directaccess - безопасный прозрачный доступ к корпоративной...
DESCRIPTION
DirectAccess - безопасный прозрачный доступ к корпоративной сети. Бешков Андрей. Шаповал Александр. Синицын Артем. DirectAccess. При подключении удаленного пользователя к сети Интернет Пользователь подключается к корпоративной сети Получает доступ к необходимым внутренним ресурсам - PowerPoint PPT PresentationTRANSCRIPT
http://msplatforma.ru
Microsoft Платформа 2010
DirectAccess - безопасный прозрачный доступ к корпоративной сети
Бешков Андрей
Шаповал Александр
Синицын Артем
http://msplatforma.ru
Microsoft Платформа 2010
DirectAccess При подключении удаленного пользователя к сети Интернет
Пользователь подключается к корпоративной сети Получает доступ к необходимым внутренним ресурсам
Компьютер пользователя доступен из корпоративной сети
Возможно управление, применение обновлений и пр.
От пользователя не требуются никакие дополнительные шаги
При традиционном VPN необходимо вручную установить соединение
Пользователь по-прежнему работает с локальными ресурсами
Доступ к корпоративной сети и локальным или Интернет-ресурсам осуществляется по разным маршрутам Возможна маршрутизация всего трафика через DirectAccess
http://msplatforma.ru
Microsoft Платформа 2010
Сервер DirectAccess
Клиент DirectAccess
Корпоративные ресурсы
Внутренний трафик
Интернет трафик
Интернет Интранет
Интернетсервера
Потоки данных
http://msplatforma.ru
Microsoft Платформа 2010
Преимущества DirectAccess
Постоянный доступ к корпоративной сети Прозрачный доступ к корпоративной сети Двустороннее взаимодействие Повышенная безопасность Интегрированное решение
http://msplatforma.ru
Microsoft Платформа 2010
Технологический фундамент
Коммуникации: IPv6
Защита данных: IPsec
Разрешение имен:
DNS и NRPT
http://msplatforma.ru
Microsoft Платформа 2010
Коммуникации: IPv6
DirectAccess требует IPv6Если IPv6 не доступен, DA-клиенты используют транзитные технологии IPv6В корпоративной сети могут использоваться:
IPv6Транзитные технологии IPv6NAT-PT
IPv6: вариантыНаилучший вариант для DirectAccess – применение IPv6 в корпоративной сети
IntranetInternet
NAT-PT
Встроенный IPv6
Транзитные технологии IPv6
IPv4
http://msplatforma.ru
Microsoft Платформа 2010
Почему IPv6?
Практически неограниченное адресное пространство Разделяемый туннель (Split Tunnel)
Механизм, при котором компьютер подключен к одной сети напрямую, к другой через туннель Сложности в настройках в сетях IPv4, где часто применяются одинаковые адреса в разных подсетях Дополнительные усилия по обеспечению безопасности
Безопасность «точка-точка» NAT создает препятствия для обеспечения безопасности «точка-точка» IPv6 не требует NAT
http://msplatforma.ru
Microsoft Платформа 2010
Защита данных: IPsec IPsec тесно интегрирован с IPv6 и позволяет создавать правила, определяющие, как и когда шифровать трафик
End to edge
End to end
End to edge
End to end
http://msplatforma.ru
Microsoft Платформа 2010
Разрешение имен: DNS и NRPT
Клиенты DirectAccess применяют более «интеллектуальную» маршрутизацию При разрешении имен используется таблица политики разрешения имен (Name Resolution Policy Table)DNS-сервер может быть задан для пространства имен, не только для интерфейса
Соединение DirectAccess
Соединение Internet
http://msplatforma.ru
Microsoft Платформа 2010
Внешние коммуникации
Встроенный IPv6Внешний IPv4-адрес использует 6to4 для передачи IPv6 внутри протокола IPv4 (IP 41) Частный IPv4-адрес использует Teredo для передачи IPv6 внутри IPv4 UDP (UDP 3544)
Если нет доступа к серверу DirectAccess, используется IP-HTTPS (TCP 443)
IP-адрес, полученны
й от ISP:
Public IPv4
Клиент DirectAcces
s
Адрес IPv6 для
DirectAccess
6to4Private IPv4IPv6 TeredoIPv6
IPv6
6to4
Teredo
IP-HTTPS
http://msplatforma.ru
Microsoft Платформа 2010
Внутренние коммуникации Полная поддержка IPv6
На серверах любая ОС с поддержкой IPv6 Требуется сетевая инфраструктура IPv6 Лучший вариант в перспективе
ISATAPIPv6 внутри IPv4 Серверы Windows Server 2008 или 2008 R2 Не требуется замена маршрутизаторов
NAT-PT Трансляция IPv6 в IPv4Любая ОС на серверах Встроен в UAG
IPv6: варианты
Наилучший вариант для DirectAccess – применение IPv6 в корпоративной сети
Интранет
Интернет
NAT-PT
Встроенный IPv6
Транзитные технологии IPv6
IPv4
http://msplatforma.ru
Microsoft Платформа 2010
Архитектура Forefront UAG + DA
DirectAccess
HTTPS (443)
Layer3 VPN
Корпоративная сеть
Бизнес-партнеры AD, ADFS, RADIUS, LDAP….
Интернет-киоски
Мобильные сотрудники
Мобильные устройства
Exchange
CRM
SharePoint
IIS based
IBM, SAP, Oracle
Terminal / Remote Desktop Services
Не-web
HTTPS /
HTTP
NPS, ILM
Internet
http://msplatforma.ru
Microsoft Платформа 2010
{
Уп
равл
яем
ые
Windows 7
Всегда включен
IPv6
Windows 7
IPv6
IPv4{
PDA
Windows 7 /Windows Vista/
Windows XP
Не-Windows
Неуп
равл
ям
ые
IPv6илиIPv4
Forefront UAG и DirectAccess
Доступ к серверам с поддержкой только IPv4
Доступ для старых версий и не-Windows платформ
Масштабируемость и утравляемость
Простота внедрения и администрирования
Надежная защита периметра
http://msplatforma.ru
Microsoft Платформа 2010
Внешний IPsecСервер
DirectAccessКлиент
DirectAccessИнтернет
IP-HTTPS
Шлюз IPsec
Шифрование
IPsec+ESP
Шифрование IPsec+ESP
http://msplatforma.ru
Microsoft Платформа 2010
Внутренний IPsec Сеть
предприятия
Сервер DirectAccess
Внутренние серверы
Без IPsec
Шлюз IPsec
Аутентификация IPsec
Шифрование IPsec
http://msplatforma.ru
Microsoft Платформа 2010
Установка туннеля Сервер
DirectAccessКлиент
DirectAccessТуннель1: инфраструктурный Аутентификация: сертификат
компьютера Доступ: AD/DNS/Управление
Туннель 2: прикладной Аутентификация: сертификат компьютера + пользователь (Kerberos или сертификат)
Доступ: все
http://msplatforma.ru
Microsoft Платформа 2010
Модели доступа
Полный доступ к интранет (end-to-edge)Шифрованный трафик от DA-клиента до DA-сервера, во внутренней сети IPsec не используется На внутренних серверах приложений может использоваться любая ОС
Доступ к определенным серверам (modified end-to-edge)
Шифрованный трафик от DA-клиента до DA-сервера, во внутренней сети используется аутентификация (ESP+NULL или AH) на выбранных серверах Клиент может быть уверен, что подключается именно к выбранному серверу
Сквозной (end-to-end) Туннель IPsec устанавливается от DA-клиента через DA-сервер до сервера приложений
http://msplatforma.ru
Microsoft Платформа 2010
NRPT
Поддерживается в Windows 7 и Windows Server 2008 R2 Задает DNS-серверы для пространства имен Позволяет разделить внутренний и внешний трафики Если DA-клиент определяет, что находится за пределами интранета, он использует NRPT Exemption Policy
