Смерть VPN

Опубликовано: 9 Апреля, 2023


Виртуальная частная сеть (VPN) была захватывающим нововведением в удаленной сети; он позволяет удаленным пользователям подключаться к частной локальной сети (LAN) через Интернет вместо прямого подключения к серверу удаленного доступа. Создавая зашифрованный туннель, VPN обеспечивает безопасный способ связи через общедоступную сеть. Однако традиционная VPN имеет несколько недостатков: она может быть медленной и неудобной для пользователей, а некоторые сети, например, сети отелей, блокируют трафик VPN.

DirectAccess — это новая функция в Windows Server 2008 R2 и клиенте Windows 7, которая служит той же цели, что и традиционная виртуальная частная сеть, без фактора хлопот, который часто связан с настройкой и использованием VPN-подключения. DirectAccess устраняет необходимость в протоколах VPN, таких как PPTP и L2TP. Он использует IPsec/IPv6 для создания безопасного прямого соединения между удаленным компьютером и локальной сетью компании. В этой статье мы поближе познакомимся с этой захватывающей новой сетевой функцией: как она работает, что вам нужно для ее использования и какую пользу она может принести вашей организации.


Как это работает


DirectAccess опирается на два проверенных интернет-стандарта: IPv6 и IPsec. IPsec используется для аутентификации как пользователя, так и компьютера. Это обеспечивает дополнительную безопасность, а также позволяет управлять компьютером, даже если пользователь не вошел в систему. IPsec также шифрует данные, отправляемые через соединение DirectAccess, с использованием AES или 3DES. Если вы знакомы с IPsec, то знаете, что он может работать в двух режимах: транспортном режиме (от хоста к хосту) и туннельном режиме. Туннельный режим IPsec долгое время был альтернативным методом создания VPN. В туннельном режиме данные и заголовок IP шифруются и инкапсулируются в новый пакет IP с новым заголовком.


Однако в прошлом использование IPsec для VPN вызывало некоторые проблемы как с точки зрения удобства использования, так и с точки зрения управляемости. Для пользователя это непросто, администратор не может управлять компьютером, пока пользователь вручную не подключится к VPN-шлюзу.


При использовании DirectAccess туннели IPsec создаются между клиентом DA и сервером DA. Несмотря на то, что трафик в туннеле использует IPv6, он может проходить через Интернет IPv4. Затем сервер DA предоставляет клиенту доступ к корпоративной локальной сети. На самом деле установлено два туннеля, оба используют протокол Encapsulating Security Payload (ESP): один туннель использует только сертификат компьютера, а другой использует как сертификат компьютера, так и учетные данные пользователя. Первый туннель предоставляет клиентскому компьютеру доступ к DNS-серверу и контроллеру домена. Второй аутентифицирует пользователя и предоставляет ему доступ к серверам приложений, таким как Exchange, и другим ресурсам в локальной сети. Сервер DA выступает в качестве шлюза IPsec или конечной точки туннельного режима.


Что вам нужно


Для развертывания DirectAccess ваша сеть должна соответствовать определенным критериям:




  • Сервер DirectAccess под управлением Windows Server 2008 R2


  • Сервер DA должен иметь два сетевых адаптера: один подключен к Интернету с назначенными ему как минимум двумя последовательными публичными IPv4-адресами, а другой подключен к интрасети (LAN).


  • Контроллер домена и DNS-сервер под управлением Windows Server 2008 SP2 или R2


  • Клиентские компьютеры под управлением Windows 7 Enterprise или Ultimate.


  • Инфраструктура открытых ключей (PKI) с центром сертификации (CA) для выдачи сертификатов

Вам также потребуется использовать технологии перехода, такие как Teredo и 6to4, на сервере DirectAccess, чтобы разрешить передачу пакетов IPv6 по сети IPv4.


Как сквозная, так и сквозная безопасность IPsec поддерживаются DirectAccess. End-to-end обеспечивает высочайший уровень безопасности, но требует, чтобы серверы приложений работали под управлением Windows Server 2008 или 2008 R2. End-to-edge можно использовать с любым сервером приложений, использующим IPv6.


ПРИМЕЧАНИЕ. Также следует немного подумать о требованиях к оборудованию, поскольку шифрование IPsec может сильно нагружать процессор. Это не такая большая проблема для клиентских компьютеров, но для сервера DA, который обрабатывает большое количество соединений IPsec, вам понадобится высокопроизводительный процессор и/или решение, такое как сетевые компоненты Intel, которые разгружают шифрование. двигателя на контроллер локальной сети. Перенос рабочих нагрузок IPsec на оборудование может значительно повысить производительность.


Преимущества прямого доступа


Учитывая требования к развертыванию, вам может быть интересно узнать, в чем заключаются конкретные преимущества DirectAccess и почему вы должны заменить им проверенные и настоящие VPN-подключения. Вот некоторые из них:




  • Удобный для пользователя: когда пользователи подключаются к VPN, они должны выполнить несколько шагов, чтобы установить соединение, а затем дождаться аутентификации, проверки работоспособности (если применимо) и т. д. Если они потеряют подключение к Интернету, они должны пройти тот же процесс снова. для восстановления VPN-подключения. С DirectAccess соединение намного проще. Это постоянное соединение, которое устанавливается автоматически всякий раз, когда пользователь подключается к Интернету. Пользователи могут подключаться, даже находясь за брандмауэром. Конфигурация клиента предоставляется с помощью групповой политики, поэтому пользователю не нужно заниматься настройкой и настройкой.


  • Удобное управление: сетевые администраторы могут управлять клиентскими компьютерами DA, даже если пользователь не вошел в систему, если компьютер подключен к Интернету. Вы можете контролировать удаленные компьютеры, развертывать обновления и т. д. Настройка на серверах DA выполняется легко с помощью мастера DirectAccess.


  • Безопасность: аутентификация и шифрование IPsec обеспечивают безопасное соединение, а для большей безопасности DA поддерживает аутентификацию с помощью смарт-карт и интегрируется с защитой доступа к сети (NAP), поэтому вы можете быть уверены, что все клиенты, подключающиеся к серверу DA, соответствуют указанным политикам работоспособности организации ( обновления, антивирус и др.). Сервер DA может предоставлять доступ ко всей интрасети или может быть настроен для ограничения доступа пользователей к серверам и приложениям.


  • Быстрота: с DirectAccess пользователям не нужно ждать установления VPN, что может занять от нескольких секунд до нескольких минут, а производительность Интернета не снижается, как это происходит, когда трафик Интернета и интрасети должен проходить через VPN.


  • На основе политик: политики DirectAccess для клиентов, серверов приложений, контроллеров домена/DNS-серверов и шлюза IPsec настраиваются с помощью мастера DirectAccess. Политики могут быть настроены по мере необходимости.

Более подробную информацию и руководство по развертыванию DirectAccess см. в Руководстве раннего внедрения DirectAccess на веб-сайте Microsoft по адресу http://technet.microsoft.com/en-us/library/dd637789(WS.10).aspx.