DirectAccess - безопасный и прозрачный доступ к корпоративной сети
•Download as PPTX, PDF•
0 likes•831 views
Сложности в настройке и поддержке VPN-клиентов для безопасного удаленного доступа были всегда. С помощью DirectAccess возможно избежать большинство проблем, а также значительно снизить нагрузку на службы ИТ-поддержи и упростить доступ к локальным ресурсам для самих мобильных сотрудников
Recommended
Recommended
More Related Content
Viewers also liked
Viewers also liked (19)
Similar to DirectAccess - безопасный и прозрачный доступ к корпоративной сети
Similar to DirectAccess - безопасный и прозрачный доступ к корпоративной сети (20)
More from Andrey Beshkov
More from Andrey Beshkov (10)
DirectAccess - безопасный и прозрачный доступ к корпоративной сети
- 1. DirectAccess - безопасный прозрачный доступ к корпоративной сети Бешков Андрей Шаповал Александр Синицын Артем Microsoft Платформа 2010 http://msplatforma.ru
- 2. DirectAccess При подключении удаленного пользователя к сети Интернет Пользователь подключается к корпоративной сети Получает доступ к необходимым внутренним ресурсам Компьютер пользователя доступен из корпоративной сети Возможно управление, применение обновлений и пр. От пользователя не требуются никакие дополнительные шаги При традиционном VPN необходимо вручную установить соединение Пользователь по-прежнему работает с локальными ресурсами Доступ к корпоративной сети и локальным или Интернет- ресурсам осуществляется по разным маршрутам Возможна маршрутизация всего трафика через DirectAccess Microsoft Платформа 2010 http://msplatforma.ru
- 3. Потоки данных Интернет Интранет Клиент DirectAccess Сервер DirectAccess Корпоративные ресурсы Внутренний трафик Интернет Интернет трафик сервера Microsoft Платформа 2010 http://msplatforma.ru
- 4. Преимущества DirectAccess Постоянный доступ к корпоративной сети Прозрачный доступ к корпоративной сети Двустороннее взаимодействие Повышенная безопасность Интегрированное решение Microsoft Платформа 2010 http://msplatforma.ru
- 5. Технологический фундамент Разрешение имен: DNS и NRPT Защита данных: IPsec Коммуникации: IPv6 Microsoft Платформа 2010 http://msplatforma.ru
- 6. Коммуникации: IPv6 IPv6: варианты DirectAccess требует Наилучший вариант для IPv6 DirectAccess – применение IPv6 в Если IPv6 не доступен, корпоративной сети Intranet DA-клиенты используют Internet транзитные технологии IPv6 В корпоративной сети могут использоваться: NAT-PT IPv6 Транзитные технологии IPv6 NAT-PT Встроенный IPv6 Транзитные технологии IPv6 IPv4 Microsoft Платформа 2010 http://msplatforma.ru
- 7. Почему IPv6? Практически неограниченное адресное пространство Разделяемый туннель (Split Tunnel) Механизм, при котором компьютер подключен к одной сети напрямую, к другой через туннель Сложности в настройках в сетях IPv4, где часто применяются одинаковые адреса в разных подсетях Дополнительные усилия по обеспечению безопасности Безопасность «точка-точка» NAT создает препятствия для обеспечения безопасности «точка-точка» IPv6 не требует NAT Microsoft Платформа 2010 http://msplatforma.ru
- 8. Защита данных: IPsec IPsec тесно интегрирован с IPv6 и позволяет создавать правила, определяющие, как и когда шифровать трафик End to edge End to edge End to end End to end Microsoft Платформа 2010 http://msplatforma.ru
- 9. Разрешение имен: DNS и NRPT Соединение Соединение DirectAccess Internet Клиенты DirectAccess применяют более «интеллектуальную» маршрутизацию При разрешении имен используется таблица политики разрешения имен (Name Resolution Policy Table) DNS-сервер может быть задан для пространства имен, не только для интерфейса Microsoft Платформа 2010 http://msplatforma.ru
- 10. Внешние коммуникации IP-адрес, Адрес IPv6 Встроенный IPv6 полученный для от ISP: DirectAccess Внешний IPv4-адрес использует 6to4 для PrivateIPv4 Public IPv4 IPv6 6to4 Teredo IPv6 передачи IPv6 внутри протокола IPv4 (IP 41) Частный IPv4-адрес использует Teredo для передачи IPv6 внутри IPv4 UDP (UDP 3544) Клиент DirectAccess IPv6 Если нет доступа к 6to4 IP-HTTPS серверу DirectAccess, используется IP-HTTPS Teredo (TCP 443) Microsoft Платформа 2010 http://msplatforma.ru
