300 likes | 539 Views
DirectAccess - безопасный прозрачный доступ к корпоративной сети. Бешков Андрей. Шаповал Александр. Синицын Артем. DirectAccess. При подключении удаленного пользователя к сети Интернет Пользователь подключается к корпоративной сети Получает доступ к необходимым внутренним ресурсам
E N D
DirectAccess - безопасный прозрачный доступ к корпоративной сети Бешков Андрей Шаповал Александр Синицын Артем
DirectAccess • При подключении удаленного пользователя к сети Интернет • Пользователь подключается к корпоративной сети • Получает доступ к необходимым внутренним ресурсам • Компьютер пользователя доступен из корпоративной сети • Возможно управление, применение обновлений и пр. • От пользователя не требуются никакие дополнительные шаги • При традиционном VPN необходимо вручную установить соединение • Пользователь по-прежнему работает с локальными ресурсами • Доступ к корпоративной сети и локальным или Интернет-ресурсам осуществляется по разным маршрутам • Возможна маршрутизация всего трафика через DirectAccess
Преимущества DirectAccess • Постоянный доступ к корпоративной сети • Прозрачный доступ к корпоративной сети • Двустороннее взаимодействие • Повышенная безопасность • Интегрированное решение
Технологический фундамент Разрешение имен: DNS и NRPT Защита данных: IPsec • Коммуникации: IPv6
Коммуникации: IPv6 IPv6: варианты • DirectAccessтребуетIPv6 • Если IPv6 не доступен, DA-клиенты используют транзитные технологии IPv6 • В корпоративной сети могут использоваться: • IPv6 • Транзитные технологии IPv6 • NAT-PT Наилучший вариант для DirectAccess – применение IPv6 в корпоративной сети Intranet Internet NAT-PT
Почему IPv6? • Практически неограниченное адресное пространство • Разделяемый туннель (Split Tunnel) • Механизм, при котором компьютер подключен к одной сети напрямую, к другой через туннель • Сложности в настройках в сетях IPv4, где часто применяются одинаковые адреса в разных подсетях • Дополнительные усилия по обеспечению безопасности • Безопасность «точка-точка» • NAT создает препятствия для обеспечения безопасности «точка-точка» • IPv6 не требует NAT
Защита данных: IPsec IPsecтесно интегрирован сIPv6 и позволяет создавать правила, определяющие, как и когда шифровать трафик IPsec Аутентификация Шифрование • End to edge • End to end • End to edge • End to end
Разрешение имен: DNS и NRPT Соединение DirectAccess Соединение Internet • КлиентыDirectAccessприменяют более «интеллектуальную» маршрутизацию • При разрешении имен используется таблица политики разрешения имен (Name Resolution Policy Table) • DNS-сервер может быть задан для пространства имен, не только для интерфейса
Внешние коммуникации • Встроенный IPv6 • Внешний IPv4-адресиспользует 6to4 для передачи IPv6 внутри протокола IPv4 (IP 41) • Частный IPv4-адресиспользуетTeredoдля передачи IPv6 внутри IPv4 UDP (UDP 3544) • Если нет доступа к серверу DirectAccess, используется IP-HTTPS (TCP 443) IP-адрес, полученный от ISP: Адрес IPv6 для DirectAccess 6to4 Private IPv4 Teredo IPv6 IPv6 Public IPv4 Клиент DirectAccess IPv6 6to4 IP-HTTPS Teredo
Внутренние коммуникации IPv6: варианты • Полная поддержка IPv6 • На серверах любая ОС с поддержкой IPv6 • Требуется сетевая инфраструктура IPv6 • Лучший вариант в перспективе • ISATAP • IPv6 внутри IPv4 • Серверы Windows Server 2008 или 2008 R2 • Не требуется замена маршрутизаторов • NAT-PT • ТрансляцияIPv6 в IPv4 • Любая ОС на серверах • Встроен в UAG Наилучший вариант для DirectAccess – применение IPv6 в корпоративной сети Интернет Интранет NAT-PT
Архитектура Forefront UAG + DA Корпоративная сеть Exchange CRM SharePoint IIS based IBM, SAP, Oracle Мобильные устройства HTTPS / HTTP Интернет-киоски Terminal / Remote Desktop Services Layer3 VPN HTTPS (443) Internet DirectAccess Не-web Бизнес-партнеры AD, ADFS, RADIUS, LDAP…. NPS, ILM Мобильные сотрудники
