Главная сайта | Форум | Фотоальбом | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS | Telegram канал


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender № 722: народные GeForce 50, подорожание консолей и ролевая свобода в The Outer Worlds 2

Лучшие космические игры 2025 года - новые релизы и крупные обновления

Elite Dangerous: Trailblazers (Первопроходцы) - Большое предстоящее обновление

Gamesblender 675: новый шутер от Valve, Stellar Blade на ПК и ускоренный ИИ на GeForce RTX

Gamesblender № 674: новые боссы PlayStation, опасная стратегия Microsoft и ассасины в Японии

Gamesblender № 673: внезапная Hades II, закрытие студий Bethesda и контроль видеоигр в России

Gamesblender № 661: будущее Xbox, новая игра авторов Ori, «неправильная» Subnautica 2 и прощание с Dead Cells

Gamesblender № 660: «портативки» от Sony и Microsoft, эксклюзивы Xbox на PlayStation, сделка Epic и Disney и показ Final Fantasy VII Rebirth

Tekken 8: 10 аниме из 10

Gamesblender № 659: Death Stranding 2 и другие показы State of Play, новый президент Blizzard, отмена Deus Ex и перенос «Смуты»

Во что поиграть на этой неделе — 8 декабря

Left 2 Play - Выпуск 03 - Resident Evil: Operation Raccoon City

Во что поиграть на этой неделе — 20 апреля (God Of War, Yakuza 6, Steampunk Tower 2)

Игромания! Игровые новости, 17 апреля (Cyberpunk 2077, Heroes of the Storm, Remedy, Bioware)

Игромания! Игровые новости, 31 октября (CS: GO, Wasteland 3, Hearthstone, Уве Болл)

Игромания! Игровые новости, 5 сентября (Mass Effect, Resident Evil VII, No Man’s Sky)

Игромания! Игровые новости, 21 ноября (Watch Dogs 2, Ubisoft, Vampyr)

Игромания! ИГРОВЫЕ НОВОСТИ, 22 июля (Switch Lite, Stadia, Uplay+, Watch Dogs Legion, Overwatch)
СТАТИСТИКА
Всего материалов:
Фильмомания: 1515
Видео: 220
Каталог файлов: 95
Каталог статей: 6820
Фотоальбом: 1236
Форум: 1169/8714
Каталог сайтов: 386

Всего зарегистрировано:
Зарегистрировано: 1775
Сегодня: 0
Вчера: 0
За неделю: 1
За месяц: 3

Из них:
Пользователи: 1700
Проверенные: 23
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 33
Модераторы: 1
Администраторы: 3

Из них:
Парней 1320
Девушек 453


ON-Line всего: 4
Гостей: 4
Пользователей: 0

Сейчас на сайте:


День Рождения у: laden32(50), DarthNihilus(44), victor1998(27)
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Windows 7

DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа

Казалось бы, только вчера был выпущен на всеобщее обозрение Windows Server 2008. А сейчас, в 2009 году, нам уже нужно думать о следующей операционной системе, реализующей отношения клиент-сервер. Теперь мы уже смотрим на Windows 7 и Windows Server 2008 R2. Новые клиент-серверные системы всегда обладали количеством преимуществ достаточным, чтобы переход на такую систему того стоил, однако иногда такие улучшения и\или новые функции были не настолько революционными, чтобы мы сразу решили перейти на эту систему.

Но, думаю, Windows 7 и Windows Server 2008 R2 - не тот случай. Многие организации решили не переходить на Windows Vista, и поэтому все еще работают на машинах с Windows XP. Такие компании, конечно, понимают, что вряд ли получиться всю жизнь работать с операционной системой десятилетней давности, а некоторым об этом уже не нужно думать - тем, кто был впечатлился преимуществами Windows 7. Увеличенная производительность, уменьшенные аппаратные требования, исключительные улучшения в части информационной безопасности - все это оставляет мало поводов отказаться от перехода на Windows 7. Система Windows Server 2008 R2 не слишком отличается от предшественницы, и, как и в предыдущих релизах R2, содержит некоторые новые функции и возможности, но не является такой революционной, как Windows 7.

И все же, есть ли какие-нибудь кардинальные изменения в выходящей системе Windows Server 2008 R2? Готов поспорить, что таковые имеются. Хотя бы в том, что можно объединить Windows 7 с Windows Server 2008 R2. Что в этом революционного? DirectAccess.

DirectAccess - это новое VPN-решение от Microsoft, предназначенное для того, чтобы поменять ваши представления и ваш способ работы с VPN-соединениями. Вообще-то Microsoft даже хочет, чтобы вы не считали DirectAccess VPN-решением (как на самом деле); в Microsoft думают, что у вас был неудачный опыт работы с VPN на протяжении многих лет, так что если вы посчитаете DirectAccess VPN-технологией, вас это не слишком воодушевит, и, возможно, вы откажетесь поближе познакомиться с решением DirectAccess, которое в корне меняет все, что связано с VPN.

VPN предоставляла пользователям возможность подключаться к ресурсам в вашей корпоративной сети, реализуя соединение на виртуальном уровне (уровень 2) с вашей корпоративной сетью. Идея, в принципе, хорошая, ведь пользователи должны были работать в этом случае так же, как будто они были подключены в действительности к сети компании с помощью Ethernet или беспроводного подключения.

Так в чем же дело? Что за проблемы возникали при работе с традиционными VPN сетевого уровня?

  • Брандмауэры и устройства Web proxy часто запрещали исходящие соединения протоколам, необходимым для соединения с сервером VPN
  • Устройства NAT требовали наличия редакторов NAT для некоторых протоколов VPN. А редакторы NAT часто либо отсутствовали, либо были слабо реализованы (как, например, Linksys PPTP NAT editor). Кроме того, VPN на IPsec страдали от того, что производители не требовали соответствия с RFC, в качестве примера - реализация IPsec в некоторых серверах SonicWall VPN.
  • Не существует способа убедиться в том, что исходная и целевая сети имеют различные номера, так как люди часто используют одни и те же адресные пространства. А пользователи не смогут подключиться к корпоративной сети, когда номера сетей совпадают, из-за коллизии подсетей
  • Пользователи должны инициировать VPN-соединение вручную. Это усложняет работу пользователя, а также вызывает массу звонков в службы техподдержки, когда пользователи начинают получать сообщения о каких-то ошибках, даже если собственно с VPN-соединением проблем нет
  • Поскольку VPN-соединение пользователи должны инициировать вручную, их машины не имеют доступа к VPN, пока пользователь не запустит соединение. Поэтому отключенные машины не доступны с консоли сетевого администратора, и их сложно контролировать в части, касающейся информационной безопасности и политик управления

При всех этих проблемах с VPN сетевого уровня удивительно, что мы вообще их использовали. На самом деле, VPN сетевого уровня использовались все меньше и меньше по мере того, как выходили новые решения для удаленного доступа. Такие решения не только проще для пользователей, но и лучше с точки зрения информационной безопасности, так как они реализовывали принцип наименьших привилегий. При таком подходе пользователи получали доступ к необходимым службам и данным, но не более того.

Для примера рассмотрим следующие технологии:

  • Outlook Web Access (OWA): OWA дает пользователям доступ к службам Exchange с использованием соединения Web-браузера через HTTPS. Пользователям не нужен удаленный доступ сетевого уровня для подключения к почтовой и календарной информации
  • Outlook RPC/HTTP: Протокол RPC/HTTP обеспечивает пользователей всеми преимуществами клиента Outlook, не требуя полного доступа к сети, как в случае с VPN-соединением сетевого уровня. Взаимодействия в Outlook RPC/MAPI инкапсулируются в соединении HTTP и шифруются согласно протоколу SSL
  • Terminal Services Gateway: Вместо того чтобы включить полный сетевой доступ для разрешения удаленного доступа к терминальному серверу или операционной системе компьютера в корпоративной сети, вы можете воспользоваться преимуществами TSG и инкапсулировать соединения RDP в HTTP-туннеле, а затем зашифровать его с помощью протокола SSL. Опять же, нет никакой необходимости в полном соединении сетевого уровня, чтобы дать пользователям возможность работать с нужными им службами

Конечно, раскрытие этих сервисов в Интернете обнаруживает слабое с точки зрения информационной безопасности конструирование, так как при этом разрешается неограниченный доступ к вашим front-end серверам через Интернет. Для защиты этих серверов требуется какое-нибудь решение. Два наиболее часто используемых в данном случае решения – передовые брандмауэры, обладающие наборами функций смешанной сети и прокси-брандмауэра, а также SSL-VPN-шлюзы.

Вот два хороших решения:

  • Forefront Threat Management Gateway 2010: Forefront TMG (TMG) представляет собой смешанный прокси и брандмауэр сетевого уровня со всесторонней защитой от спама, защитой от вредоносных программ, а также передовыми возможностями IDS/IPS. Кроме наборов функций Web-прокси и брандмауэра сетевого уровня, также обеспечивается возможность входящего SSL-моста, то есть брандмауэр TMG может использоваться для начальной аутентификации и проверки входящих соединений с вашими серверными приложениями. Это значительно уменьшает риски от раскрытия этих front-end серверных приложений Интернету
  • Intelligent Application Gateway 2007 (IAG) и выходящий Unified Access Gateway (UAG): IAG и UAG являются всеобъемлющими SSL-VPN-решениями, позволяющими вам защитить front-end серверы приложений от атак из Интернета. IAG 2007 и UAG реализуют множество SSL-VPN-технологий получения безопасного удаленного доступа к информации в корпоративной сети. IAG 2007 и UAG увеличивают надежность, обеспечиваемую брандмауэрными технологиями, например, Forefront TMG, применением положительных и отрицательных логических фильтров, блокирующих известные вредные соединения и потенциальные атаки нулевого дня, а также предлагают аутентификационные возможности, расширяющие все то, что могут предложить SSL-VPN-решения.

Хотя технологии front-end серверных приложений и шлюзы безопасности, очевидно, полезны в деле уменьшения рисков и сложностей по сравнению с традиционными VPN-решениями сетевого уровня, в этой области еще многое предстоит сделать. Вам нужно настроить сервер приложений, потом вам нужно настроить front-end сервер приложений (для чего нужно поместить его в DMZ, так как это узел, обращенный к Интернету), затем нужно настроить брандмауэр или SSL-VPN-шлюз перед front-end сервером. Вам нужно установить необходимый контроль доступа между всеми зонами безопасности, а еще вам нужно проводить мониторинг всех соединений между зонами безопасности. Одно неудачное место в этой "цепи недоверия", а все будет испорчено.

Что же делать? Должен быть другой способ.

Выход - DirectAccess

Существует ли лучший способ или нет - зависит от типа клиентских машин, с которыми вы работаете. Для неуправляемых клиентов с неизвестной конфигурацией и неизвестным состоянием в части информационной безопасности лучше использовать front-end соединения с серверами приложений, защищенные передовыми брандмауэрами или SSL-VPN-шлюзами. Нет такого способа разобраться с неуправляемостью и сделать вид, что VPN-соединения сетевого уровня для таких узлов можно сделать надежными. Наименьшие привилегии - сильнейшее оружие в вашем арсенале, когда речь заходит о неуправляемых узлах, и брандмауэрные или шлюзовые решения - лучший способ воплотить наименьшие привилегии.

А что насчет управляемых узлов? Что, если речь идет о пользователях, которым компания выдала ноутбуки? Вы вылезали из кожи, чтобы сделать надежную сборку на каждом из этих компьютеров; и когда бы пользователь ни подключался к корпоративной сети, он получает обновления политики, его компьютер проверяется на наличие последних обновлений в области безопасности и обновлений приложений перед тем, как ему разрешат воспользоваться ресурсами сети; и все это благодаря Microsoft Network Access Protection (NAP).

Проблема в том, что такие пользователи могут никогда и не вернуться в корпоративную сеть, или никогда с ней не соединиться. Вы могли сделать новую сборку, а потом отправить компьютер в другой город, в другую страну, на другой континент. В таких ситуациях компьютер обычно вне вашего контроля, пока пользователь не вернется в корпоративную сеть, пока не обратиться в головной офис, или филиал, возможно, с использованием традиционной VPN сетевого уровня. И вы никогда не знаете, когда такое может случиться, и случится ли вообще. Это значит, что ваш так тщательно настроенный ноутбук очень быстро устареет и без поддержки полностью выйдет из строя. Хуже того, вы можете и не узнать, что происходит, поскольку он не будет в сфере доступа ваших решений, касающихся мониторинга, управления и отчетности системного центра.

Все меняется с DirectAccess. Когда у вас есть клиенты Windows 7 и сервер DirectAccess на Windows Server 2008 R2, клиент автоматически вызывает сервер DirectAccess при загрузке компьютера. Клиент использует IPsec для обеспечения надежности соединения и использует IPv6 для соединения с серверами корпоративной сети. Так как клиенты находятся за устройством NAT, и они работают с IPv4, клиенты Windows 7 могут воспользоваться множеством технологий NAT Traversal и IPv6 transition, чтобы обеспечить соединения с сервером DirectAccess, а затем и серверами корпоративной сети.

Обратите внимание, что пользователям не обязательно входить в систему для установления соединения с DirectAccess. Это значит, что вы можете управлять этими машинами, пока они включены. Соединение DirectAccess является двунаправленным, поэтому вы сможете соединиться с этими машинами, произвести их инвентаризацию и применить политики безопасности и управления к этим машинам так, как будто они соединены с сетью.

Когда пользователь входит в систему, устанавливается второе VPN-соединение. Однако в отличие от обычных PPTP, L2TP/IPsec или SSTP VPN, пользователи подключаются к VPN DirectAccess автоматически. Пользователям не нужно ставить галочки, не нужно нажимать кнопки, на которых написано "Подключиться к корпоративной сети". Пользователю также не нужно думать о нахождении за брандмауэром или прокси, так как единственное требование - брандмауэр или прокси должен разрешать исходящий HTTPS-доступ. Так как порт SSL - универсальный для брандмауэров, у пользователей не должно возникнуть никаких проблем с подключением к серверам DirectAccess.

И что теперь? Обратите внимание на следующее:

  • Пользователи открывают Outlook, и он сразу начинает работать, так как у клиентской машины есть виртуальное подключение на сетевом уровне к машинам с включенным IPv6 в сети
  • Пользователям теперь не нужно использовать OWA, так как их родные MAPI-соединения с Exchange легко разрешаются через DirectAccess
  • Когда пользователь получает почтовое сообщение, содержащее ссылку на файловый сервер или сайт SharePoint в intranet, пользователь просто щелкает ссылку, и все работает. Вам не нужно думать о публиковании этих ресурсов в Интернете и сталкиваться с проблемами с DNS, касающихся транслирования имен intranet в имена Интернета
  • Компьютеры автоматически оцениваются NAP, и их параметры меняются на основании корпоративной политики. Это происходит всегда, когда компьютер запускается и подключается к VPN DirectAccess. Это значит, что ваши управляемые клиентские машины будут поддерживаться всегда и везде

Это всего лишь несколько примеров того, что вы получаете при развертывании DirectAccess в вашей сети. Ясно, что DirectAccess - это не только отличное VPN-решение удаленного доступа, но и то, что изменит весь ваш подход ко всей концепции VPN в будущем.

Заключение

Помните, что здесь мы говорим об управляемых компьютерах. Это компьютеры - члены доменов - находящиеся под корпоративным контролем и руководством; от них вы должны были бы ожидать большего, чем от неуправляемых машин. Как вы видите, DirectAccess позволяет вам реализовать эти высокие ожидания вне зависимости от местонахождения машины. DirectAccess позволяет вам расширить сферу влияния политики безопасности и управления доменом на все компьютеры, которые вы обслуживаете, причем производить это каждый раз, когда компьютер включается, даже если пользователь не входит в систему.

Во второй части этого цикла статей я углублюсь в подробности работы DirectAccess, и расскажу о требованиях, протоколах и тех сведениях, которые понадобятся вам, чтобы заставить DirectAccess работать. Там есть масса изменяемых настроек, но даже близко не столько, сколько в других решениях (скажем, в NAP). Вы наверняка достаточно быстро освоитесь с DirectAccess. Но сначала нужно проверить ваше понимание и разобраться с потенциальными проблемами; это мы обсудим во второй части.


Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
Новая версия утилиты для борьбы с троянцем-вымогателем от «Доктор Веб»
Firefox скачан более миллиарда раз
Трейлер авиа-симулятора IL-2: Sturmovik: Birds of Prey
10 препятствий между вами и прекрасной жизнью
Assassin's Creed 2 закончится на самом интересном месте
Компьютерный шпионаж. Часть 2. Взлом паролей к архивам
Роботы станут еще больше похожи на людей
В России вышла игра Resident Evil 5 для Р
Администрирование: Что входит в новый набор Microsoft Application Compatibility Toolkit
RapidShare грозит закрытие
Видео-обзор экшена Ninja Gaiden Sigma 2 для PlayStation 3
Лечение уринотерапией
Новый трейлер Blur объясняет систему бонусов
Что нового на фронте безопасности в Windows 7?
Перенесена дата выпуска The Lord of the Rings: Aragorn's Quest
Как сберечь интимную близость после рождения ребенка
Космический трактор-тягач спасет землян от астероидов
Обзор продукта Windows Vista для IT профессионалов (стр. 1)
Нужен ответ: иди в интернет.
Intel выпустила четырехъядерные процессоры Core i7 для ноутбуков

Если вам понравился материал "DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Windows 7 | Добавил: Фокусник (28.09.2009)
Просмотров: 1642

Ниже вы можете добавить комментарии к материалу " DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ

WMZ: Z143317192317

Boosty - Donate

Payeer: P48650932
На кофе / ko-fi
На пиво / wayforpay
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.




Получи 10 ГБ места бесплатно, на всю жизнь.


Boosty – сервис по сбору донатов.
Стрит-арт-видео - Nowhere Near Here
Стрит-арт-видео - Nowhere Near Here
Обновление 0.10.7: Подводные лодки в Ранговых боях | World of Warships
Обновление 0.10.7: Подводные лодки в Ранговых боях | World of Warships
Видеообзор игры Halo: The Master Chief Collection
Видеообзор игры Halo: The Master Chief Collection
Чика из Перми - Роллы
Чика из Перми - Роллы
Поющие Трусы - Интим не предлагать
Поющие Трусы - Интим не предлагать
The Crew
The Crew
Gamesblender № 318: анонс Evil Genius 2, киберфутбол как официальный спорт, будущее Crash Bandicoot
Gamesblender № 318: анонс Evil Genius 2, киберфутбол как официальный спорт, будущее Crash Bandicoot
Видеообзор игры Bloodborne: The Old Hunters
Видеообзор игры Bloodborne: The Old Hunters
4 Strings - Take Me Away
4 Strings - Take Me Away
E3 2018 удалась? мнение
E3 2018 удалась? мнение

Новые прикольные демотиваторы для вашего хорошего настроения (18 фото)
Новые прикольные демотиваторы для вашего хорошего настроения (18 фото)
Впечатляющее восстановление старых автомобилей (15 фото)
Впечатляющее восстановление старых автомобилей (15 фото)
Когда сон сморил в самый неожиданный момент (10 фото)
Когда сон сморил в самый неожиданный момент (10 фото)
Сборник демотиваторов для настроения (15 фото)
Сборник демотиваторов для настроения (15 фото)
9-летняя австралийка пародирует знаменитостей, используя повседневные предметы (25 фото)
9-летняя австралийка пародирует знаменитостей, используя повседневные предметы (25 фото)
Зрелищные виды с высоты птичьего полёта
Зрелищные виды с высоты птичьего полёта
ТОП-25: Факты об акулах, которые вам могут быть интересны
ТОП-25: Факты об акулах, которые вам могут быть интересны
Прикольные фото и веселые картинки - 31 шт
Прикольные фото и веселые картинки - 31 шт
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2025, Alex LTD and System PervertedХостинг от uCoz