Понимание предложений безопасного удаленного доступа Microsoft
Введение
Удаленный доступ — горячая тема. Горячо, потому что должно быть жарко. Существует множество драйверов для удаленного доступа, но основная проблема заключается в том, что людям нужен доступ к информации из любого места, в любое время и с любого устройства. Устаревшее представление о доступе на основе конкретного устройства или местоположения исчезло. Особенно в корпоративных сценариях люди ожидают получить необходимую им бизнес-аналитику, когда она им нужна, и иметь возможность использовать ноутбук, настольный компьютер, киоск, смартфон или даже MP3-плеер для доступа к этой информации. ИТ должен быть стимулом.
Корпорация Майкрософт соответствует этому видению доступа в любом месте и в любое время и предлагает ряд технологий, которые можно использовать для обеспечения безопасного удаленного доступа. Обратите внимание, что я ввел термин «безопасный». Включение удаленного доступа технически не сложно. Любое простое устройство NAT или маршрутизатор может обеспечить удаленный доступ к бизнес-приложениям и службам. Хитрость заключается в том, чтобы включить безопасный удаленный доступ, чтобы вы не подвергали риску свои данные, свои серверы и, возможно, свою работу.
По моим подсчетам, вот ключевые технологии Microsoft, доступные вам сегодня, которые обеспечивают безопасный удаленный доступ в вашу организацию:
- Службы VPN для маршрутизации и удаленного доступа Windows Server 2008 NPS
- Шлюз служб терминалов Windows Server 2008
- Microsoft ISA 2006 и Forefront Threat Management Gateway (TMG)
- Intelligent Application Gateway 2007 и Unified Access Gateway (UAG)
Службы VPN удаленного доступа Windows Server 2008 NPS
Серверы Windows включали компонент VPN-сервера, начиная с Windows NT. Начиная с Windows NT, у вас всегда был доступен протокол туннелирования точка-точка для VPN (PPTP). Проблема с PPTP сегодня заключается в том, что большинство экспертов по безопасности считают его устаревшим VPN-протоколом, и его не следует использовать в производственных сетях из-за некоторых недостатков безопасности, присущих протоколу. Хотя существуют способы повысить уровень безопасности PPTP (например, использование двухфакторной аутентификации для входа в систему), PPTP, как правило, представляет интерес только для исторических целей.
В Windows 2000 Server появился протокол L2TP/IPsec VPN. Это большое достижение для Windows, поскольку туннель IPsec, используемый для защиты информации, создается до передачи учетных данных. L2TP используется для создания виртуальной сети, а IPsec используется для обеспечения конфиденциальности этого виртуального сетевого подключения. Еще одним важным преимуществом L2TP/IPsec является то, что благодаря использованию IPsec может выполняться аутентификация как пользователя, так и машины. Windows 2000 Server также расширил доступные схемы аутентификации пользователей, включив более продвинутые методы аутентификации EAP, чтобы для аутентификации пользователей можно было использовать сертификаты и смарт-карты.
Windows Server 2008 расширил возможности VPN, добавив протокол безопасного туннелирования сокетов (SSTP). SSTP — это, по сути, PPP через SSL. Большим преимуществом этого протокола является то, что он работает по протоколу SSL, а практически любой брандмауэр или прокси разрешает исходящий SSL. Вот так. SSTP будет работать, когда клиент находится за брандмауэром или прокси-сервером (и даже за брандмауэрами на основе прокси, такими как брандмауэр ISA или TMG). SSTP входит в состав службы маршрутизации и удаленного доступа Windows Server 2008 NPS и может использовать все те же протоколы проверки подлинности пользователей, что и L2TP/IPsec. Единственным недостатком SSTP в настоящее время является то, что вы должны быть очень осторожны с некоторыми шагами настройки и порядком их выполнения, иначе управление может быть очень сложным. При этом SSTP остается огромным бумом для администраторов Windows VPN.
Службы терминалов Windows Server
Как и решения VPN для маршрутизации и удаленного доступа, доступные для нескольких последних версий Windows Server, Windows Server также включает компонент служб терминалов. Хотя он не был включен в RTM-версию Windows NT, он был доступен позже в цикле продукта NT. Затем службы терминалов были включены в операционную систему с выпуском Windows Server 2000. В Windows Server 2003 были внесены некоторые улучшения в службы терминалов, но только в Windows Server 2008 мы увидели серьезные улучшения.
