Подключение через DirectAccess

Введение

В операционных системах Windows — Windows^® 7 и Windows Server^® 2008 R2 — представлена функция DirectAccess. Это новое решение, которое обеспечивает равные возможности для сотрудников вне зависимости от того, работают они удаленно или на рабочем месте в офисе. Благодаря DirectAccess удаленные пользователи могут получать доступ к общим папкам, веб-сайтам и приложениям корпоративной сети, не подключаясь к виртуальной частной сети (VPN).

DirectAccess позволяет устанавливать двухстороннюю связь с корпоративной сетью всякий раз, когда переносной компьютер пользователя с включенной функцией DirectAccess подключается к Интернету, — даже до того, как пользователь войдет в сис­тему. Благодаря DirectAccess пользователям никогда не придется думать о том, подклю­чены ли они к корпоративной сети. DirectAccess имеет свои преимущества и для ИТ-специалистов: сетевые администраторы могут управлять удаленными компьютерами за пределами офиса, даже когда эти компьютеры не подключены к виртуальной част­ной сети (VPN). С помощью функции DirectAccess организации, уделяющие большое внимание нормативным требованиям, могут обеспечить их соблюдение и для пере­носных компьютеров.

В настоящем документе описаны преимущества функции DirectAccess, принципы его работы, а также необходимые условия для ее развертывания в организации.

Потребности мобильных сотрудников

Все больше пользователей становятся мобильными, продолжая активно работать и за пределами офиса. По данным исследования IDC[i], с III квартала 2008 г. производители компьютеров стали поставлять на мировой рынок больше переносных компьютеров по сравнению с настольными. Ожидается, что количество мобильных пользователей продолжит расти: в 2008 г. мобильные сотрудники будут составлять 26,8 % от всего занятого населения, а к 2011 г. это соотношение увеличится до 30,4 %[ii].

Однако способ доступа пользователей к сетевым ресурсам не изменился. И хотя за пределами офиса пользователи могут подключаться к Интернету, используя домаш­нюю широкополосную сеть, широкополосную беспроводную сеть или Wi-Fi, доступ к ресурсам в интрасети им преграждают корпоративные брандмауэры. Работать с ресурсами интрасети могут лишь пользователи, которые физически к ней подклю­чились. Это также создает проблемы при управлении компьютерами, поскольку ИТ-администраторы могут обновлять компьютеры, лишь когда те подключены к интрасети. Для того чтобы обойти это ограничение, во многих организациях используются вир­туальные частные сети.

Проблемы использования виртуальных частных сетей

Как правило, пользователи подключаются к ресурсам интрасети посредством виртуаль­ной частной сети. Однако использование виртуальной частной сети может быть неудобным по ряду причин.

· Подключение к виртуальной частной сети выполняется в несколько этапов, и пользователям приходится ждать завершения проверки подлинности. В орга­низациях, где перед подключением компьютера выполняется проверка его рабо­тоспособности, установка VPN-подключения может занять несколько минут.

· Каждый раз, когда у пользователя прерывается соединение с Интернетом, ему нужно повторно устанавливать VPN-подключение.

· Установка VPN-подключений может зачастую оказаться проблематичной в средах с фильтрацией VPN-трафика.

· Если и трафик интрасети, и интернет-трафик проходят через VPN-подключение, это может привести к снижению скорости работы через Интернет.

Учитывая эти неудобства, многие пользователи отказываются подключаться к виртуаль­ной частной сети. Вместо этого для подключения к ресурсам интрасети они используют шлюзы приложений, например веб-клиент Microsoft^® Outlook^® Web Access (OWA). С помощью веб-клиента Outlook пользователи могут получать доступ к внутренней электронной почте, не устанавливая VPN-подключение. Однако им по-прежнему прихо­дится подключаться к виртуальной частной сети для того, чтобы открывать документы, расположенные в общих папках интрасети (например, если ссылки на такие документы включены в сообщения электронной почты).

Подключение через DirectAccess

Функция DirectAccess позволяет преодолеть ограничения, связанные с использованием виртуальных частных сетей, благодаря автоматической установке двухстороннего соединения между клиентскими компьютерами и корпоративной сетью. Функция DirectAccess основана на проверенных, стандартизированных технологиях — протоколах IPsec и IPv6.

DirectAccess использует протокол IPsec для проверки подлинности компьютера и пользователя, что позволяет ИТ-специалистам управлять компьютером еще до того, как пользователь войдет в систему. Так же дополнительно можно установить использование смарт-карт для проверки подлинности пользователей.

Для шифрования обмена данными через Интернет в DirectAccess также применяется протокол IPsec. Можно использовать такие методы шифрования IPsec, как Triple DES (3DES) и AES.

Клиенты устанавливают туннель IPsec для передачи трафика IPv6 на сервер DirectAccess, который выступает в роли шлюза для доступа к интрасети. На рис. 1 показан клиент DirectAccess, устанавливающий соединение с сервером DirectAcess через Интернет (IPv4). Клиенты могут устанавливать такое соединение, даже если они находятся в сети, защищенной брандмауэром.

Рис. 1. Доступ клиентов DirectAccess к интрасети по протоколам IPv6 и IPsec

Клиент DirectAccess устанавливает два туннеля IPsec.

· Туннель IPsec ESP с использованием сертификата компьютера. Этот туннель обеспечивает доступ к серверу DNS и контроллеру домена в интрасети. Таким образом, компьютер может загружать объекты групповой политики и запрашивать проверку подлинности от имени пользователя.

· Туннель IPsec ESP с использованием сертификата компьютера и учетных данных пользователя. Этот туннель выполняет проверку подлинности поль­зователя и обеспечивает доступ к ресурсам и серверам приложений в интра­сети. Например, этот туннель необходимо создать для того, чтобы клиент Microsoft Outlook мог загрузить электронную почту с сервера Microsoft Exchange в интрасети.

После создания туннелей к серверу DirectAccess клиент может отправлять по ним трафик в интрасеть. Сервер DirectAccess можно настроить таким образом, чтобы он контроли­ровал, какие приложения могут запускать удаленные пользователи и к каким ресурсам в интрасети им предоставлен доступ.

Клиенты DirectAccess могут подключаться к ресурсам в интрасети с использованием двух типов защиты IPsec: end-to-end и end-to-edge.

End-to-End

При защите end-to-end, изображенной на рис. 2, клиенты DirectAccess устанавливают сеанс IPsec (показан зелеными стрелками) через сервер DirectAccess с каждым серве­ром приложений, к которому они подключаются. Это обеспечивает высочайший уровень безопасности, поскольку на сервере DirectAccess можно настроить управление досту­пом. Однако для такой архитектуры необходимо, чтобы серверы приложений работали под управлением ОС Windows Server 2008 или Windows Server 2008 R2 и использовали оба протокола — IPv6 и IPsec.

Рис. 2. Защита End-to-End

End-to-Edge

При защите end-to-edge, изображенной на рис. 3, клиенты DirectAccess устанавливают сеанс IPsec с сервером шлюза IPsec (который может одновременно являться сервером DirectAccess). Затем сервер шлюза IPsec перенаправляет незащищенный трафик, показанный красными стрелками, на серверы приложений в интрасети. Такая архитек­тура не требует поддержки протокола IPsec в интрасети и пригодна для любых серве­ров приложений, использующих протокол IPv6. О подключении к серверам приложений, поддерживающим только протокол IPv4, рассказывается в разделе «Использование протокола IPv6» далее в этом документе.

Рис. 3. Защита end-to-edge

Для обеспечения высочайшего уровня безопасности используйте протоколы IPv6 и IPsec во всей организации, обновите серверы приложений до ОС Windows Server 2008 или Windows Server 2008 R2 и применяйте защиту end-to-end. Это позволит выполнять проверку подлинности и, при дополнительной настройке, шифрование трафика от клиента DirectAccess к ресурсам в интрасети. Если использовать сразу два протокола (IPv6 и IPsec) в сети предприятия нежелательно, можно приме­нять защиту end-to-edge. Защита end-to-edge во многом похожа на виртуальные частные сети и так же проста в развертывании.

Примечание.Какую бы из этих двух архитектур вы ни выбрали, для выполнения требований избыточности и масштабируемости можно развернуть несколько серверов DirectAccess и подсистему балансировки нагрузки.

Не нашли, что искали? Воспользуйтесь поиском по сайту: