Казалось бы, только вчера был выпущен на всеобщее обозрение Windows Server 2008. А сейчас, в 2009 году, нам уже нужно думать о следующей операционной системе, реализующей отношения клиент-сервер. Теперь мы уже смотрим на Windows 7 и Windows Server 2008 R2. Новые клиент-серверные системы всегда обладали количеством преимуществ достаточным, чтобы переход на такую систему того стоил, однако иногда такие улучшения и\или новые функции были не настолько революционными, чтобы мы сразу решили перейти на эту систему.
Но, думаю, Windows 7 и Windows Server 2008 R2 - не тот случай. Многие организации решили не переходить на Windows Vista, и поэтому все еще работают на машинах с Windows XP. Такие компании, конечно, понимают, что вряд ли получиться всю жизнь работать с операционной системой десятилетней давности, а некоторым об этом уже не нужно думать - тем, кто был впечатлился преимуществами Windows 7. Увеличенная производительность, уменьшенные аппаратные требования, исключительные улучшения в части информационной безопасности - все это оставляет мало поводов отказаться от перехода на Windows 7. Система Windows Server 2008 R2 не слишком отличается от предшественницы, и, как и в предыдущих релизах R2, содержит некоторые новые функции и возможности, но не является такой революционной, как Windows 7.
И все же, есть ли какие-нибудь кардинальные изменения в выходящей системе Windows Server 2008 R2? Готов поспорить, что таковые имеются. Хотя бы в том, что можно объединить Windows 7 с Windows Server 2008 R2. Что в этом революционного? DirectAccess.
DirectAccess - это новое VPN-решение от Microsoft, предназначенное для того, чтобы поменять ваши представления и ваш способ работы с VPN-соединениями. Вообще-то Microsoft даже хочет, чтобы вы не считали DirectAccess VPN-решением (как на самом деле); в Microsoft думают, что у вас был неудачный опыт работы с VPN на протяжении многих лет, так что если вы посчитаете DirectAccess VPN-технологией, вас это не слишком воодушевит, и, возможно, вы откажетесь поближе познакомиться с решением DirectAccess, которое в корне меняет все, что связано с VPN.
VPN предоставляла пользователям возможность подключаться к ресурсам в вашей корпоративной сети, реализуя соединение на виртуальном уровне (уровень 2) с вашей корпоративной сетью. Идея, в принципе, хорошая, ведь пользователи должны были работать в этом случае так же, как будто они были подключены в действительности к сети компании с помощью Ethernet или беспроводного подключения.
Так в чем же дело? Что за проблемы возникали при работе с традиционными VPN сетевого уровня?
- Брандмауэры и устройства Web proxy часто запрещали исходящие соединения протоколам, необходимым для соединения с сервером VPN
- Устройства NAT требовали наличия редакторов NAT для некоторых протоколов VPN. А редакторы NAT часто либо отсутствовали, либо были слабо реализованы (как, например, Linksys PPTP NAT editor). Кроме того, VPN на IPsec страдали от того, что производители не требовали соответствия с RFC, в качестве примера - реализация IPsec в некоторых серверах SonicWall VPN.
- Не существует способа убедиться в том, что исходная и целевая сети имеют различные номера, так как люди часто используют одни и те же адресные пространства. А пользователи не смогут подключиться к корпоративной сети, когда номера сетей совпадают, из-за коллизии подсетей
- Пользователи должны инициировать VPN-соединение вручную. Это усложняет работу пользователя, а также вызывает массу звонков в службы техподдержки, когда пользователи начинают получать сообщения о каких-то ошибках, даже если собственно с VPN-соединением проблем нет
- Поскольку VPN-соединение пользователи должны инициировать вручную, их машины не имеют доступа к VPN, пока пользователь не запустит соединение. Поэтому отключенные машины не доступны с консоли сетевого администратора, и их сложно контролировать в части, касающейся информационной безопасности и политик управления
При всех этих проблемах с VPN сетевого уровня удивительно, что мы вообще их использовали. На самом деле, VPN сетевого уровня использовались все меньше и меньше по мере того, как выходили новые решения для удаленного доступа. Такие решения не только проще для пользователей, но и лучше с точки зрения информационной безопасности, так как они реализовывали принцип наименьших привилегий. При таком подходе пользователи получали доступ к необходимым службам и данным, но не более того.
Для примера рассмотрим следующие технологии:
- Outlook Web Access (OWA): OWA дает пользователям доступ к службам Exchange с использованием соединения Web-браузера через HTTPS. Пользователям не нужен удаленный доступ сетевого уровня для подключения к почтовой и календарной информации
- Outlook RPC/HTTP: Протокол RPC/HTTP обеспечивает пользователей всеми преимуществами клиента Outlook, не требуя полного доступа к сети, как в случае с VPN-соединением сетевого уровня. Взаимодействия в Outlook RPC/MAPI инкапсулируются в соединении HTTP и шифруются согласно протоколу SSL
- Terminal Services Gateway: Вместо того чтобы включить полный сетевой доступ для разрешения удаленного доступа к терминальному серверу или операционной системе компьютера в корпоративной сети, вы можете воспользоваться преимуществами TSG и инкапсулировать соединения RDP в HTTP-туннеле, а затем зашифровать его с помощью протокола SSL. Опять же, нет никакой необходимости в полном соединении сетевого уровня, чтобы дать пользователям возможность работать с нужными им службами
Конечно, раскрытие этих сервисов в Интернете обнаруживает слабое с точки зрения информационной безопасности конструирование, так как при этом разрешается неограниченный доступ к вашим front-end серверам через Интернет. Для защиты этих серверов требуется какое-нибудь решение. Два наиболее часто используемых в данном случае решения – передовые брандмауэры, обладающие наборами функций смешанной сети и прокси-брандмауэра, а также SSL-VPN-шлюзы.
Вот два хороших решения:
- Forefront Threat Management Gateway 2010: Forefront TMG (TMG) представляет собой смешанный прокси и брандмауэр сетевого уровня со всесторонней защитой от спама, защитой от вредоносных программ, а также передовыми возможностями IDS/IPS. Кроме наборов функций Web-прокси и брандмауэра сетевого уровня, также обеспечивается возможность входящего SSL-моста, то есть брандмауэр TMG может использоваться для начальной аутентификации и проверки входящих соединений с вашими серверными приложениями. Это значительно уменьшает риски от раскрытия этих front-end серверных приложений Интернету
- Intelligent Application Gateway 2007 (IAG) и выходящий Unified Access Gateway (UAG): IAG и UAG являются всеобъемлющими SSL-VPN-решениями, позволяющими вам защитить front-end серверы приложений от атак из Интернета. IAG 2007 и UAG реализуют множество SSL-VPN-технологий получения безопасного удаленного доступа к информации в корпоративной сети. IAG 2007 и UAG увеличивают надежность, обеспечиваемую брандмауэрными технологиями, например, Forefront TMG, применением положительных и отрицательных логических фильтров, блокирующих известные вредные соединения и потенциальные атаки нулевого дня, а также предлагают аутентификационные возможности, расширяющие все то, что могут предложить SSL-VPN-решения.
Хотя технологии front-end серверных приложений и шлюзы безопасности, очевидно, полезны в деле уменьшения рисков и сложностей по сравнению с традиционными VPN-решениями сетевого уровня, в этой области еще многое предстоит сделать. Вам нужно настроить сервер приложений, потом вам нужно настроить front-end сервер приложений (для чего нужно поместить его в DMZ, так как это узел, обращенный к Интернету), затем нужно настроить брандмауэр или SSL-VPN-шлюз перед front-end сервером. Вам нужно установить необходимый контроль доступа между всеми зонами безопасности, а еще вам нужно проводить мониторинг всех соединений между зонами безопасности. Одно неудачное место в этой "цепи недоверия", а все будет испорчено.
Что же делать? Должен быть другой способ.
Выход - DirectAccess
Существует ли лучший способ или нет - зависит от типа клиентских машин, с которыми вы работаете. Для неуправляемых клиентов с неизвестной конфигурацией и неизвестным состоянием в части информационной безопасности лучше использовать front-end соединения с серверами приложений, защищенные передовыми брандмауэрами или SSL-VPN-шлюзами. Нет такого способа разобраться с неуправляемостью и сделать вид, что VPN-соединения сетевого уровня для таких узлов можно сделать надежными. Наименьшие привилегии - сильнейшее оружие в вашем арсенале, когда речь заходит о неуправляемых узлах, и брандмауэрные или шлюзовые решения - лучший способ воплотить наименьшие привилегии.
А что насчет управляемых узлов? Что, если речь идет о пользователях, которым компания выдала ноутбуки? Вы вылезали из кожи, чтобы сделать надежную сборку на каждом из этих компьютеров; и когда бы пользователь ни подключался к корпоративной сети, он получает обновления политики, его компьютер проверяется на наличие последних обновлений в области безопасности и обновлений приложений перед тем, как ему разрешат воспользоваться ресурсами сети; и все это благодаря Microsoft Network Access Protection (NAP).