В Windows Server 2008 и в готовящейся к выпуску Windows Server 2008 R2 у вас есть значительные улучшения в предложениях служб терминалов. По-прежнему включен базовый сервер терминалов, который позволяет пользователям подключаться к серверу терминалов с использованием протокола RDP. Тем не менее, я должен упомянуть, что протокол RDP был значительно улучшен. Но не только улучшения в протоколе RDP делают службы терминалов Windows Server 2008 такими привлекательными. На самом деле это набор из нескольких улучшений. Это включает:
- Веб-доступ к службам терминалов
- Шлюз служб терминалов
- Служба терминалов RemoteApp
В то время как в предыдущих версиях Windows Server была функция веб-доступа к службам терминалов, в Windows Server 2008 эта функция значительно улучшена, поскольку она интегрирует другие новые функции служб терминалов Windows Server 2008 в веб-сайт. Кроме того, доступ к компьютерам и приложениям через веб-сайт служб терминалов теперь можно контролировать с помощью правил доступа на основе политик.
Шлюз служб терминалов (TSG) обеспечивает доступ к службам терминалов на основе политик из любой точки мира. Проблема с удаленным доступом к службам терминалов в прошлом заключалась в том, что многие брандмауэры не разрешали исходящий доступ к порту RDP по умолчанию, то есть TCP 3389. И, конечно же, поскольку прокси-серверы обычно обрабатывают только протоколы HTTP, клиенты служб терминалов не могли получить доступ к терминалу. услуги через Интернет, когда клиенты находились за веб-прокси. TSG решает эту проблему, позволяя клиенту служб терминалов туннелировать RDP внутри RPC, который затем туннелируется внутри HTTP и защищается с помощью SSL, таким образом, требуя, чтобы к TSG было разрешено только исходящее SSL-соединение. После того как клиент подключается к TSG, правила доступа на основе политик позволяют вам контролировать, к каким терминальным серверам или приложениям может подключаться пользователь.
Вы заметили, что я сказал терминальные серверы или приложения? Вот так. С новым терминальным сервером Windows Server 2008 у вас есть возможность публиковать терминальные серверы и/или приложения. Службы терминалов RemoteApp позволяют публиковать приложения через службы терминалов. Поэтому, если вы хотите, чтобы ваши пользователи имели доступ к Word и PowerPoint, вы можете опубликовать эти приложения через шлюз служб терминалов, и пользователям будут представлены только приложения, а не весь рабочий стол. Это большой плюс для безопасности, поскольку он реализует принцип наименьших привилегий — предоставление пользователям доступа только к тому, что им нужно, то есть к приложениям, а не ко всему рабочему столу, который им не нужен. И этот доступ осуществляется через TSG, что обеспечивает надежный доступ к этим приложениям на основе политик.
Internet Security and Acceleration Server 2006 и Forefront Threat Management Gateway (TMG)
Теперь мы отойдем от служб платформы, включенных в Windows Server, и рассмотрим некоторые из приложений сетевой безопасности, которые Microsoft может предложить для безопасного удаленного доступа. Microsoft предприняла первую попытку создать устройство сетевой безопасности, когда представила свой продукт Proxy Server во второй половине 1990-х годов. Кульминацией этого стал их первый зрелый продукт Proxy Server 2.0. Хотя Proxy Server 2.0 был прекрасным прокси-сервером, он не был разработан как пограничное устройство сетевой безопасности для обеспечения безопасного удаленного доступа.
Microsoft предприняла попытку безопасного удаленного доступа для устройства безопасности на границе сети, представив Microsoft Internet Security and Acceleration Server (ISA) 2000 в конце 2000 года. Этот продукт представлял собой многофункциональное устройство, обеспечивающее безопасный исходящий доступ, безопасный сервер публикация и безопасная веб-публикация. Кроме того, в ISA 2000 была реализована мощная поддержка пользователей VPN с удаленным доступом, а также VPN типа «сеть-сеть». Кроме того, ISA 2000 был разработан как пограничный сетевой брандмауэр, так что вам больше не нужно было размещать брандмауэр на основе маршрутизатора (брандмауэр уровня 3) перед брандмауэром ISA 2000.
Однако брандмауэр ISA 2000 был построен на основе модели угроз, существовавшей в 1990-х годах, но утратившей актуальность в 21 веке. Другими словами, в 1990-х годах популярная модель угроз заключалась в том, что всему, что находится за пределами брандмауэра, нельзя доверять, а всему, что находится внутри брандмауэра, доверяют. Поскольку это уже не соответствует действительности, была выпущена следующая версия брандмауэра ISA, брандмауэр ISA 2004, построенная на модели угроз, которая предполагала, что ни одной сети нельзя доверять и что необходимо применять строгую проверку пакетов с отслеживанием состояния и проверку уровня приложений. ко всем соединениям, идущим к и через брандмауэр ISA.
В ISA 2004 значительно улучшена безопасность удаленного доступа. Для веб-публикации (обратный веб-прокси) был введен фильтр безопасности HTTP для защиты от атак на веб-сайт. Был добавлен или улучшен ряд фильтров приложений для защиты от эксплойтов, сделанных для SMTP, DNS и других серверов приложений. И самое главное, компоненты удаленного доступа и VPN-сервера типа «сеть-сеть» теперь позволяют вам создавать надежные средства управления доступом на основе пользователей/групп и применять ту же проверку пакетов с отслеживанием состояния и на уровне приложений, которая выполнялась для всех других подключений к брандмауэру ISA или через него..
Брандмауэр ISA 2004 был первым брандмауэром Microsoft, о котором можно было сказать, что он является корпоративным брандмауэром пограничной сети, наравне с Check Point, ASA и Netscreen.
ISA 2006 был выпущен двумя годами позже и включал все функции безопасности удаленного доступа, включенные в брандмауэр ISA 2004. Он включает несколько улучшений для безопасности удаленного доступа, таких как:
- Поддержка ограниченного делегирования Kerberos (KCD), позволяющая публиковать веб-сайты, требующие от пользователей двухфакторной аутентификации на основе сертификатов в брандмауэре.
- Несколько улучшений функции проверки подлинности на основе форм, чтобы пользователи могли использовать гибкую форму для проверки подлинности в брандмауэре, прежде чем им будет разрешен доступ к опубликованному веб-сайту.
- Расширенная поддержка ряда новых методов двухфакторной аутентификации, таких как одноразовые пароли RADIUS.
- Аутентификация сервера LDAP для опубликованных веб-сайтов, чтобы можно было использовать репозитории Active Directory, когда брандмауэр не был членом домена.
- Балансировка нагрузки веб-фермы, которая позволила администраторам ISA 2006 избежать высоких затрат на внешние аппаратные балансировщики нагрузки и публиковать фермы веб-серверов за брандмауэром ISA.
ISA 2006 также можно настроить для обеспечения безопасного удаленного доступа ко всем предложениям служб терминалов Windows Server 2008, обеспечивая еще один уровень защиты для удаленного доступа к службам терминалов.
Шлюз управления угрозами Forefront (TMG) — это следующая версия брандмауэра ISA. TMG включает в себя все технологии безопасного удаленного доступа, включенные в предыдущие версии брандмауэра, но повышает уровень безопасности исходящего доступа, добавляя защиту от вредоносных программ и уникальную мощную IDS. Кроме того, для TMG предусмотрена стандартная фильтрация веб-контента, чего администраторы брандмауэра ISA давно хотели.
Интеллектуальный шлюз приложений 2007 и UAG
Intelligent Application Gateway 2007 (IAG 2007) предназначен для организаций, которым требуется высочайший уровень безопасности для подключений удаленного доступа. В отличие от брандмауэра ISA или TMG, шлюз IAG 2007 SSL VPN является устройством с одной целью: шлюз удаленного доступа для входящих подключений к сетевым службам. В то время как брандмауэры ISA и TMG могут обеспечить такой же или более высокий уровень безопасности для входящих подключений к сетевым службам, как и любой другой брандмауэр, представленный сегодня на рынке, IAG 2007 обеспечивает максимально возможный уровень безопасности для входящих подключений к веб-сервисам и другим службам.
