Документ 5026883

реклама
DirectAccess - безопасный
прозрачный доступ к
корпоративной сети
Бешков Андрей
Шаповал Александр
Синицын Артем
Microsoft Платформа 2010
http://msplatforma.ru
DirectAccess
При подключении удаленного пользователя к сети
Интернет
Пользователь подключается к корпоративной сети
Получает доступ к необходимым внутренним ресурсам
Компьютер пользователя доступен из корпоративной сети
Возможно управление, применение обновлений и пр.
От пользователя не требуются никакие
дополнительные шаги
При традиционном VPN необходимо вручную установить
соединение
Пользователь по-прежнему работает с локальными
ресурсами
Доступ к корпоративной сети и локальным или Интернетресурсам осуществляется по разным маршрутам
Возможна маршрутизация всего трафика через DirectAccess
Microsoft Платформа 2010
http://msplatforma.ru
Потоки данных
Интранет
Интернет
Клиент
DirectAccess
Сервер
DirectAccess
Корпоративные
ресурсы
Внутренний трафик
Интернет
сервера
Microsoft Платформа 2010
Интернет трафик
http://msplatforma.ru
Преимущества DirectAccess
Постоянный доступ к корпоративной сети
Прозрачный доступ к корпоративной сети
Двустороннее взаимодействие
Повышенная безопасность
Интегрированное решение
Microsoft Платформа 2010
http://msplatforma.ru
Технологический фундамент
Разрешение имен:
DNS и NRPT
Защита данных: IPsec
Коммуникации: IPv6
Microsoft Платформа 2010
http://msplatforma.ru
Коммуникации: IPv6
IPv6: варианты
DirectAccess требует
IPv6
Если IPv6 не доступен,
DA-клиенты используют
транзитные технологии
IPv6
В корпоративной сети
могут использоваться:
IPv6
Транзитные
технологии IPv6
NAT-PT
Наилучший вариант для
DirectAccess – применение IPv6 в
корпоративной сети
Intranet
Internet
NAT-PT
Встроенный IPv6
Транзитные технологии IPv6
IPv4
Microsoft Платформа 2010
http://msplatforma.ru
Почему IPv6?
Практически неограниченное адресное пространство
Разделяемый туннель (Split Tunnel)
Механизм, при котором компьютер подключен к одной сети
напрямую, к другой через туннель
Сложности в настройках в сетях IPv4, где часто применяются
одинаковые адреса в разных подсетях
Дополнительные усилия по обеспечению безопасности
Безопасность «точка-точка»
NAT создает препятствия для обеспечения безопасности
«точка-точка»
IPv6 не требует NAT
Microsoft Платформа 2010
http://msplatforma.ru
Защита данных: IPsec
IPsec тесно интегрирован с IPv6 и позволяет создавать
правила, определяющие, как и когда шифровать трафик
 End
to edge
 End to end
 End
to edge
 End to end
Microsoft Платформа 2010
http://msplatforma.ru
Разрешение имен: DNS и NRPT
Соединение
DirectAccess
Соединение
Internet
Клиенты DirectAccess применяют более
«интеллектуальную» маршрутизацию
При разрешении имен используется таблица
политики разрешения имен (Name Resolution
Policy Table)
DNS-сервер может быть задан для
пространства имен, не только для интерфейса
Microsoft Платформа 2010
http://msplatforma.ru
Внешние коммуникации
IP-адрес,
полученный
от ISP:
Адрес IPv6
для
DirectAccess
Private
IPv4
IPv6
Public
IPv4
6to4
Teredo
IPv6
Встроенный IPv6
Внешний IPv4-адрес
использует 6to4 для
передачи IPv6 внутри
протокола IPv4 (IP 41)
Частный IPv4-адрес
использует Teredo для
передачи IPv6 внутри
IPv4 UDP (UDP 3544)
Клиент
DirectAccess
IPv6
6to4
Teredo
IP-HTTPS
Если нет доступа к
серверу DirectAccess,
используется IP-HTTPS
(TCP 443)
Microsoft Платформа 2010
http://msplatforma.ru
Внутренние коммуникации
IPv6: варианты
Полная поддержка IPv6
На серверах любая ОС с
поддержкой IPv6
Требуется сетевая
инфраструктура IPv6
Лучший вариант в
перспективе
Наилучший вариант для
DirectAccess – применение IPv6 в
корпоративной сети
Интернет
ISATAP
Интранет
IPv6 внутри IPv4
Серверы Windows Server
2008 или 2008 R2
Не требуется замена
маршрутизаторов
NAT-PT
NAT-PT
Трансляция IPv6 в IPv4
Любая ОС на серверах
Встроен в UAG
Встроенный IPv6
Транзитные технологии IPv6
IPv4
Microsoft Платформа 2010
http://msplatforma.ru
Архитектура Forefront UAG + DA
Корпоративная сеть
Exchange
CRM
SharePoint
IIS based
IBM, SAP, Oracle
Мобильные
устройства
Интернеткиоски
Layer3 VPN
Internet
HTTPS (443)
Terminal /
Remote Desktop
Services
DirectAccess
Не-web
Бизнес-партнеры
AD, ADFS,
RADIUS, LDAP….
NPS, ILM
Мобильные сотрудники
Microsoft Платформа 2010
http://msplatforma.ru
Forefront UAG и DirectAccess
Доступ к серверам с поддержкой только IPv4
Доступ для старых версий и не-Windows платформ
Масштабируемость и утравляемость
Простота внедрения и администрирования
Надежная защита периметра
Всегда включен
IPv6
IPv6
IPv4
IPv6
или
IPv4
Microsoft Платформа 2010
http://msplatforma.ru
Внешний IPsec
IP-HTTPS
Шифрование IPsec+ESP
Microsoft Платформа 2010
http://msplatforma.ru
Внутренний IPsec
Без IPsec
Аутентификация
IPsec
Шифрование
IPsec
Microsoft Платформа 2010
http://msplatforma.ru
Установка туннеля
Туннель1: инфраструктурный
Аутентификация: сертификат
компьютера
Доступ: AD/DNS/Управление
Туннель 2: прикладной
Аутентификация: сертификат
компьютера + пользователь (Kerberos
или сертификат)
Доступ: все
Microsoft Платформа 2010
http://msplatforma.ru
Модели доступа
Полный доступ к интранет (end-to-edge)
Шифрованный трафик от DA-клиента до DA-сервера, во
внутренней сети IPsec не используется
На внутренних серверах приложений может использоваться
любая ОС
Доступ к определенным серверам (modified end-toedge)
Шифрованный трафик от DA-клиента до DA-сервера, во
внутренней сети используется аутентификация (ESP+NULL
или AH) на выбранных серверах
Клиент может быть уверен, что подключается именно к
выбранному серверу
Сквозной (end-to-end)
Туннель IPsec устанавливается от DA-клиента через DAсервер до сервера приложений
Microsoft Платформа 2010
http://msplatforma.ru
NRPT
Поддерживается в Windows 7 и Windows
Server 2008 R2
Задает DNS-серверы для пространства имен
Позволяет разделить внутренний и внешний
трафики
Если DA-клиент определяет, что находится за
пределами интранета, он использует NRPT
Exemption Policy
Содержит имена, которые всегда должны
разрешаться через внешние DNS-серверы
При обработке таких имен DA-клиент игнорирует
внутренние DNS-серверы
Microsoft Платформа 2010
http://msplatforma.ru
Настройка NRPT
Настраивается через групповую политику
Computer Configuration | Policies | Windows
Settings |Name Resolution Policy
Можно просмотреть с помощью Netsh
Netsh name show policy
Microsoft Платформа 2010
http://msplatforma.ru
Определение местоположения
Для определения местоположения DA-клиента
(в Интернете или в корпоративной сети) при
настройке DirectAccess необходимо задать
несколько параметров:
Имя DNS для интранет-ресурсов
IP-адрес, в который должно разрешаться это имя
IPv6-префикс для интранет-сети
HTTPS-URL для некоторого веб-сервера
Microsoft Платформа 2010
http://msplatforma.ru
Определение местоположения
При подключении к сети для определения
местоположения DA-клиент:
Выполняет инициирующий DNS-тест
Пытается разрешить пробное имя и сравнить с заданным
пробным адресом
Использует Site Prefix List
Пытается подключиться к веб-серверу по
заданному HTTPS-URL
Microsoft Платформа 2010
http://msplatforma.ru
Требования к инфраструктуре
Сервер DirectAccess
Windows Server 2008 R2
Член домена Active Directory
Как минимум два физических сетевых адаптера
Как минимум два публичных адреса IPv4
Возможно развертывание нескольких серверов для
обеспечения масштабируемости
Клиент DirectAccess
Windows 7 Ultimate или Enterprise
Член домена Active Directory
Microsoft Платформа 2010
http://msplatforma.ru
Требования к инфраструктуре
Active Directory
Как минимум один домен
Group Policy
Для централизованного управления
Контроллер домена
Как минимум один DC с Windows Server 2008 или выше
Public key infrastructure (PKI)
Для выдачи компьютерных сертификатов
CRL должен быть доступен извне
Политики IPsec
Часть Windows Firewall with Advanced Security
Транзитные технологии IPv6
ISATAP, Teredo, 6to4
Microsoft Платформа 2010
http://msplatforma.ru
Исключения Firewall
Внешний интерфейс
Name
Teredo
6to4
IP-HTTPS
Native IPv6
UDP 3544
X
N/A
N/A
N/A
Protocol 41
N/A
X
N/A
N/A
TCP 443
N/A
N/A
X
N/A
ICMPv6
N/A
N/A
N/A
X
Protocol 50
N/A
N/A
N/A
X
UDP 500
IKE/AuthIP
X
X
N/A
X
Microsoft Платформа 2010
http://msplatforma.ru
Исключения Firewall
Интранет
Name
Native IPv6
IPv4 + NAT-PT
TCP
X
X
UDP
X
X
ICMPV6
X
All IPv6 connectivity
X
UDP 500 IKE/AuthIP
X
Protocol 41
ISATAP
X
Microsoft Платформа 2010
X
http://msplatforma.ru
Настройка DirectAccess
Демонстрация
Бешков Андрей
Эксперт
Microsoft
Microsoft Платформа 2010
http://msplatforma.ru
Итоги
DirectAccess обеспечивает прозрачный
доступ к корпоративным ресурсам вне
зависимости от местонахождения клиента
DirectAccess позволяет управлять
удаленными клиентами вне зависимости от
их расположения
DirectAccess повышает уровень
безопасности удаленных клиентов
Microsoft Платформа 2010
http://msplatforma.ru
Ресурсы
Мой блог:
http://blogs.technet.com/abeshkov
Раздел TechNet, посвященный
DirectAccess:
http://www.directaccess.com
Русскоязычный раздел сайта Microsoft по
Windows Server:
http://www.microsoft.com/rus/windowsserve
r
Портал TechDays:
http://www.techdays.ru
Microsoft Платформа 2010
http://msplatforma.ru
Скачать