250 likes | 355 Views
6ártalanul Forefront UAG + DirectAccess. Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország. Mi is a DirectAccess ?. Folyamatos , biztonságos, IPSec és IPv6 alapú kapcsolat Előnyök – üzemeltetői oldal
E N D
6ártalanulForefront UAG + DirectAccess Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország
Mi is a DirectAccess? • Folyamatos, biztonságos, IPSec és IPv6 alapú kapcsolat • Előnyök – üzemeltetői oldal • Rugalmas, (akár) teljes hozzáférés a kliensek felé is - mindig • Granuláris szabályzás alkalmazás/szerver szinten • Előnyök - felhasználói oldal: • A „megszokott” hozzáférés – bárhonnan, interaktivitás nélkül, maximális UX • Szimultán kapcsolat (Internet / céges hálózat) • Kliensoldal: zéró teendő / szerveroldal: számos
Mi is a DirectAccess? A világ változik: „A hálózatunk nem ott van, ahol az épületünk, hanem ahol a felhasználók és az eszközök.” vs. Iroda Otthon / mobil Iroda Otthon / mobil
DirectAccess - technikai pillérek Névfeloldás: DNS és NRPT Biztonság/adatvédelem : IPsec • Kapcsolat: IPv6
DirectAccess – egy teljes rendszer IPv4 eszközök IPv6 eszközök IPv4 támogatás(pl. 6to4, NAT-PT, NAT64) IT desktop felügyelet Natív IPv6 + IPSec Lehetővé teszi a DirectAccesskliensek felügyeletét DA: transzparens, biztonságos kapcsolat VPN nélkül Group Policy, NAP, WSUS IPv6 / IPv4 átalakítás Internet Közvetlen kapcsolat a belső IPv6 erőforrásokkal DirectAccess Server Windows 7kliens IPSec titkosítás és hitelesítés
Az erőforrások elérése az UAG-gal Belső hálózat / Perimeter / Adatközpont Exchange CRM SharePoint IIS based IBM, SAP, Oracle Mobil Otthon,máshol, publikus helyen HTTPS / HTTP Terminal / Remote Desktop Services / VDI Layer3 VPN HTTPS (443) Internet DirectAccess Non-web, fájlszerver Partnerek, beszállítók, stb. AD, ADFS, RADIUS, LDAP…. NPS, FIM Felügyelt gépek (alkalmazottak)
Demókörnyezet Kiosk Nem felügyelt kliens (W7) Ibiza UAG 2010 DirectAccess Denver DC+CA Rome Felügyelt kliens (W7) SydneySharepoint 2010
Forefront UAG demó
UAG ésDirectAccess – együtt finomabb • Amit a Forefront UAG ad a „Windows” DirectAccess-hez, az nem kevés: • Egyszerűbb tervezés és telepítés • Egy helyen a két termék • Magasabb rendelkezésre állás: • Tömbök és terheléselosztás – több DirectAccess kiszolgálóval • Failover – a DirectAccess kiszolgálók között • NAT64 támogatás - DA kliensek és a natív IPv4 erőforrások között • Végponti „egészségi szint” ellenőrzés – NAP is
IPv6/IPv4 kapcsolódás Hálózati infrastruktúra IPSeccsatornák DNS Network Location Server Public Key Infrastructure Active Directory UAG DirectAccesskomponensek (7 in 1)
IPv6 kapcsolódás – részletek • Külső IPv6 kapcsolódás • 6to4 relay – publikus IPv4 címekről • Teredo–NAT eszközök mögül • IP-HTTPS – tűzfalak és proxy-k mögül • Belső IPv6 kapcsolódás • ISATAP router –IPv6 kapcsolódás IPv4 „felett” az intraneten • Az ISATAP router egy szeparált kiszolgálón is lehet • NAT64/DNS64 –IPv6 kapcsolódásaz intranetes natív IPv4 erőforrásokhoz • A legjobb módszer, a külső IPv6-os kliens generálja a csatlakozást
Egy mellékszál • Tényleg egy TMG van az UAG alatt? • Igen, de ez nem egy szokásos TMG • Elvileg csak az UAG „használja” • Pl. a publikálás szabályokat automatikusan konfigurálja • Mire használható ezen kívül? • Tűzfalként • Reverse proxyként • Publikálásra, de csak: Exchange SMTP/SMTPS, POP3/POP3S, IMAP/IMAPS, Office Communications Server (OCS) • Engedélyező tűzfalszabályok, de csak VPN-hez • Monitoring http://technet.microsoft.com/en-us/library/ee522953.aspx
IPSec csatornák • A kapcsolódás = IPv6; biztonság = IPSec • IPv4 esetén IPv6 tranzíciós technológiák • 6to4, Teredo, IP-HTTPS • Hitelesítés > Infrastructure tunnel:tanúsítvány és NTLMv2, user hitelesítés nem szükséges • Hitelesítés > Intranet tunnel:tanúsítvány (gép), Kerberos ticket (user + gép) Infrastructure Tunnel Intranet Tunnel IPv6 Transition Technologies DC-k, DNS, HRA, SC szerverek Internet IPv4 via NAT64 IPv6 Native ISATAP Kliens gép IPv4 via NAT64 IPv6 Native ISATAP A többi gép a belső hálón UAG
Name Resolution Policy Table (NRPT) Belső DNS kiszolgáló követelmények AAAA rekordok támogatása Dinamikus frissítés támogás ISATAP UAG DA belső IP vagy egy külön ISATAP router Global Query Block List! Publikus DNS kiszolgáló követelmények IP-HTTPS Server név (Common Name) CDP (az IP-HTTPS tanúsítványhoz) DNS
Internet és Intranet forgalom • A split-tunneling már alap-értelmezésben is elérhető • A statikus, mini DNS szerverünkkel (NRPT) • De tiltható is(Force Tunneling)
Hol is vagyunk? Egy állandóan elérhető HTTPS website legyen HTTP GET kérés > 200 OK > ha belül vannak a kliens Kívülről nem elérhető Network Location Server
Számítógép tanúsítvány (IPSec Auth) Server Authentication tanúsítvány (IP-HTTPS) Online CRL publikálás (IP-HTTPS) Felhasználói tanúsítvány (Smart Card Auth) Public Key Infrastructure
A DA szervert ésa klienseket GPO-kon keresztül konfigoljuk GPO-k automatikusan készülnek el az UAG DA varázslóval Active Directory
DirectAccess Connectivity Assistant • Az OS alapértelmezés szerint semmit nem árul el a DA kapcsolódásról • De a letölthető DA CA igenhttp://technet.microsoft.com/en-us/library/ff384241.aspx • Amit látunk benne • A kapcsolat állapota • Egy troubleshooting link • Automatikus „hibacsomag” készítés • .msi = könnyű tömegesen telepíteni • Csoportházirend konfigurálás
Minimum két opciót be kell állítani DTE Endpoints PING:2002::/128 A DA szerver 2 tunnel végpontjának 6to4 címei Corporate resource Egy belső erőforrás definiálása Egy belső webszerver vagy PING Vagy FILE:\\FS1\SHARE\FILE.TXT Csoportházirend sablonok a csomagban (.admx, .adml) DA CA GP beállítás
UAG DA + DA CA demó
UAG SP1 – fontos DA újdonságok • . • . • . • Sajnos, nem mondhatok el többet