- 11. Внутренние коммуникации Полная поддержка IPv6 IPv6: варианты На серверах любая ОС с поддержкой IPv6 Наилучший вариант для Требуется сетевая DirectAccess – применение IPv6 в инфраструктура IPv6 корпоративной сети Лучший вариант в перспективе ISATAP Интернет Интранет IPv6 внутри IPv4 Серверы Windows Server 2008 или 2008 R2 Не требуется замена маршрутизаторов NAT-PT NAT-PT Трансляция IPv6 в IPv4 Любая ОС на серверах Встроенный IPv6 Встроен в UAG Транзитные технологии IPv6 IPv4 Microsoft Платформа 2010 http://msplatforma.ru
- 12. Архитектура Forefront UAG + DA Корпоративная сеть Exchange CRM Мобильные SharePoint устройства IIS based IBM, SAP, Oracle Интернет- киоски Layer3 VPN Terminal / Remote Desktop HTTPS (443) Services Internet DirectAccess Не-web Бизнес-партнеры AD, ADFS, RADIUS, LDAP…. NPS, ILM Мобильные сотрудники Microsoft Платформа 2010 http://msplatforma.ru
- 13. Forefront UAG и DirectAccess Доступ к серверам с поддержкой только IPv4 Доступ для старых версий и не-Windows платформ Масштабируемость и утравляемость Простота внедрения и администрирования Надежная защита периметра Всегда включен IPv6 IPv6 IPv4 IPv6 или IPv4 Microsoft Платформа 2010 http://msplatforma.ru
- 14. Внешний IPsec IP-HTTPS Шифрование IPsec+ESP Microsoft Платформа 2010 http://msplatforma.ru
- 15. Внутренний IPsec Без IPsec Аутентификация IPsec Шифрование IPsec Microsoft Платформа 2010 http://msplatforma.ru
- 16. Установка туннеля Туннель1: инфраструктурный Аутентификация: сертификат компьютера Доступ: AD/DNS/Управление Туннель 2: прикладной Аутентификация: сертификат компьютера + пользователь (Kerberos или сертификат) Доступ: все Microsoft Платформа 2010 http://msplatforma.ru
- 17. Модели доступа Полный доступ к интранет (end-to-edge) Шифрованный трафик от DA-клиента до DA-сервера, во внутренней сети IPsec не используется На внутренних серверах приложений может использоваться любая ОС Доступ к определенным серверам (modified end-to- edge) Шифрованный трафик от DA-клиента до DA-сервера, во внутренней сети используется аутентификация (ESP+NULL или AH) на выбранных серверах Клиент может быть уверен, что подключается именно к выбранному серверу Сквозной (end-to-end) Туннель IPsec устанавливается от DA-клиента через DA- сервер до сервера приложений Microsoft Платформа 2010 http://msplatforma.ru
- 18. NRPT Поддерживается в Windows 7 и Windows Server 2008 R2 Задает DNS-серверы для пространства имен Позволяет разделить внутренний и внешний трафики Если DA-клиент определяет, что находится за пределами интранета, он использует NRPT Exemption Policy Содержит имена, которые всегда должны разрешаться через внешние DNS-серверы При обработке таких имен DA-клиент игнорирует внутренние DNS-серверы Microsoft Платформа 2010 http://msplatforma.ru
- 19. Настройка NRPT Настраивается через групповую политику Computer Configuration | Policies | Windows Settings |Name Resolution Policy Можно просмотреть с помощью Netsh Netsh name show policy Microsoft Платформа 2010 http://msplatforma.ru
- 20. Определение местоположения Для определения местоположения DA-клиента (в Интернете или в корпоративной сети) при настройке DirectAccess необходимо задать несколько параметров: Имя DNS для интранет-ресурсов IP-адрес, в который должно разрешаться это имя IPv6-префикс для интранет-сети HTTPS-URL для некоторого веб-сервера Microsoft Платформа 2010 http://msplatforma.ru
- 21. Определение местоположения При подключении к сети для определения местоположения DA-клиент: Выполняет инициирующий DNS-тест Пытается разрешить пробное имя и сравнить с заданным пробным адресом Использует Site Prefix List Пытается подключиться к веб-серверу по заданному HTTPS-URL Microsoft Платформа 2010 http://msplatforma.ru
- 22. Требования к инфраструктуре Сервер DirectAccess Windows Server 2008 R2 Член домена Active Directory Как минимум два физических сетевых адаптера Как минимум два публичных адреса IPv4 Возможно развертывание нескольких серверов для обеспечения масштабируемости Клиент DirectAccess Windows 7 Ultimate или Enterprise Член домена Active Directory Microsoft Платформа 2010 http://msplatforma.ru
- 23. Требования к инфраструктуре Active Directory Как минимум один домен Group Policy Для централизованного управления Контроллер домена Как минимум один DC с Windows Server 2008 или выше Public key infrastructure (PKI) Для выдачи компьютерных сертификатов CRL должен быть доступен извне Политики IPsec Часть Windows Firewall with Advanced Security Транзитные технологии IPv6 ISATAP, Teredo, 6to4 Microsoft Платформа 2010 http://msplatforma.ru
- 24. Исключения Firewall Внешний интерфейс Name Teredo 6to4 IP-HTTPS Native IPv6 UDP 3544 X N/A N/A N/A Protocol 41 N/A X N/A N/A TCP 443 N/A N/A X N/A ICMPv6 N/A N/A N/A X Protocol 50 N/A N/A N/A X UDP 500 X X N/A X IKE/AuthIP Microsoft Платформа 2010 http://msplatforma.ru
- 25. Исключения Firewall Интранет Name ISATAP Native IPv6 IPv4 + NAT-PT Protocol 41 X TCP X X UDP X X ICMPV6 X All IPv6 connectivity X UDP 500 IKE/AuthIP X X Microsoft Платформа 2010 http://msplatforma.ru
- 26. Настройка DirectAccess Демонстрация Бешков Андрей Эксперт Microsoft Microsoft Платформа 2010 http://msplatforma.ru
- 27. Итоги DirectAccess обеспечивает прозрачный доступ к корпоративным ресурсам вне зависимости от местонахождения клиента DirectAccess позволяет управлять удаленными клиентами вне зависимости от их расположения DirectAccess повышает уровень безопасности удаленных клиентов Microsoft Платформа 2010 http://msplatforma.ru
- 28. Ресурсы Мой блог: http://blogs.technet.com/abeshkov Раздел TechNet, посвященный DirectAccess: http://www.directaccess.com Русскоязычный раздел сайта Microsoft по Windows Server: http://www.microsoft.com/rus/windowsserve r Портал TechDays: http://www.techdays.ru Microsoft Платформа 2010 http://msplatforma.ru
Editor's Notes
- Это рекомендуемый титульный слайд. Для использования другого варианта титульного слайда выберете пункт меню “New Slide”.
- UAG provides services to four types of audiences (from bottom up):Employees that are roamed with their laptops and need access. There are few reasons why they need UAG and not traditional VPN:Behind firewall most IPSec VPNs doesn’t work because they are UDP.Having the portal as one entry point for all corporate resources.No need to install and configure VPN client.Strong authentication (see next slides)Business partners / sub-contractors: today companies either provide them full VPN access which is almost irresponsible thing to do or just collaborate with them over e-mail. See the study in the end-point health slides for example about the risk of open the network for partners. Hostile environments like home PC, friends PC, Kiosk. “In any home where there is a teenager, the home PC is hostile environment….”Mobile devices – they are always outside the network.UAG Functionality Pillars (authentication, end-point health, etc.) are listed here but there are separate slides on each one of them.UAG Supports three types of applications delivery:Web / HTTP based where it acts as a reverse proxy. Among the tens of applications that are supported are:Exchange: Outlook Web Access, Outlook Anywhere (RPCoHTTP) and Exchange ActiveSync.SharePoint (all versions including 2007)Microsoft Dynamics CRM (3.0 and 4.0)Non-Microsoft applications such as IBM Lotus, IBM Domino, SAP portals, Oracle PeopleSoft, etcFor full list of applications that are supported today with IAG 2007 look here: http://technet.microsoft.com/en-us/library/cc303258.aspxTerminal Services applications that are served via Terminal Services Gateway that is embedded within UAG. UAG supports RemoteApp and RemoteDesktopNon-Web/HTTP applications by providing ad-hoc tunneling.