IAG включает ряд программных модулей, известных как оптимизаторы приложений, которые обеспечивают очень высокий уровень защиты удаленного доступа к веб-службам. Оптимизаторы приложений позволяют IAG выполнять глубокую проверку публикуемых веб-сервисов на уровне приложений. Глубокая проверка прикладного уровня IAG использует как положительную, так и отрицательную логическую фильтрацию. Фильтрация с положительной логикой позволяет IAG разрешать только заведомо хорошие соединения с опубликованной веб-службой, в то время как фильтры с отрицательной логикой блокируют заведомо плохие соединения.
Шлюз IAG 2007 SSL VPN поддерживает четыре типа подключения. Это включает:
- Обратный веб-прокси. IAG может выступать в качестве обратного веб-прокси с высоким уровнем безопасности, используя интеллект приложений для удаленного подключения к веб-службам.
- Портовый экспедитор. Для удаленного доступа к невеб-приложениям, которым требуются простые протоколы с использованием одного порта, переадресация портов IAG позволяет клиентам подключаться к сетевым приложениям через туннель SSL VPN с помощью переадресации портов.
- Переадресатор сокетов. Для удаленного доступа к более сложным приложениям, требующим нескольких основных или дополнительных подключений (например, Outlook MAPI/RPC), клиенты удаленного доступа могут использовать пересылку сокетов IAG. Все протоколы, передаваемые через пересылку сокетов, также защищены SSL.
- Сетевой разъем. Сетевой коннектор обеспечивает полный доступ к VPN сетевого уровня через соединение SSL VPN. Это полезно для администраторов, которым требуется свободный удаленный доступ к сети.
В дополнение к функциям шлюза SSL VPN, IAG 2007 также обеспечивает удаленный доступ клиента VPN по протоколам PPTP и L2TP/IPsec. Это позволяет вам использовать IAG 2007 в качестве централизованного шлюза удаленного доступа, не разделяя управление и мониторинг подключений удаленного доступа к вашей сети между несколькими устройствами или типами устройств.
Следующая версия IAG, известная как Unified Access Gateway, будет по-прежнему опираться на мощную интеллектуальную систему прикладного уровня, включенную в IAG, и в нее будут добавлены дополнительные параметры безопасного удаленного доступа. Наиболее интересным из них является поддержка нового варианта удаленного подключения Microsoft Direct Access, который позволит пользователям, находящимся в любой точке мира, прозрачно подключаться к корпоративной сети, включая подключение к домену.
Основным препятствием на пути к успеху Direct Access является его зависимость от IPv6. Хотя у IPv6 есть преимущества, архитектура большинства сетей не рассчитана на поддержку IPv6, поскольку для перехода на IPv6 нет веских экономических обоснований. Кроме того, не все понимают IPv6, что делает его опасным для использования в сетях, поскольку он генерирует трафик, который не понимает большинство сетевых администраторов.
Чтобы смягчить проблемы с подключением и безопасностью, связанные с прямым доступом и IPv6, UAG будет использовать NAT-PT (преобразование сетевых адресов — преобразование протокола). NAT-PT позволяет узлам и приложениям собственного IPv6 взаимодействовать с узлами и приложениями собственного IPv4 и наоборот. Эта функция значительно упростит и сделает более безопасным внедрение решения прямого доступа для завтрашних сетей Windows 7 и Windows Server 2008 R2.
Резюме
В этой статье мы рассмотрели варианты безопасного удаленного доступа, доступные в настоящее время для сетей Microsoft. Некоторые из этих параметров были доступны в ранних версиях Windows NT, а некоторые будут недоступны, пока вы не внедрите Windows 7 и Windows Server 2008 R2. Каждый из них имеет свои преимущества и недостатки, и каждый из них обеспечивает разный уровень безопасности, для разных типов удаленного доступа. Надеемся, что после прочтения этой статьи у вас будет лучшее представление о доступных вам вариантах удаленного доступа, и вы сможете выбрать тот, который лучше всего соответствует вашим потребностям, чтобы затем искать дополнительную информацию об этом. (те) решения.