Платформа 2010 DirectAccess - безопасный прозрачный доступ к корпоративной сети Бешков Андрей Шаповал Александр Синицын Артем

Платформа 2010DirectAccess При подключении удаленного пользователя к сети Интернет Пользователь подключается к корпоративной сети Получает доступ к необходимым внутренним ресурсам Компьютер пользователя доступен из корпоративной сети Возможно управление, применение обновлений и пр. От пользователя не требуются никакие дополнительные шаги При традиционном VPN необходимо вручную установить соединение Пользователь по-прежнему работает с локальными ресурсами Доступ к корпоративной сети и локальным или Интернет- ресурсам осуществляется по разным маршрутам Возможна маршрутизация всего трафика через DirectAccess

Платформа 2010 Потоки данных

Платформа 2010 Преимущества DirectAccess Постоянный доступ к корпоративной сети Прозрачный доступ к корпоративной сети Двустороннее взаимодействие Повышенная безопасность Интегрированное решение

Платформа 2010 Технологический фундамент Коммуникации: IPv6 Защита данных: IPsec Разрешение имен: DNS и NRPT

Платформа 2010 Коммуникации: IPv6 DirectAccess требует IPv6 Если IPv6 не доступен, DA-клиенты используют транзитные технологии IPv6 В корпоративной сети могут использоваться: IPv6 Транзитные технологии IPv6 NAT-PT IPv6: варианты Наилучший вариант для DirectAccess – применение IPv6 в корпоративной сети Intranet Internet NAT-PT Встроенный IPv6 Транзитные технологии IPv6 IPv4

Платформа 2010 Почему IPv6? Практически неограниченное адресное пространство Разделяемый туннель (Split Tunnel) Механизм, при котором компьютер подключен к одной сети напрямую, к другой через туннель Сложности в настройках в сетях IPv4, где часто применяются одинаковые адреса в разных подсетях Дополнительные усилия по обеспечению безопасности Безопасность «точка-точка» NAT создает препятствия для обеспечения безопасности «точка-точка» IPv6 не требует NAT

Платформа 2010 Защита данных: IPsec IPsec тесно интегрирован с IPv6 и позволяет создавать правила, определяющие, как и когда шифровать трафик End to edge End to edge End to end End to end End to edge End to edge End to end End to end

Платформа 2010 Разрешение имен: DNS и NRPT Клиенты DirectAccess применяют более «интеллектуальную» маршрутизацию При разрешении имен используется таблица политики разрешения имен (Name Resolution Policy Table) DNS-сервер может быть задан для пространства имен, не только для интерфейса Соединение DirectAccess Соединение Internet

Платформа 2010 Внешние коммуникации Встроенный IPv6 Внешний IPv4-адрес использует 6to4 для передачи IPv6 внутри протокола IPv4 (IP 41) Частный IPv4-адрес использует Teredo для передачи IPv6 внутри IPv4 UDP (UDP 3544) Если нет доступа к серверу DirectAccess, используется IP-HTTPS (TCP 443) IP-адрес, полученный от ISP: Public IPv4 Клиент DirectAccess Адрес IPv6 для DirectAccess 6to4 Private IPv4 IPv6 Teredo IPv6 IPv6 6to4 Teredo IP-HTTPS

Платформа 2010 Внутренние коммуникации Полная поддержка IPv6 На серверах любая ОС с поддержкой IPv6 Требуется сетевая инфраструктура IPv6 Лучший вариант в перспективе ISATAP IPv6 внутри IPv4 Серверы Windows Server 2008 или 2008 R2 Не требуется замена маршрутизаторов NAT-PT Трансляция IPv6 в IPv4 Любая ОС на серверах Встроен в UAG IPv6: варианты Наилучший вариант для DirectAccess – применение IPv6 в корпоративной сети ИнтранетИнтернет NAT-PT Встроенный IPv6 Транзитные технологии IPv6 IPv4

Платформа 2010 Архитектура Forefront UAG + DA DirectAccess HTTPS (443) Layer3 VPN Бизнес-партнеры AD, ADFS, RADIUS, LDAP…. Интернет- киоски Мобильные сотрудники Мобильные устройства Exchange CRM SharePoint IIS based IBM, SAP, Oracle Terminal / Remote Desktop Services Не-web HTTPS / HTTP NPS, ILM

Платформа 2010 Всегда включен IPv6 IPv4 IPv6 или IPv4 IPv6 или IPv4 Forefront UAG и DirectAccess Доступ к серверам с поддержкой только IPv4 Доступ для старых версий и не-Windows платформ Масштабируемость и утравляемость Простота внедрения и администрирования Надежная защита периметра