Forefront UAG и DirectAccess Доступ к серверам с поддержкой только IPv4 Доступ для старых версий и не-Windows платформ Масштабируемость и утравляемость Простота внедрения и администрирования { Надежная защита периметра Windows 7 Управляемые Всегда включен Windows 7 IPv6 IPv6 { Windows 7 / Windows Vista/ Windows XP Неуправлямые Не-Windows IPv4 PDA IPv6 или IPv4
Внешний IPsec Интернет Клиент DirectAccess Сервер DirectAccess IP-HTTPS ШифрованиеIPsec+ESP ШифрованиеIPsec+ESP Шлюз IPsec
Внутренний IPsec Сеть предприятия Сервер DirectAccess Внутренние серверы БезIPsec Аутентификация IPsec Шифрование IPsec Шлюз IPsec
Установка туннеля Клиент DirectAccess Сервер DirectAccess Туннель1: инфраструктурный Аутентификация: сертификат компьютера Доступ: AD/DNS/Управление Туннель 2: прикладной Аутентификация: сертификат компьютера + пользователь (Kerberos илисертификат) Доступ: все
Модели доступа • Полный доступ к интранет (end-to-edge) • Шифрованный трафик от DA-клиента до DA-сервера, во внутренней сети IPsec не используется • На внутренних серверах приложений может использоваться любая ОС • Доступ к определенным серверам (modified end-to-edge) • Шифрованный трафик от DA-клиента до DA-сервера, во внутренней сети используется аутентификация (ESP+NULL или AH) на выбранных серверах • Клиент может быть уверен, что подключается именно к выбранному серверу • Сквозной (end-to-end) • Туннель IPsecустанавливается от DA-клиента через DA-сервер до сервера приложений
NRPT • Поддерживается в Windows 7 и Windows Server 2008 R2 • Задает DNS-серверы для пространства имен • Позволяет разделить внутренний и внешний трафики • Если DA-клиент определяет, что находится за пределами интранета, он использует NRPT • Exemption Policy • Содержит имена, которые всегда должны разрешаться через внешние DNS-серверы • При обработке таких имен DA-клиентигнорирует внутренние DNS-серверы
Настройка NRPT • Настраивается через групповую политику • Computer Configuration | Policies | Windows Settings |Name Resolution Policy • Можно просмотреть с помощью Netsh • Netsh name show policy
Определение местоположения • Для определения местоположения DA-клиента (в Интернете или в корпоративной сети) при настройке DirectAccess необходимо задать несколько параметров: • Имя DNS для интранет-ресурсов • IP-адрес, в который должно разрешаться это имя • IPv6-префикс для интранет-сети • HTTPS-URL для некоторого веб-сервера
Определение местоположения • При подключении к сети для определения местоположения DA-клиент: • Выполняет инициирующий DNS-тест • Пытается разрешить пробное имя и сравнить с заданным пробным адресом • Использует Site Prefix List • Пытается подключиться к веб-серверу по заданному HTTPS-URL
Требования к инфраструктуре • Сервер DirectAccess • Windows Server 2008 R2 • Член домена Active Directory • Как минимум два физических сетевых адаптера • Как минимум два публичных адреса IPv4 • Возможно развертывание нескольких серверов для обеспечения масштабируемости • Клиент DirectAccess • Windows 7 Ultimate или Enterprise • Член домена Active Directory
Требования к инфраструктуре • Active Directory • Как минимум один домен • Group Policy • Для централизованного управления • Контроллер домена • Как минимум один DC с Windows Server 2008 или выше • Public key infrastructure (PKI) • Для выдачи компьютерных сертификатов • CRL должен быть доступен извне • Политики IPsec • Часть Windows Firewall with Advanced Security • Транзитные технологии IPv6 • ISATAP, Teredo, 6to4
Исключения Firewall Внешний интерфейс
Настройка DirectAccess Бешков Андрей Эксперт Microsoft Демонстрация
Итоги • DirectAccessобеспечивает прозрачный доступ к корпоративным ресурсам вне зависимости от местонахождения клиента • DirectAccess позволяет управлять удаленными клиентами вне зависимости от их расположения • DirectAccessповышает уровень безопасности удаленных клиентов
Ресурсы • Мой блог: http://blogs.technet.com/abeshkov • Раздел TechNet, посвященный DirectAccess: http://www.directaccess.com • Русскоязычныйраздел сайта Microsoft по Windows Server: http://www.microsoft.com/rus/windowsserver • Портал TechDays: http://www.techdays.ru