Содержит имена, которые всегда должны разрешаться через внешние DNS-серверыПри обработке таких имен DA-клиент игнорирует внутренние DNS-серверы
http://msplatforma.ru
Microsoft Платформа 2010
Настройка NRPT Настраивается через групповую политику
Computer Configuration | Policies | Windows Settings |Name Resolution Policy
Можно просмотреть с помощью Netsh Netsh name show policy
http://msplatforma.ru
Microsoft Платформа 2010
Определение местоположения
Для определения местоположения DA-клиента (в Интернете или в корпоративной сети) при настройке DirectAccess необходимо задать несколько параметров:
Имя DNS для интранет-ресурсов IP-адрес, в который должно разрешаться это имяIPv6-префикс для интранет-сети HTTPS-URL для некоторого веб-сервера
http://msplatforma.ru
Microsoft Платформа 2010
Определение местоположения
При подключении к сети для определения местоположения DA-клиент:
Выполняет инициирующий DNS-тест Пытается разрешить пробное имя и сравнить с заданным пробным адресом
Использует Site Prefix List Пытается подключиться к веб-серверу по заданному HTTPS-URL
http://msplatforma.ru
Microsoft Платформа 2010
Требования к инфраструктуре
Сервер DirectAccessWindows Server 2008 R2 Член домена Active Directory Как минимум два физических сетевых адаптера Как минимум два публичных адреса IPv4Возможно развертывание нескольких серверов для обеспечения масштабируемости
Клиент DirectAccess Windows 7 Ultimate или Enterprise Член домена Active Directory
http://msplatforma.ru
Microsoft Платформа 2010
Требования к инфраструктуре
Active DirectoryКак минимум один домен
Group PolicyДля централизованного управления
Контроллер домена Как минимум один DC с Windows Server 2008 или выше
Public key infrastructure (PKI)Для выдачи компьютерных сертификатов CRL должен быть доступен извне
Политики IPsecЧасть Windows Firewall with Advanced Security
Транзитные технологии IPv6ISATAP, Teredo, 6to4
http://msplatforma.ru
Microsoft Платформа 2010
Исключения Firewall Внешний интерфейс
Name Teredo 6to4 IP-HTTPS Native IPv6
UDP 3544 X N/A N/A N/A
Protocol 41 N/A X N/A N/A
TCP 443 N/A N/A X N/A
ICMPv6 N/A N/A N/A X
Protocol 50 N/A N/A N/A X
UDP 500 IKE/AuthIP
X X N/A X
http://msplatforma.ru
Microsoft Платформа 2010
Исключения Firewall Интранет
Name ISATAP Native IPv6 IPv4 + NAT-PT
Protocol 41 X
TCP X X
UDP X X
ICMPV6 X
All IPv6 connectivity
X
UDP 500 IKE/AuthIP X X
http://msplatforma.ru
Microsoft Платформа 2010
Бешков Андрей
Эксперт
Microsoft
Демонстрация
Настройка DirectAccess
http://msplatforma.ru
Microsoft Платформа 2010
Итоги
DirectAccess обеспечивает прозрачный доступ к корпоративным ресурсам вне зависимости от местонахождения клиента
DirectAccess позволяет управлять удаленными клиентами вне зависимости от их расположения
DirectAccess повышает уровень безопасности удаленных клиентов
http://msplatforma.ru
Microsoft Платформа 2010
Ресурсы
Мой блог: http://blogs.technet.com/abeshkov Раздел TechNet, посвященный DirectAccess: http://www.directaccess.com Русскоязычный раздел сайта Microsoft по Windows Server: http://www.microsoft.com/rus/windowsserver Портал TechDays: http://www.techdays.ru
