TECH DOC

Категории

Other [5]

Map

Теги

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Поделиться

Каталог статей

Главная » Статьи » Security » Other

Объяснение новинок от Microsoft, касающихся надежного удаленного доступа

В настоящее время удаленный доступ – животрепещущая тема. Так и должно быть. Есть масса способов для удаленного доступа, но общая проблема состоит в том, что людям нужен доступ к информации повсеместно, всегда, через любые устройства. Прошли времена того подхода, когда доступ возможен был только с помощью специфических устройств, расположенных в специальных местах. Особенно это касается корпоративного сценария, когда людям необходимо получать информацию, касающуюся бизнеса, везде и всегда, причем с любого устройства: ноутбуков, настольных компьютеров, телефонных аппаратов, смартфонов, даже MP3-плейеров. Информационным технологиям пришлось суметь воплотить все это в жизнь.
 

В настоящее время удаленный доступ – животрепещущая тема. Так и должно быть. Есть масса способов для удаленного доступа, но общая проблема состоит в том, что людям нужен доступ к информации повсеместно, всегда, через любые устройства. Прошли времена того подхода, когда доступ возможен был только с помощью специфических устройств, расположенных в специальных местах. Особенно это касается корпоративного сценария, когда людям необходимо получать информацию, касающуюся бизнеса, везде и всегда, причем с любого устройства: ноутбуков, настольных компьютеров, телефонных аппаратов, смартфонов, даже MP3-плейеров. Информационным технологиям пришлось суметь воплотить все это в жизнь.
 

По моим данным, из доступных на текущий момент технологий, ключевыми технологиями, предлагаемыми Microsoft, обеспечивающими вашей организации безопасный удаленный доступ, являются:
 
  • Службы Windows Server 2008 NPS Routing and Remote Access VPN
  • Windows Server 2008 Terminal Services Gateway
  • Microsoft ISA 2006 и Forefront Threat Management Gateway (TMG)
  • Intelligent Application Gateway 2007 и Unified Access Gateway (UAG)
Службы Windows Server 2008 NPS Remote Access VPN
 
 

Серверы Windows со времен Windows NT включают в себя сервер VPN. С того времени нам всегда был доступен протокол Point to Point Tunneling Protocol(PPTP) для VPN. Проблема заключается в том, что многие эксперты высказываются против протокола PPTP из-за некоторых неизбежных слабостей в протоколе, делающих нежелательным его использование в производственных сетях. И хотя есть способы несколько увеличить уровень надежности PPTP, он все же представляет интерес, в основном, только с исторической точки зрения.
 

Серверы Windows со времен Windows NT включают в себя сервер VPN. С того времени нам всегда был доступен протокол Point to Point Tunneling Protocol(PPTP) для VPN. Проблема заключается в том, что многие эксперты высказываются против протокола PPTP из-за некоторых неизбежных слабостей в протоколе, делающих нежелательным его использование в производственных сетях. И хотя есть способы несколько увеличить уровень надежности PPTP, он все же представляет интерес, в основном, только с исторической точки зрения.
 

В Windows Server 2008 расширены возможности VPN добавлением протокола Secure Socket Tunneling Protocol (SSTP). Протокол SSTP представляет собой протокол PPP над протоколом SSL. Работа через SSL является серьезным преимуществом, и почти любой брандмауэр и прокси разрешает исходящие соединения по протоколу SSL. SSTP будет работать, даже когда клиент находится за брандмауэром или прокси (и даже за брандмауэрами, основанными на технологии прокси, как, к примеру, брандмауэр ISA или TMG). SSTP является частью службы Windows Server 2008 NPS Routing and Remote Access Service и может дать фору всем аналогичным протоколам аутентификации пользователей, использующимся L2TP/IPsec. Единственным недостатком SSTP на сегодняшний день является необходимость быть очень осторожным с изменениями настроек и порядком, в котором производятся эти изменения, так как в противном случае можно сильно усложнить управление. При всем этом SSTP приносит администраторам Windows VPN невероятную пользу.
 
Windows Server Terminal Services
 

Наряду с решениями Routing and Remote Access VPN, доступными в нескольких последних версиях Windows Server, также был включен компонент Terminal Services (Службы терминальных подключений). Хотя его не было в версии Windows NT RTM, его сделали доступным в дальнейших продуктах цикла NT. Затем компонент Terminal Services стал включаться в операционные системы с выпуском Windows Server 2000. Позже были сделаны некоторые улучшения в Windows Server 2003. Но основные изменения произошли с выходом Windows Server 2008.
 

В Windows Server 2008, а также в последовавшей Windows Server 2008 R2 предлагались значительные улучшения в работе служб Terminal Services. Пользователям все еще предлагается базовая служба Terminal Server (Терминальный сервер), позволяющий пользователям подключаться к серверу через протокол RDP. Кроме того, я должен упомянуть о том, что протокол RDP был значительно переработан. Но не только эти улучшения в протоколе RDP делают компонент Windows Server 2008 Terminal Services таким необходимым. В нем есть целая серия различных улучшений. Вот они:
 
  • Terminal Services Web Access(доступ к Web)
  • Terminal Services Gateway(шлюз)
  • Terminal Service RemoteApp(удаленные программы)

Хотя в предыдущих версиях Windows Server присутствовала функция Terminal Services Web Access, в Windows Server 2008 значительно увеличена ее полезность путем интегрирования других полезных функций Windows Server 2008 Terminal Services на Web-сайте. Плюс доступ к компьютерам и приложениям через этот Web-сайт может теперь контролироваться с помощью правил доступа, основанных на определенной политике.
 

Хотя в предыдущих версиях Windows Server присутствовала функция Terminal Services Web Access, в Windows Server 2008 значительно увеличена ее полезность путем интегрирования других полезных функций Windows Server 2008 Terminal Services на Web-сайте. Плюс доступ к компьютерам и приложениям через этот Web-сайт может теперь контролироваться с помощью правил доступа, основанных на определенной политике.
 

Вы обратили внимание на то, что я сказал «службам или приложениям»? Правильно. В Windows Server 2008 Terminal Server у вас есть возможность публиковать терминальные службы и/или приложения. Функция Terminal Services RemoteApp позволяет вам публиковать помимо терминальных служб еще и приложения. Следовательно, если вы хотите, чтобы ваши пользователи имели доступ к Word’у и PowerPoint’у, вы можете опубликовать эти приложения в Terminal Services Gateway, и пользователям будут предлагаться только эти приложения, а не весь рабочий стол. Это значительно увеличивает надежность, обеспечивая функционирование принципа наименьших привилегий, при котором пользователям дается доступ только к необходимым им приложениям, а не ко всему рабочему столу, который им не нужен. Такой доступ выполняется через шлюз TSG, который к тому же может проводить строгую политику доступа к таким приложениям.
 
Internet Security and Acceleration Server 2006 и последняя новинка - Threat Management Gateway (TMG)
 

Теперь перейдем от служб, включенных в Windows Server, и рассмотрим некоторые приложения, обеспечивающие сетевую безопасность, которые Microsoft предлагает для безопасного удаленного доступа. Первой попыткой Microsoft в области устройств сетевой безопасности был продукт Proxy Server, предложенный во второй половине 1990-х. Затем он был усовершенствован в более серьезный продукт - Proxy Server 2.0. И хотя он был довольно хорошим прокси-сервером, он не был предназначен для обеспечения надежного удаленного доступа.
 
Microsoft серьезно продвинулась в деле обеспечения безопасного удаленного доступа, выпустив Microsoft Internet Security and Acceleration Server (ISA) 2000 в конце 2000 года. Это было многофункциональное устройство, включавшее безопасный исходящий доступ, безопасную публикацию серверов, а также безопасную Web-публикацию. Кроме того, в ISA 2000 была хорошая поддержка для пользователей удаленной VPN, так же как и для сетей site-to-site. Помимо этого, ISA 2000 был создан как пограничный сетевой брандмауэр, что убирало необходимость в брандмауэре 3-го уровня перед брандмауэром ISA 2000.
 
Microsoft серьезно продвинулась в деле обеспечения безопасного удаленного доступа, выпустив Microsoft Internet Security and Acceleration Server (ISA) 2000 в конце 2000 года. Это было многофункциональное устройство, включавшее безопасный исходящий доступ, безопасную публикацию серверов, а также безопасную Web-публикацию. Кроме того, в ISA 2000 была хорошая поддержка для пользователей удаленной VPN, так же как и для сетей site-to-site. Помимо этого, ISA 2000 был создан как пограничный сетевой брандмауэр, что убирало необходимость в брандмауэре 3-го уровня перед брандмауэром ISA 2000.
 

В ISA 2004 надежность удаленного доступа была значительно увеличена. Для Web-публикования был предложен HTTP Security Filter (Фильтр безопасности HTTP) для защиты от атак на SMTP, DNS и другие сервера приложений. Кроме всего прочего компоненты remote access и site to site VPN server теперь позволяли вам тщательно контролировать пользователей или группы пользователей, а также применять ту самую проверку на уровне пакетов и уровне приложения, производившуюся для всех других соединений к брандмауэру и от брандмауэра ISA.
 

Про ISA 2004 уже можно было сказать (впервые для брандмауэра от Microsoft), что это пограничный сетевой брандмауэр для предприятий, как Check Point, ASA или Netscreen.
 

Двумя годами позже был выпущен ISA 2006, включавший все те функции безопасности, которые были в ISA 2004. Кроме того, были предложены некоторые улучшения в надежности удаленного доступа:
 
  • Поддержка Kerberos Constrained Delegation (Ограниченное делегирование Kerberos - KCD) с тем, чтобы вы могли публиковать Web-сайты, требующие от пользователей использования двухфакторной аутентификации, основанной на сертификатах, на брандмауэре
  • Некоторые улучшения в функции формальной аутентификации, чтобы пользователи могли использовать гибкие формы для аутентификации на брандмауэре до того, как им разрешат публиковать Web-сайт
  • Расширенная поддержка нескольких двухфакторных методов аутентификации, например, использование одноразовых паролей RADIUS
  • Серверная аутентификация LDAP для публикования Web-сайтов, чтобы хранилища Active Directory могли использоваться в то время, когда брандмауэр не является членом домена
  • Функция Web Farm Load Balancing (Балансировка нагрузки Web-фермы), позволявшая администраторам ISA 2006 избежать высокой стоимости балансировщиков нагрузки и публиковать фермы Web-серверов за брандмауэром ISA

ISA 2006 можно также настроить так, чтобы обеспечить безопасный удаленный доступ всем службам Terminal Services в Windows Server 2008, позволяя достигать иного уровня защиты для удаленного доступа к Terminal Services.
 

Следующей версией брандмауэра ISA является новый Threat Management Gateway (TMG – Шлюз управления угрозами). TMG включает в себя все технологии безопасного удаленного доступа, присутствовавшие в предыдущих версиях брандмауэра, делая при этом ставку на безопасность исходящего доступа, и кроме этого имеет защиту от вредоносного ПО и особенно мощную СОВ (Систему обнаружения вторжений). Помимо этого, фильтрация содержимого Web автоматически включена для TMG. Это то, чего так долго ждали администраторы брандмауэра ISA.
 
Intelligent Application Gateway 2007 и UAG
 

Intelligent Application Gateway 2007 (IAG 2007) предназначается для организаций, стремящихся к высочайшему уровню безопасности для соединений удаленного доступа. В отличие от брандмауэров ISA или TMG, SSL VPN шлюз IAG 2007 представляет собой устройство для решения одной задачи: шлюз удаленного доступа для входящих соединений с сетевыми службами. В то время как брандмауэры ISA или TMG могут обеспечить такой же или более высокий уровень надежности для входящих соединений с сетевыми службами (так же, как и другие брандмауэры на сегодняшнем рынке), IAG 2007 обеспечивает наивысший уровень надежности для входящих соединений с Web- и не-Web-службами.
 

IAG включает в себя набор программных модулей, известных как Application Optimizers(Оптимизаторы приложений), дающих очень высокий уровень защиты для удаленного доступа к Web-службам. Оптимизаторы приложений позволяют IAG выполнять глубокую проверку на уровне приложения для публикуемых Web-служб. Глубокая проверка на уровне приложения предполагает позитивную и негативную логическую фильтрацию. Позитивная логическая фильтрация дает возможность IAG разрешать только взаимодействия с публикуемой Web-службой, которые считаются хорошими, а негативная логическая фильтрация блокирует соединения, которые считаются нежелательными.
 

Шлюз IAG 2007 дает возможность устанавливать четыре типа соединений. При этом он может работать как:
 
  • Обратный Web-прокси. IAG может действовать как высоконадежный обратный Web-прокси, применяя сведения о приложении для удаленного соединения с Web-службами
  • Обратный Web-прокси. IAG может действовать как высоконадежный обратный Web-прокси, применяя сведения о приложении для удаленного соединения с Web-службами
  • Устройство перенаправления сокетов. Для удаленных соединений с более сложными приложениями, требующих множественных первичных или вторичных соединений (например, Outlook MAPI/RPC), пользователи удаленного доступа могут использовать IAG как устройство перенаправления сокетов. Все протоколы, взаимодействующие через устройство перенаправления сокетов, также защищены по SSL
  • Устройство сетевого соединения. Эта возможность позволяет получать полный доступ на сетевом уровне к VPN через SSL VPN соединение. Это полезно для администраторов, которым нужен свободный удаленный доступ к сети.
Устройство сетевого соединения. Эта возможность позволяет получать полный доступ на сетевом уровне к VPN через SSL VPN соединение. Это полезно для администраторов, которым нужен свободный удаленный доступ к сети.
 

В следующей версии IAG под названием Unified Access Gateway будет продолжено создание строгого контроля на уровне приложения, который уже присутствует в IAG, а также будут добавлены некоторые функции обеспечения безопасного удаленного доступа. Самой интересной из этих функций будет поддержка новой функции удаленного соединения от Microsoft - Direct Access, которая позволит пользователям везде четко соединяться с сетью корпорации, включая соединения с доменами.
 

Основной преградой успеху Direct Access является его зависимость от IPv6. И хотя у IPv6 есть свои преимущества, многие сетевые архитектуры не поддерживают его в силу отсутствия сильной заинтересованности бизнеса в переходе на IPv6. Кроме того, далеко не везде распространено четкое представление о IPv6, что делает опасным применение его в сетях, большинство администраторов которых не поймут сгенерированный им трафик.
 

Чтобы смягчить сложности с соединением и надежностью при переходе к Direct Access и IPv6, в UAG будет реализована NAT-PT(Network Address Translation ‘ Protocol Translation – Трансляция сетевых адресов ‘ трансляция протокола). NAT-PT позволяет «родным» хостам IPv6 и приложениям взаимодействовать с «родными» хостами IPv4 и приложениями и наоборот. Такая возможность сделает применение решения Direct Access для Windows 7, выход которого ожидается в ближайшее время, и сетей Windows Server 2008 R2 более простым и надежным.
 
 
Заключение

В данной статье мы рассмотрели функции надежного удаленного доступа, доступные в настоящее время в сетях Microsoft. Некоторые из них уже были доступны в более ранних версиях Windows NT, а некоторые только становятся доступными в Windows 7 и в Windows Server 2008 R2. Каждая функция имеет свои преимущества и недостатки, каждая из них реализует определенный уровень надежности, каждая предназначена для определенных типов удаленного доступа. Я надеюсь, после прочтения этой статьи вы будете лучше понимать возможности удаленного доступа, и вы сможете выбрать такие, которые лучше всего будут решать ваши задачи, и будете в состоянии найти более подробную информацию по этим решениям.
Категория: Other | Добавил: Kogr (24.11.2009) | Автор: Томас Шиндер W
Просмотров: 971 | Рейтинг: 0.0/0

Поиск

Vir Actiy

IP

Узнай свой IP адрес

Scan File

Scan URL

+

Бесплатный анализ сайта

Статьи , новости информационных технологий , обзоры , описание ошибок , Операционные системы , системные ошибки , новые технологии , аутсорсинг , windows , Linux , VoIP , FreeBSD , Cisco , информационная безопасность , Win7 , Win8 , server , проблемы с серверами , ИТ , управление инфраструктурой и многое другое…