1 / 30

DirectAccess - безопасный прозрачный доступ к корпоративной сети

DirectAccess - безопасный прозрачный доступ к корпоративной сети. Бешков Андрей. Шаповал Александр. Синицын Артем. DirectAccess. При подключении удаленного пользователя к сети Интернет Пользователь подключается к корпоративной сети Получает доступ к необходимым внутренним ресурсам

finna
Download Presentation

DirectAccess - безопасный прозрачный доступ к корпоративной сети

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. DirectAccess - безопасный прозрачный доступ к корпоративной сети Бешков Андрей Шаповал Александр Синицын Артем

  2. DirectAccess • При подключении удаленного пользователя к сети Интернет • Пользователь подключается к корпоративной сети • Получает доступ к необходимым внутренним ресурсам • Компьютер пользователя доступен из корпоративной сети • Возможно управление, применение обновлений и пр. • От пользователя не требуются никакие дополнительные шаги • При традиционном VPN необходимо вручную установить соединение • Пользователь по-прежнему работает с локальными ресурсами • Доступ к корпоративной сети и локальным или Интернет-ресурсам осуществляется по разным маршрутам • Возможна маршрутизация всего трафика через DirectAccess

  3. Потоки данных

  4. Преимущества DirectAccess • Постоянный доступ к корпоративной сети • Прозрачный доступ к корпоративной сети • Двустороннее взаимодействие • Повышенная безопасность • Интегрированное решение

  5. Технологический фундамент Разрешение имен: DNS и NRPT Защита данных: IPsec • Коммуникации: IPv6

  6. Коммуникации: IPv6 IPv6: варианты • DirectAccessтребуетIPv6 • Если IPv6 не доступен, DA-клиенты используют транзитные технологии IPv6 • В корпоративной сети могут использоваться: • IPv6 • Транзитные технологии IPv6 • NAT-PT Наилучший вариант для DirectAccess – применение IPv6 в корпоративной сети Intranet Internet NAT-PT

  7. Почему IPv6? • Практически неограниченное адресное пространство • Разделяемый туннель (Split Tunnel) • Механизм, при котором компьютер подключен к одной сети напрямую, к другой через туннель • Сложности в настройках в сетях IPv4, где часто применяются одинаковые адреса в разных подсетях • Дополнительные усилия по обеспечению безопасности • Безопасность «точка-точка» • NAT создает препятствия для обеспечения безопасности «точка-точка» • IPv6 не требует NAT

  8. Защита данных: IPsec IPsecтесно интегрирован сIPv6 и позволяет создавать правила, определяющие, как и когда шифровать трафик IPsec Аутентификация Шифрование • End to edge • End to end • End to edge • End to end

  9. Разрешение имен: DNS и NRPT Соединение DirectAccess Соединение Internet • КлиентыDirectAccessприменяют более «интеллектуальную» маршрутизацию • При разрешении имен используется таблица политики разрешения имен (Name Resolution Policy Table) • DNS-сервер может быть задан для пространства имен, не только для интерфейса

  10. Внешние коммуникации • Встроенный IPv6 • Внешний IPv4-адресиспользует 6to4 для передачи IPv6 внутри протокола IPv4 (IP 41) • Частный IPv4-адресиспользуетTeredoдля передачи IPv6 внутри IPv4 UDP (UDP 3544) • Если нет доступа к серверу DirectAccess, используется IP-HTTPS (TCP 443) IP-адрес, полученный от ISP: Адрес IPv6 для DirectAccess 6to4 Private IPv4 Teredo IPv6 IPv6 Public IPv4 Клиент DirectAccess IPv6 6to4 IP-HTTPS Teredo

  11. Внутренние коммуникации IPv6: варианты • Полная поддержка IPv6 • На серверах любая ОС с поддержкой IPv6 • Требуется сетевая инфраструктура IPv6 • Лучший вариант в перспективе • ISATAP • IPv6 внутри IPv4 • Серверы Windows Server 2008 или 2008 R2 • Не требуется замена маршрутизаторов • NAT-PT • ТрансляцияIPv6 в IPv4 • Любая ОС на серверах • Встроен в UAG Наилучший вариант для DirectAccess – применение IPv6 в корпоративной сети Интернет Интранет NAT-PT

  12. Архитектура Forefront UAG + DA Корпоративная сеть Exchange CRM SharePoint IIS based IBM, SAP, Oracle Мобильные устройства HTTPS / HTTP Интернет-киоски Terminal / Remote Desktop Services Layer3 VPN HTTPS (443) Internet DirectAccess Не-web Бизнес-партнеры AD, ADFS, RADIUS, LDAP…. NPS, ILM Мобильные сотрудники

  13. Forefront UAG и DirectAccess Доступ к серверам с поддержкой только IPv4 Доступ для старых версий и не-Windows платформ Масштабируемость и утравляемость Простота внедрения и администрирования { Надежная защита периметра Windows 7 Управляемые Всегда включен Windows 7 IPv6 IPv6 { Windows 7 / Windows Vista/ Windows XP Неуправлямые Не-Windows IPv4 PDA IPv6 или IPv4

  14. Внешний IPsec Интернет Клиент DirectAccess Сервер DirectAccess IP-HTTPS ШифрованиеIPsec+ESP ШифрованиеIPsec+ESP Шлюз IPsec

  15. Внутренний IPsec Сеть предприятия Сервер DirectAccess Внутренние серверы БезIPsec Аутентификация IPsec Шифрование IPsec Шлюз IPsec

  16. Установка туннеля Клиент DirectAccess Сервер DirectAccess Туннель1: инфраструктурный Аутентификация: сертификат компьютера Доступ: AD/DNS/Управление Туннель 2: прикладной Аутентификация: сертификат компьютера + пользователь (Kerberos илисертификат) Доступ: все

  17. Модели доступа • Полный доступ к интранет (end-to-edge) • Шифрованный трафик от DA-клиента до DA-сервера, во внутренней сети IPsec не используется • На внутренних серверах приложений может использоваться любая ОС • Доступ к определенным серверам (modified end-to-edge) • Шифрованный трафик от DA-клиента до DA-сервера, во внутренней сети используется аутентификация (ESP+NULL или AH) на выбранных серверах • Клиент может быть уверен, что подключается именно к выбранному серверу • Сквозной (end-to-end) • Туннель IPsecустанавливается от DA-клиента через DA-сервер до сервера приложений

  18. NRPT • Поддерживается в Windows 7 и Windows Server 2008 R2 • Задает DNS-серверы для пространства имен • Позволяет разделить внутренний и внешний трафики • Если DA-клиент определяет, что находится за пределами интранета, он использует NRPT • Exemption Policy • Содержит имена, которые всегда должны разрешаться через внешние DNS-серверы • При обработке таких имен DA-клиентигнорирует внутренние DNS-серверы

  19. Настройка NRPT • Настраивается через групповую политику • Computer Configuration | Policies | Windows Settings |Name Resolution Policy • Можно просмотреть с помощью Netsh • Netsh name show policy

  20. Определение местоположения • Для определения местоположения DA-клиента (в Интернете или в корпоративной сети) при настройке DirectAccess необходимо задать несколько параметров: • Имя DNS для интранет-ресурсов • IP-адрес, в который должно разрешаться это имя • IPv6-префикс для интранет-сети • HTTPS-URL для некоторого веб-сервера

  21. Определение местоположения • При подключении к сети для определения местоположения DA-клиент: • Выполняет инициирующий DNS-тест • Пытается разрешить пробное имя и сравнить с заданным пробным адресом • Использует Site Prefix List • Пытается подключиться к веб-серверу по заданному HTTPS-URL

  22. Требования к инфраструктуре • Сервер DirectAccess • Windows Server 2008 R2 • Член домена Active Directory • Как минимум два физических сетевых адаптера • Как минимум два публичных адреса IPv4 • Возможно развертывание нескольких серверов для обеспечения масштабируемости • Клиент DirectAccess • Windows 7 Ultimate или Enterprise • Член домена Active Directory

  23. Требования к инфраструктуре • Active Directory • Как минимум один домен • Group Policy • Для централизованного управления • Контроллер домена • Как минимум один DC с Windows Server 2008 или выше • Public key infrastructure (PKI) • Для выдачи компьютерных сертификатов • CRL должен быть доступен извне • Политики IPsec • Часть Windows Firewall with Advanced Security • Транзитные технологии IPv6 • ISATAP, Teredo, 6to4

  24. Исключения Firewall Внешний интерфейс

  25. Исключения Firewall Интранет

  26. Настройка DirectAccess Бешков Андрей Эксперт Microsoft Демонстрация

  27. Итоги • DirectAccessобеспечивает прозрачный доступ к корпоративным ресурсам вне зависимости от местонахождения клиента • DirectAccess позволяет управлять удаленными клиентами вне зависимости от их расположения • DirectAccessповышает уровень безопасности удаленных клиентов

  28. Ресурсы • Мой блог: http://blogs.technet.com/abeshkov • Раздел TechNet, посвященный DirectAccess: http://www.directaccess.com • Русскоязычныйраздел сайта Microsoft по Windows Server: http://www.microsoft.com/rus/windowsserver • Портал TechDays: http://www.techdays.ru

More Related