сделать безопасными. Наименьшие привилегии — это самый сильный инструмент в вашем поясе, когда речь идет о неуправляемых хостах, а решения брандмауэра и шлюза — лучшие способы обеспечения наименьших привилегий.
А как насчет управляемых хостов? А как насчет ваших пользователей, у которых есть ноутбуки, предоставленные им вашей компанией? Вы приложили все усилия, чтобы создать безопасную сборку для каждого из этих ноутбуков, и всякий раз, когда пользователи подключаются к корпоративной локальной сети, они получают обновления политики и проверяются на наличие последних обновлений безопасности и приложений, прежде чем им будет разрешен вход в корпоративную сеть, благодаря Microsoft. Защита доступа к сети (NAP).
Проблема в том, что эти пользователи могут никогда не вернуться в корпоративную сеть или, что еще хуже, вообще никогда к ней не подключиться. Вы можете создать новую сборку ноутбука, а затем отправить компьютер пользователю в другом штате, другой стране или на другом континенте. В этот момент компьютер обычно находится вне вашего контроля до тех пор, пока пользователь не вернется в корпоративную локальную сеть, либо придя в штаб-квартиру, посетив филиал, либо, возможно, используя традиционную VPN сетевого уровня. Вы никогда не знали, когда что-то из этого может произойти, и произойдет ли это вообще. Это означает, что ваш тщательно продуманный управляемый ноутбук быстро устареет и полностью выйдет из строя. Что еще хуже, вы даже не будете знать, что происходит, поскольку это не будет полностью доступно вашим решениям System Center по управлению, мониторингу и отчетности.
DirectAccess меняет все это. При наличии клиентов Windows 7 и сервера DirectAccess под управлением Windows Server 2008 R2 клиент Windows 7 автоматически вызывает сервер DirectAccess при запуске компьютера. Клиент использует IPsec для защиты соединения и использует IPv6 для подключения к серверам в корпоративной сети. Поскольку клиенты находятся за устройствами NAT и подключаются к Интернету IPv4, клиенты Windows 7 могут использовать ряд технологий обхода NAT и технологий перехода IPv6, чтобы разрешить подключения к серверу DirectAccess, а затем к серверам в корпоративной сети.
Обратите внимание, что пользователям не нужно входить в систему, чтобы установить соединение DirectAccess. Это означает, что вы можете управлять этими машинами, пока они включены. Соединение DirectAccess является двунаправленным, поэтому вы можете подключаться к этим машинам, проводить их инвентаризацию и применять политики безопасности и управления к этим машинам, как если бы они были подключены к вашей сети.
Когда пользователь входит в систему, устанавливается второе VPN-подключение. Однако, в отличие от обычных PPTP, L2TP/IPsec или SSTP VPN, пользователи автоматически входят в VPN DirectAccess. Пользователям не нужно ставить галочку в флажке; пользователю не нужно нажимать кнопку с надписью «подключиться к корпоративной сети». Пользователю также не нужно беспокоиться о том, что он находится за брандмауэром или прокси-сервером, поскольку единственное требование состоит в том, чтобы брандмауэр или прокси разрешали исходящий доступ HTTPS. Поскольку SSL является «универсальным портом брандмауэра», у пользователей никогда не должно возникнуть проблем с подключением к серверам DirectAccess.
Что теперь? Рассмотрим следующее:
- Пользователи открывают Outlook, и он просто работает, потому что клиентский компьютер имеет подключение на уровне виртуальной сети к компьютерам с поддержкой IPv6 в сети.
- Пользователям не нужно использовать OWA, так как их собственные подключения MAPI к Exchange легко активируются через VPN DirectAccess.
- Когда пользователь получает сообщение электронной почты, содержащее ссылку на файловый сервер или сайт SharePoint в интрасети, пользователь просто щелкает ссылку, и все работает. Вам не нужно думать о публикации этих ресурсов в Интернете и решении проблем с DNS, связанных с переводом интрасети в интернет-имена.
- Компьютеры автоматически оцениваются NAP и исправляются в соответствии с корпоративной политикой. Это происходит всякий раз, когда компьютер запускается и автоматически подключается к DirectAccess VPN. Это означает, что ваши управляемые машины всегда должны соответствовать
Это всего лишь несколько примеров того, что вы получаете при развертывании DirectAccess в своей сети. Понятно, что DirectAccess — это не только очень классное VPN-решение для удаленного доступа, но и то, что в будущем изменит ваш подход к концепции VPN.
Вывод
Помните, здесь мы говорим об управляемых компьютерах. Это компьютеры-члены домена, которые, по вашему мнению, находятся под корпоративным контролем и управлением. Вы должны возлагать гораздо большие надежды на эти машины, чем на неуправляемые машины. Как видите, DirectAccess позволяет реализовать ваши самые высокие ожидания от этих машин, независимо от того, где они расположены. DirectAccess позволяет вам распространить строгое управление доменом и политику безопасности на все компьютеры, находящиеся под вашим управлением, и делать это каждый раз, когда этот компьютер включен, даже если пользователь не входит в систему.
Во второй части этой серии статей я подробно расскажу о DirectAccess и расскажу о требованиях, протоколах и знаниях, которые вам потребуются для работы решения DirectAccess. Есть ряд движущихся частей, но их не так много, как в других решениях (таких как NAP). Вы сможете относительно быстро приступить к работе с DirectAccess. Но вам нужно будет проверить «подводные камни» и другие потенциальные неровности на дороге, которые я буду обсуждать с вами во второй части. Тогда увидимся! -Том.
подпишитесь на нашу рассылку новостей WindowSecurity.com в режиме реального времени