Проблема в том, что такие пользователи могут никогда и не вернуться в корпоративную сеть, или никогда с ней не соединиться. Вы могли сделать новую сборку, а потом отправить компьютер в другой город, в другую страну, на другой континент. В таких ситуациях компьютер обычно вне вашего контроля, пока пользователь не вернется в корпоративную сеть, пока не обратиться в головной офис, или филиал, возможно, с использованием традиционной VPN сетевого уровня. И вы никогда не знаете, когда такое может случиться, и случится ли вообще. Это значит, что ваш так тщательно настроенный ноутбук очень быстро устареет и без поддержки полностью выйдет из строя. Хуже того, вы можете и не узнать, что происходит, поскольку он не будет в сфере доступа ваших решений, касающихся мониторинга, управления и отчетности системного центра.
Все меняется с DirectAccess. Когда у вас есть клиенты Windows 7 и сервер DirectAccess на Windows Server 2008 R2, клиент автоматически вызывает сервер DirectAccess при загрузке компьютера. Клиент использует IPsec для обеспечения надежности соединения и использует IPv6 для соединения с серверами корпоративной сети. Так как клиенты находятся за устройством NAT, и они работают с IPv4, клиенты Windows 7 могут воспользоваться множеством технологий NAT Traversal и IPv6 transition, чтобы обеспечить соединения с сервером DirectAccess, а затем и серверами корпоративной сети.
Обратите внимание, что пользователям не обязательно входить в систему для установления соединения с DirectAccess. Это значит, что вы можете управлять этими машинами, пока они включены. Соединение DirectAccess является двунаправленным, поэтому вы сможете соединиться с этими машинами, произвести их инвентаризацию и применить политики безопасности и управления к этим машинам так, как будто они соединены с сетью.
Когда пользователь входит в систему, устанавливается второе VPN-соединение. Однако в отличие от обычных PPTP, L2TP/IPsec или SSTP VPN, пользователи подключаются к VPN DirectAccess автоматически. Пользователям не нужно ставить галочки, не нужно нажимать кнопки, на которых написано "Подключиться к корпоративной сети". Пользователю также не нужно думать о нахождении за брандмауэром или прокси, так как единственное требование - брандмауэр или прокси должен разрешать исходящий HTTPS-доступ. Так как порт SSL - универсальный для брандмауэров, у пользователей не должно возникнуть никаких проблем с подключением к серверам DirectAccess.
И что теперь? Обратите внимание на следующее:
- Пользователи открывают Outlook, и он сразу начинает работать, так как у клиентской машины есть виртуальное подключение на сетевом уровне к машинам с включенным IPv6 в сети
- Пользователям теперь не нужно использовать OWA, так как их родные MAPI-соединения с Exchange легко разрешаются через DirectAccess
- Когда пользователь получает почтовое сообщение, содержащее ссылку на файловый сервер или сайт SharePoint в intranet, пользователь просто щелкает ссылку, и все работает. Вам не нужно думать о публиковании этих ресурсов в Интернете и сталкиваться с проблемами с DNS, касающихся транслирования имен intranet в имена Интернета
- Компьютеры автоматически оцениваются NAP, и их параметры меняются на основании корпоративной политики. Это происходит всегда, когда компьютер запускается и подключается к VPN DirectAccess. Это значит, что ваши управляемые клиентские машины будут поддерживаться всегда и везде
Это всего лишь несколько примеров того, что вы получаете при развертывании DirectAccess в вашей сети. Ясно, что DirectAccess - это не только отличное VPN-решение удаленного доступа, но и то, что изменит весь ваш подход ко всей концепции VPN в будущем.
Заключение
Помните, что здесь мы говорим об управляемых компьютерах. Это компьютеры - члены доменов - находящиеся под корпоративным контролем и руководством; от них вы должны были бы ожидать большего, чем от неуправляемых машин. Как вы видите, DirectAccess позволяет вам реализовать эти высокие ожидания вне зависимости от местонахождения машины. DirectAccess позволяет вам расширить сферу влияния политики безопасности и управления доменом на все компьютеры, которые вы обслуживаете, причем производить это каждый раз, когда компьютер включается, даже если пользователь не входит в систему.
Во второй части этого цикла статей я углублюсь в подробности работы DirectAccess, и расскажу о требованиях, протоколах и тех сведениях, которые понадобятся вам, чтобы заставить DirectAccess работать. Там есть масса изменяемых настроек, но даже близко не столько, сколько в других решениях (скажем, в NAP). Вы наверняка достаточно быстро освоитесь с DirectAccess. Но сначала нужно проверить ваше понимание и разобраться с потенциальными проблемами; это мы обсудим во второй части.