Полное руководство по UAG DirectAccess (часть 1)

Опубликовано: 21 Марта, 2023

  • Полное руководство по UAG DirectAccess (часть 4) — Требования к инфраструктуреПолное руководство по UAG DirectAccess (часть 5) — Требования к инфраструктуре (продолжение)

Введение

DirectAccess — это новая технология удаленного доступа, поддерживаемая Windows 7 и Window

s Server 2008 R2, который позволяет пользователям постоянно подключаться к корпоративной сети. С точки зрения пользователя работа с компьютером одинакова независимо от его местоположения. Пользователи могут перемещаться из корпоративной сети в интернет-кафе, в гостиничный номер, в конференц-центр и даже в самолет, который предлагает подключение к Wi-Fi. Пока эти пользователи подключены к Интернету, они смогут получить доступ к ресурсам в корпоративной сети, как если бы они были напрямую подключены к ней через соединение Ethernet или беспроводную связь 802.11.

Постоянный аспект DirectAccess на первый взгляд может показаться наиболее привлекательным компонентом решения. Пользователям никогда не нужно запускать VPN-соединение; им не нужно запоминать URL-адрес шлюза SSL VPN (даже если этот шлюз SSL VPN является сервером UAG). На самом деле им не нужно ничего делать — они просто щелкают ссылки в своей электронной почте или на своем рабочем столе или вводят имена серверов, которые они всегда используют, а затем просто подключаются. Было бы трудно возразить против идеи, что эта бесшовная связь должна привести к повышению производительности.

Однако DirectAccess может предложить даже больше, чем прозрачное подключение для ваших пользователей. Преимущества идут в обе стороны. Поскольку соединение DirectAccess является двунаправленным, вы — сетевой администратор — всегда будете иметь возможность подключаться к клиентам DirectAccess через Интернет. Всякий раз, когда клиентский компьютер DirectAccess включен, вы можете подключаться и управлять клиентами DirectAccess. Вашим пользователям даже не нужно входить в систему, чтобы вы могли подключаться к клиентам DirectAccess из вашей корпоративной сети. Это означает, что инфраструктура управления, которую вы сейчас используете для контроля и настройки узлов в корпоративной сети, всегда будет доступна для управления компьютерами, подключенными через DirectAccess.

На самом деле, из моей работы с рядом корпоративных администраторов следует, что эта возможность «управлять» (управлять клиентами DirectAccess) даже более привлекательна, чем прозрачное подключение пользователей к ресурсам в корпоративной сети. Эти корпоративные администраторы считают интересным постоянное подключение к корпоративной сети, но их действительно вдохновляет мысль о том, что они всегда смогут управлять клиентами DirectAccess. Это представляется реальной проблемой для многих предприятий; сотрудникам выдаются корпоративные ноутбуки, после чего пользователи не возвращаются в корпоративную сеть неделями, месяцами, годами, а иногда и никогда больше. Иногда они могут подключаться через VPN-подключение. Но результатом всегда является то, что эти машины медленно, но верно перестают соответствовать политикам обновлений компании и становятся все более уязвимыми для вредоносных программ и других типов компрометации. Через некоторое время возникают даже проблемы со стабильностью системы, что в конечном итоге приводит к снижению производительности сотрудников и стоит вашей организации денег в виде звонков в службу поддержки и других административных расходов. Если DirectAccess может предотвратить все это, он действительно творит чудеса.

Как работает DirectAccess

DirectAccess предлагает ряд технологий, являющихся частью платформ Windows 7 и Windows Server 2008 R2. Некоторые из этих технологий являются новыми, а некоторые из них вы используете уже давно. Однако независимо от того, работаете ли вы со старыми или новыми технологиями, ни одна из них не должна быть чрезмерно сложной. Важно помнить об этом, потому что вы, возможно, читали в других местах, что DirectAccess не стоит затраченных усилий из-за связанного с ним уровня сложности.

Такое восприятие может быть связано с тем, что до выпуска UAG 2010 единственным способом развертывания DirectAccess было использование встроенного решения Windows DirectAccess. Хотя решение Windows DirectAccess действительно работает, оно имеет много ограничений по сравнению с решением UAG DirectAccess:

  • Windows DirectAccess имеет ограниченную поддержку высокой доступности, и рекомендуемый механизм включает использование отказоустойчивого кластера Hyper-V и Windows для обеспечения холодного резерва. Балансировка сетевой нагрузки не поддерживается.
  • Window DirectAccess не поддерживает массивы DirectAccess. Если вы хотите настроить несколько серверов Windows DirectAccess, вам необходимо настроить их и управлять ими по отдельности. Напротив, серверы UAG DirectAccess могут быть сконфигурированы в виде массивов до 8.
  • Серверы Windows DirectAccess не поддерживают только серверы IPv4. Клиенты DirectAccess в Интернете не смогут подключаться только к серверам IPv4. Это означает, что если вы хотите использовать решение Windows DirectAccess, вам необходимо обновить серверы до Windows Server 2008 или более поздней версии. Напротив, решение UAG DirectAccess полностью поддерживает только IPv4-серверы в корпоративной сети.

Если вы планируете развернуть DirectAccess в своей корпоративной сети, лучший способ сделать это — использовать решение UAG DirectAccess.

Подключение клиента DirectAccess

IPv6 является ядром решения DirectAccess, и это одна из причин, по которой многие администраторы считают, что они не могут развернуть его в настоящее время. IPv6 потенциально может быть сложным, и с сокращением вашей ИТ-группы и бюджета у вас может не хватить времени на изучение совершенно нового сетевого протокола. Хорошая новость заключается в том, что с UAG вам не нужно становиться гением IPv6, чтобы заставить DirectAccess работать на вас и вашу компанию, потому что решение UAG DirectAccess автоматически развертывает инфраструктуру IPv6, необходимую для начала работы.

Когда клиент DirectAccess находится в Интернете, он попытается установить два туннеля IPsec к серверу UAG DirectAccess. Эти туннели используют туннельный режим IPsec и протокол Encapsulating Security Payload (ESP) с 192-битным шифрованием AES для обеспечения конфиденциальности в Интернете.

Два типа туннелей:

  • Инфраструктурный туннель. Инфраструктурный туннель запускается при запуске компьютера, но до входа пользователя в систему. Компьютер DirectAccess всегда является членом домена, и учетная запись компьютера используется для входа в систему с использованием сертификата компьютера и проверки подлинности NTLMv2. Кроме того, компьютер должен принадлежать к группе безопасности, предназначенной для клиентских компьютеров DirectAccess. Этот туннель является двунаправленным, и агенты управления на клиенте могут обращаться к серверам управления в корпоративной сети. Ваши серверы управления ИТ могут инициировать подключения к клиентам DirectAccess, пока инфраструктурный туннель работает. Клиенты DirectAccess могут подключаться через инфраструктурный туннель только к указанным вами серверам. Этот туннель не позволяет открыть доступ ко всей корпоративной сети.
  • Туннель интрасети: Туннель интрасети устанавливается после входа пользователя в систему. Этот туннель также зашифрован с использованием ESP и AES 192. Аутентификация в туннеле выполняется с использованием сертификата компьютера (аналогично тому, который используется в инфраструктурном туннеле) и аутентификации Kerberos для учетной записи пользователя. Туннель интрасети позволяет пользователю получить доступ к любому ресурсу в корпоративной сети, для которого этот пользователь авторизован.

Существует две модели доступа, которые можно использовать при разрешении клиентам DirectAccess подключаться к корпоративной сети. Вы всегда должны включать сквозное развертывание, но модель сквозного развертывания не является обязательной. Рассмотрим подробнее обе модели:

  • End to Edge: при использовании модели подключения «end to edge» клиенты DirectAccess устанавливают аутентифицированную ссылку в режиме туннеля IPsec на сервер UAG DirectAccess. После разрыва соединения IPsec на сервере DirectAccess трафик, перемещающийся с сервера DirectAccess на серверы в корпоративной сети, остается открытым, не аутентифицируется и не шифруется на сетевом уровне.
  • End to End: сквозная модель сетевой безопасности позволяет защищать подключения с помощью IPsec от начала до конца. Соединение между клиентом и сервером DirectAccess шифруется и аутентифицируется с использованием туннельного режима IPsec. После того как трафик покидает сервер DirectAccess и направляется на сервер в корпоративной сети, это соединение передается по корпоративной сети с использованием транспортного режима IPsec. Однако настройка по умолчанию предназначена только для аутентификации конечной точки; соединение в транспортном режиме не шифруется, поэтому сетевые IDS и другие средства безопасности могут оценивать соединения по сети. Это также снижает некоторые накладные расходы на обработку, связанные с подключением IPsec.

В дополнение к сертификату компьютера, учетной записи компьютера (NTLMv2) и проверке подлинности учетной записи пользователя, используемой при создании туннелей DirectAccess, у вас также есть возможность заставить пользователей использовать проверку подлинности с помощью смарт-карты для установки туннеля интрасети, тем самым дополнительно повышая общую безопасность сети. решение. А если проверка подлинности с помощью смарт-карты недостаточно безопасна для ваших целей, вы можете принудительно применить обнаружение конечных точек и принудительное применение на клиенте DirectAccess с помощью NAP, чтобы несоответствующие компьютеры помещались в карантин и исправлялись, прежде чем разрешить создание инфраструктуры и туннелей интрасети.

Важно отметить, что подключение End-to-Edge поддерживает все сети, поэтому вам не нужно иметь какие-либо хосты с поддержкой IPv6 в корпоративной сети для поддержки сценариев End-to-Edge. Однако, если вы хотите развернуть сквозную защиту с туннелем IPsec и транспортным режимом, для этого необходимо иметь серверы Windows Server 2008 или более поздней версии за сервером DirectAccess. Кроме того, вы можете комбинировать модели подключения End-to-Edge и End-to-End; они не исключают друг друга.

Весь трафик, перемещающийся между клиентом и сервером DirectAccess, является трафиком IPv6. Так будет всегда. Следствием этого является то, что, хотя ваши серверы за UAG DirectAccess не обязательно должны поддерживать IPv6, клиентское приложение всегда должно поддерживать IPv6. По этой причине вы должны удостовериться, что вы квалифицируете свои клиентские приложения, чтобы убедиться, что они совместимы с IPv6, прежде чем полностью развернуть развертывание DirectAccess.

Примечание:
 Вы могли заметить, что такие термины, как «поддержка IPv6» и «поддержка IPv6», «только IPv6» и «собственный IPv6», использовались, но не были определены. Это то, с чем вы столкнетесь в общедоступной документации DirectAccess, и это может несколько сбить с толку тех, кто плохо знаком с пространством IPv6. Когда речь идет о «собственных» сетях IPv6, подразумевается, что вся сетевая инфраструктура (маршрутизаторы, DNS, DHCP и т. д.), а также все клиенты и серверы используют полномасштабное развертывание IPv6. Напротив, развертывание с поддержкой IPv6 не использует IPv6 от начала до конца, но клиентские и серверные приложения могут использовать преимущества технологий перехода IPv6 для работы в сетях IPv4. В сети с поддержкой IPv6 есть хосты, которые поддерживают протокол автоматической туннельной адресации внутри сайта (ISATAP), поэтому сообщения IPv6 могут отправляться по сети IPv6. Когда вы устанавливаете UAG в качестве сервера DirectAccess, он настраивается как маршрутизатор ISATAP, чтобы сообщения IPv6 можно было туннелировать в заголовке IPv4 через вашу сеть IPv4, поэтому вам не потребуется обновлять маршрутизаторы и коммутаторы, а также DNS и DHCP. серверы для работы с подключением IPv6.

Резюме

В этой статье, первой части нашего полного руководства по UAG DirectAccess, состоящего из нескольких частей, я представил общий обзор того, что делает DirectAccess и как он может быть полезен как вам как администратору, так и вашим пользователям. Мы видели, как DirectAccess устанавливает два туннеля, интранет и туннель инфраструктуры. Кроме того, мы увидели, что существует два режима развертывания: сквозное и сквозное. В следующей части этой серии мы рассмотрим некоторые детали технологий перехода IPv6, используемых UAG DirectAccess.

  • Полное руководство по UAG DirectAccess (часть 4) — требования к инфраструктуре
  • Полное руководство по UAG DirectAccess (часть 5) — требования к инфраструктуре (продолжение)
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023