Платформа 2010 Внешний IPsec IP-HTTPSIP-HTTPS Шифрование IPsec+ESP

Платформа 2010 Внутренний IPsec Без IPsec Аутентификация IPsec Шифрование IPsec

Платформа 2010 Установка туннеля Туннель1: инфраструктурный Аутентификация: сертификат компьютера Доступ: AD/DNS/Управление Туннель1: инфраструктурный Аутентификация: сертификат компьютера Доступ: AD/DNS/Управление Туннель 2: прикладной Аутентификация: сертификат компьютера + пользователь (Kerberos или сертификат) Доступ: все Туннель 2: прикладной Аутентификация: сертификат компьютера + пользователь (Kerberos или сертификат) Доступ: все

Платформа 2010 Модели доступа Полный доступ к интранет (end-to-edge) Шифрованный трафик от DA-клиента до DA-сервера, во внутренней сети IPsec не используется На внутренних серверах приложений может использоваться любая ОС Доступ к определенным серверам (modified end-to- edge) Шифрованный трафик от DA-клиента до DA-сервера, во внутренней сети используется аутентификация (ESP+NULL или AH) на выбранных серверах Клиент может быть уверен, что подключается именно к выбранному серверу Сквозной (end-to-end) Туннель IPsec устанавливается от DA-клиента через DA- сервер до сервера приложений

Платформа 2010NRPT Поддерживается в Windows 7 и Windows Server 2008 R2 Задает DNS-серверы для пространства имен Позволяет разделить внутренний и внешний трафики Если DA-клиент определяет, что находится за пределами интранета, он использует NRPT Exemption Policy Содержит имена, которые всегда должны разрешаться через внешние DNS-серверы При обработке таких имен DA-клиент игнорирует внутренние DNS-серверы

Платформа 2010 Настройка NRPT Настраивается через групповую политику Computer Configuration | Policies | Windows Settings |Name Resolution Policy Можно просмотреть с помощью Netsh Netsh name show policy

Платформа 2010 Определение местоположения Для определения местоположения DA-клиента (в Интернете или в корпоративной сети) при настройке DirectAccess необходимо задать несколько параметров: Имя DNS для интранет-ресурсов IP-адрес, в который должно разрешаться это имя IPv6-префикс для интранет-сети HTTPS-URL для некоторого веб-сервера

Платформа 2010 Определение местоположения При подключении к сети для определения местоположения DA-клиент: Выполняет инициирующий DNS-тест Пытается разрешить пробное имя и сравнить с заданным пробным адресом Использует Site Prefix List Пытается подключиться к веб-серверу по заданному HTTPS-URL

Платформа 2010 Требования к инфраструктуре Сервер DirectAccess Windows Server 2008 R2 Член домена Active Directory Как минимум два физических сетевых адаптера Как минимум два публичных адреса IPv4 Возможно развертывание нескольких серверов для обеспечения масштабируемости Клиент DirectAccess Windows 7 Ultimate или Enterprise Член домена Active Directory

Платформа 2010 Требования к инфраструктуре Active Directory Как минимум один домен Group Policy Для централизованного управления Контроллер домена Как минимум один DC с Windows Server 2008 или выше Public key infrastructure (PKI) Для выдачи компьютерных сертификатов CRL должен быть доступен извне Политики IPsec Часть Windows Firewall with Advanced Security Транзитные технологии IPv6 ISATAP, Teredo, 6to4

Платформа 2010 Исключения Firewall Внешний интерфейс NameTeredo6to4IP-HTTPSNative IPv6 UDP 3544XN/A Protocol 41N/AX TCP 443N/A X ICMPv6N/A X Protocol 50N/A X UDP 500 IKE/AuthIP XXN/AX

Платформа 2010 Исключения Firewall Интранет NameISATAPNative IPv6IPv4 + NAT-PT Protocol 41X TCPXX UDPXX ICMPV6X All IPv6 connectivityX UDP 500 IKE/AuthIPXX

Платформа 2010 Бешков Андрей Эксперт Microsoft Демонстрация Настройка DirectAccess

Платформа 2010Итоги DirectAccess обеспечивает прозрачный доступ к корпоративным ресурсам вне зависимости от местонахождения клиента DirectAccess позволяет управлять удаленными клиентами вне зависимости от их расположения DirectAccess повышает уровень безопасности удаленных клиентов

Платформа 2010Ресурсы Мой блог: Раздел TechNet, посвященный DirectAccess: Русскоязычный раздел сайта Microsoft по Windows Server: r r Портал TechDays: