Мастер Forefront Unified Access Gateway DirectAccess. Часть 1. Немного общих сведений о DirectAccess и мастере UAG DirectAccess

Опубликовано: 21 Марта, 2023

Введение

DirectAccess — это популярная новая технология, которая стала возможной благодаря объединению Windows 7 и Windows Server 2008 R2. DirectAccess полностью отличается от VPN или других форм удаленного доступа. Цель DirectAccess — не просто предоставить еще один способ разрешить компьютерам, подключенным к Интернету, доступ к корпоративной сети (например, то, что предоставляют VPN и шлюзы приложений), но и расширить корпоративную сеть до любого места, где может находиться клиент DirectAccess. Ценность этого заключается не только в том, что вы всегда подключены к корпоративной сети, но и в том, что ИТ-отдел всегда подключен к пользователям и их машинам, так что ваша централизованная инфраструктура управления и контроля может иметь доступ ко всем членам домена в любое время, а не только к тем. расположенные за корпоративным брандмауэром или те, которые вошли в корпоративную сеть.

Это большое дело. Одним из основных препятствий для продуктивной работы конечных пользователей является невозможность быстрого и надежного доступа к информации за корпоративным брандмауэром. Конечно, существуют методы, которые годами использовались для решения этой проблемы, такие как традиционные VPN, шлюзы приложений, протокольные шлюзы и SSL VPN, но все они не смогли решить настоящую проблему, с которой столкнулись пользователи. Пользователям нужен простой, автоматический способ получения информации с небольшими накладными расходами, чтобы они могли выполнять свои задачи, потому что именно пользователи зарабатывают деньги компании, выполняя работу. Чем быстрее они делают дела, тем быстрее компания может зарабатывать деньги и (в идеальном мире) каждый получает повышение.

Однако потребности ИТ-отдела иногда кажутся прямо противоположными потребностям пользователей. ИТ-отдел должен иметь возможность контролировать то, что происходит с удаленными клиентами, желательно еще до того, как эти клиенты подключатся к корпоративной сети. Удаленные клиенты часто являются неизвестными объектами. Они имеют переменную конфигурацию безопасности, они могли быть ранее подключены к любому количеству сетей с неизвестным статусом безопасности, а иногда даже пользователи могли быть неизвестны. По этим и другим причинам ИТ-отдел с осторожностью относится к клиентам удаленного доступа, и лучшие ИТ-отделы очень тщательно следят за тем, чтобы к любому хосту, который подключается из-за пределов корпоративного брандмауэра, применялись наименьшие привилегии.

Что, если мы изменим уравнение? Нет, я не говорю о «смерти DMZ» или «брандмауэре мертв», потому что мы знаем, что оба эти утверждения сейчас неверны и никогда не будут правдой. Однако теперь мы можем предоставить решение для удаленного доступа, которое:

  • Требуется двухфакторная аутентификация
  • Использует IPsec для защиты подключения клиентского компьютера к шлюзу удаленного доступа.
  • Может использовать IPsec для защиты подключения клиентского компьютера к конечной точке назначения.
  • Использует идентификацию компьютера и пользователя для установления соединения со шлюзом удаленного доступа.
  • Обеспечивает подключение еще до того, как пользователи войдут в систему, чтобы ИТ-специалисты могли использовать весь свой арсенал средств управления клиентами и безопасности, которые он использует для сетевых узлов, а также контролировать конфигурацию и безопасность любого члена домена, расположенного в любом месте в Интернете.
  • Позволяет вам иметь полный контроль над управляемыми членами домена в любой точке Интернета, не предоставляя пользователям доступ к корпоративной сети.
  • Позволяет предоставить компьютерам-членам домена и пользователям доступ к корпоративным ресурсам так же, как они получают к ним доступ в корпоративной сети.

Если вы похожи на меня, вам будет очень интересно что-то подобное. На самом деле, DirectAccess — это решение для удаленного доступа, которое мы искали для предоставления сотрудникам с тех пор, как в 20 веке был запущен первый туннель PPTP. Это позволяет вашим пользователям работать продуктивно в любое время и в любое время и снимает нагрузку со службы поддержки. Поскольку DirectAccess работает из любого места, это означает, что больше не будет звонков из отеля о том, что VPN не работает.

Компоненты топологии удаленного доступа Forefront UAG DirectAccess

Решение DirectAccess состоит из нескольких компонентов. Однако преимуществом DirectAccess является то, что компоненты — это те, с которыми вы уже знакомы (по большей части). Это включает:

  • Технологии перехода IPv6 и IPv6
  • DNS-серверы
  • Веб-серверы
  • IPsec и правила безопасности подключения
  • Правила брандмауэра Windows
  • Active Directory и групповая политика
  • Сертификаты

IPv6 и технологии перехода IPv6

Хорошо, я знаю, что многие из вас не очень хорошо знакомы с технологиями перехода IPv6 или IPv6. Вы, конечно, знаете, что это такое, но, возможно, вы никогда не работали с ним. Организации не спешили внедрять новое поколение интернет-протокола. Что ж, вот и хорошая новость: хотя это основа решения DirectAccess, если вы используете Forefront UAG в качестве сервера DirectAccess, вам не нужно ничего знать о технологиях перехода IPv6 или IPv6. С UAG вы просто настраиваете сервер или массив UAG, и он просто работает.

DNS-серверы

Любой ИТ-специалист, достойный своей зарплаты, знает о DNS-серверах и о том, как их устанавливать и настраивать. DirectAccess использует DNS, чтобы решить, какие соединения должны проходить через туннели IPsec DirectAccess, а какие — напрямую в Интернет. Кроме того, DNS используется для регистрации IPv6-адресов клиентов и серверов DirectAccess. Однако помните, что вам не нужно ничего знать об IPv6; вам просто нужны DNS-серверы, которые могут принимать динамические регистрации записей IPv6 DNS AAAA. Это происходит автоматически в Windows Vista и более поздних версиях, а также в Windows Server 2008 и более поздних версиях.

Веб-серверы

DirectAccess использует нечто, называемое «сервером сетевого расположения» или NLS. NLS используется клиентом DirectAccess, чтобы определить, находится ли клиент DirectAccess в корпоративной сети или в Интернете. Если клиент DirectAccess может подключиться к NLS, он знает, что находится в корпоративной сети, и отключает конфигурацию клиента DirectAccess. Если NLS недоступен, то клиент DirectAccess предполагает, что он не находится в корпоративной сети, поэтому он включает свою конфигурацию клиента DirectAccess и пытается установить туннели IPsec к серверу DirectAccess через Интернет.

IPsec и правила безопасности подключения

Хорошо, вот еще один, о котором вы, возможно, многого не знаете. Некоторые люди говорят, что защита доступа к сети не взлетела, потому что люди не понимали политики IPsec и правила безопасности подключения, которые используются для управления решением NAP. Это может быть правдой, а может быть и неправдой, но это не имеет большого значения. С DirectAccess, хотя IPsec и правила безопасности подключения используются для управления соединениями между клиентом DirectAccess и сервером DirectAccess, а также, при необходимости, между клиентом DirectAccess и целевым сервером, радует то, что сервер UAG DirectAccess делает всю эту работу за вас.

Вы устанавливаете то, что вам нужно в мастере UAG DirectAccess, и политики IPsec и правила безопасности подключения настраиваются для вас. Если вы хотите понять, как они работают, прекрасно. Но вам не нужно быть экспертом по IPsec, чтобы получить работающее и высокофункциональное решение DirectAccess уже сегодня.

Правила брандмауэра Windows

Вероятно, многим из вас приходилось работать с брандмауэром Windows в режиме повышенной безопасности или WFAS. WFAS — это отличное готовое решение для брандмауэра, доступное в Windows Vista и более поздних версиях, а также в Windows Server 2008 и более поздних версиях. Вы можете создавать очень детализированные политики и привязывать аутентификацию к правилам брандмауэра.

Еще лучше то, что вы можете использовать оснастку WFAS для групповой политики и автоматически развертывать правила WFAS для групп компьютеров. DirectAccess использует WFAS для включения необходимых протоколов между клиентом и серверами DirectAccess. Но что, если вы ничего не знаете о правилах брандмауэра или WFAS? Без проблем. Мастер Forefront UAG DirectAccess создает эти правила, создает объекты GPO и параметры GPO, а затем автоматически развертывает эти параметры для вас. Это не становится намного проще, чем это.

Active Directory и групповая политика

Вы знаете все об Active Directory и групповой политике, не так ли? Вы работали с ними со времен Windows 2000 Server. DirectAccess использует преимущества Active Directory для проверки подлинности и использует групповую политику для внесения всех необходимых изменений в конфигурацию, которые требуются для клиентов и серверов DirectAccess. Даже если вы немного слабы в работе с Active Directory и объектами групповой политики, вам не о чем беспокоиться. Мастер Forefront UAG DirectAccess создаст объекты групповой политики, свяжет их и создаст параметры объекта групповой политики для развертывания на клиентах. Вам не нужно быть мастером Active Directory или профессионалом GPO, чтобы получить решение Forefront UAG DirectAccess, работающее прямо сейчас.

Сертификаты

Сертификаты, сертификаты, сертификаты! Они повсюду! Большинству из вас так или иначе приходилось иметь дело с цифровыми сертификатами. Иногда проблемы с сертификатами были легкими, а иногда они были настолько сложными, что в конечном итоге вы выдергивали оставшиеся волосы, чтобы понять проблему. Решение Forefront UAG DirectAccess использует преимущества сертификатов. Вам потребуются сертификаты компьютеров, установленные на всех клиентах DirectAccess, чтобы они могли создавать соединения IPsec с сервером DirectAccess (используемые как для аутентификации, так и для шифрования), и вам потребуются сертификаты веб-сайтов для NLS, о которых мы говорили ранее, а также сертификат веб-сайта для прослушивателя IP-HTTPS на сервере UAG DirectAccess (IP-HTTPS — это технология перехода IPv6, которая позволяет клиенту DirectAccess туннелировать сообщения IPv6 по сети IPv4; ключ в том, что он инкапсулирует сообщения в защищенный протокол SSL). заголовок HTTP, чтобы он мог проходить через брандмауэры и веб-прокси, которые ограничивают доступ только HTTP и HTTPS).

Вам нужно будет уметь работать с сертификатами, чтобы DirectAccess работал. Однако вам не нужно будет копаться в недрах PowerShell или выполнять какие-то тайные сценарии, чтобы заставить его работать. Для сертификатов компьютеров требуется всего пара щелчков мышью в редакторе групповой политики, а для сертификата веб-сайта — несколько щелчков мыши в MMC «Сертификаты». Сертификат IP-HTTPS следует приобрести у поставщика коммерческих сертификатов. Бам! Это почти так же просто, как мастер UAG DirectAccess.

Вывод

DirectAccess — это то, чего вы хотели последние 20 лет, даже если не знали об этом. Вы хотели этого для себя, и вы хотели этого для своих пользователей. DirectAccess — это безопасный способ подключения пользователей и компьютеров вашего домена к сети, чтобы они могли получать то, что им нужно, когда им это нужно, из любого места, где бы они ни находились, без необходимости прыгать через обручи, снижающие производительность. DirectAccess также предоставляет ИТ-отделу все необходимое для обеспечения шифрования, аутентификации и безопасности соединений. Теперь ИТ-специалисты могут расширить свое влияние на всех пользователей и компьютеры домена практически в любое время и в любое время, чтобы компьютеры вне сети оставались в рамках требований по настройке и безопасности. Это означает, что теперь удаленные компьютеры представляют профили угроз, которые мало чем отличаются от профилей любых других компьютеров, перемещающихся в корпоративной сети и за ее пределами.

Однако какой бы замечательной ни была технология и какую бы ценность она ни принесла организации, если ее слишком сложно настроить и поддерживать, она не стоит затраченных усилий. Мы видели, как это произошло с другими «прорывами» Microsoft, такими как NAP и изоляция серверов и доменов — двумя замечательными технологиями, которые должны были изменить мир, но так и не достигли большого успеха. Хорошей новостью о DirectAccess является то, что уровень сложности, хотя он и существует, намного ниже, чем некоторые могут подумать. На самом деле, есть большая вероятность, что вы уже знаете почти обо всех технологиях, используемых в решении DirectAccess, и вы можете быстро взять то, что вы знаете сейчас, и заставить его работать прямо из коробки. Вам не придется копаться в PowerShell (если вы этого не хотите), вам не придется писать собственные сценарии (если вы этого не хотите) и вам не придется изучать массу новых технологий, прежде чем вы сможете начать. Соотношение затрат и выгод для DirectAccess намного лучше, чем у любой другой «важной» технологии, с которой вы когда-либо работали.

Во второй части этой статьи я покажу вам мастер UAG DirectAccess и более подробно расскажу о том, почему вы хотите использовать UAG в качестве серверного решения DirectAccess. Я обещаю, что как только вы почувствуете вкус DirectAccess, вам больше никогда не захочется разворачивать VPN-подключение или подключаться к старому порталу SSL VPN. Тогда увидимся! – Деб.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023