Главная сайта | Форум | Фотоальбом | Казуальные игры | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender № 599: «безнадежная» GTA, кооп-шутер по «Звездному десанту» и далекий ремейк «Ведьмака»

God of War: Ragnarök: Последний BOY

Bayonetta 3: Японское безумие

Gamesblender № 595: Atomic Heart / PlayStation VR2 / Call of Duty: Modern Warfare 2 / Somerville

Обзор Gotham Knights

Gamesblender № 594: God of War: Ragnarök / Resident Evil 4 / The Witcher / Age of Empires

ЕA анонсировала The Sims 5. Четвёртая часть стала бесплатной

Overwatch 2: Убийца Overwatch

Gamesblender № 592: Need for Speed Unbound / Overwatch 2 / Steam Deck / Atomic Heart / Witchfire

Saints Row (2022): Святые воскресли, но воистину ли?

Во что поиграть на этой неделе — 14 декабря + Лучшие скидки на игры

Во что поиграть на этой неделе — 10 июня (Mirror's Edge: Catalyst, Hearts of Iron 4)

Игромания! ИГРОВЫЕ НОВОСТИ, 15 июля (Nintendo Switch Lite, CoD:MW Gunfight, Gods and Monsters)

Игромания! ИГРОВЫЕ НОВОСТИ, 13 февраля (Red Dead Redemption 2, Fear The Wolves, The Surge 2, Google)

Игромания! Игровые новости, 27 марта (Сериал Assassin’s Creed, Fallout 4 VR, Mass Effect: Andromeda)

Игромания! Игровые новости, 25 апреля (PlayStation 5, Xbox 360, Guitar Hero)

Во что поиграть на этой неделе — 17 августа + Лучшие скидки на игры

Во что поиграть на этой неделе — 30 июня (Diablo 3: Возвращение Некроманта, Crash Bandicoot)
СТАТИСТИКА
Всего материалов:
Фильмомания: 1823
Видео: 220
Каталог файлов: 91
Каталог статей: 6613
Фотоальбом: 1236
Форум: 862/6693
Каталог сайтов: 385

Всего зарегистрировано:
Зарегистрировано: 1565
Сегодня: 0
Вчера: 0
За неделю: 3
За месяц: 13

Из них:
Пользователи: 1493
Проверенные: 21
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 32
Модераторы: 1
Администраторы: 3

Из них:
Парней 1202
Девушек 361


ON-Line всего: 1
Гостей: 1
Пользователей: 0

Сейчас на сайте:


Кто был?
Фокусник, Горыныч,
День Рождения у: AlexFF(44), baburMAN(54)
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Windows 7

DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа

Казалось бы, только вчера был выпущен на всеобщее обозрение Windows Server 2008. А сейчас, в 2009 году, нам уже нужно думать о следующей операционной системе, реализующей отношения клиент-сервер. Теперь мы уже смотрим на Windows 7 и Windows Server 2008 R2. Новые клиент-серверные системы всегда обладали количеством преимуществ достаточным, чтобы переход на такую систему того стоил, однако иногда такие улучшения и\или новые функции были не настолько революционными, чтобы мы сразу решили перейти на эту систему.

Но, думаю, Windows 7 и Windows Server 2008 R2 - не тот случай. Многие организации решили не переходить на Windows Vista, и поэтому все еще работают на машинах с Windows XP. Такие компании, конечно, понимают, что вряд ли получиться всю жизнь работать с операционной системой десятилетней давности, а некоторым об этом уже не нужно думать - тем, кто был впечатлился преимуществами Windows 7. Увеличенная производительность, уменьшенные аппаратные требования, исключительные улучшения в части информационной безопасности - все это оставляет мало поводов отказаться от перехода на Windows 7. Система Windows Server 2008 R2 не слишком отличается от предшественницы, и, как и в предыдущих релизах R2, содержит некоторые новые функции и возможности, но не является такой революционной, как Windows 7.

И все же, есть ли какие-нибудь кардинальные изменения в выходящей системе Windows Server 2008 R2? Готов поспорить, что таковые имеются. Хотя бы в том, что можно объединить Windows 7 с Windows Server 2008 R2. Что в этом революционного? DirectAccess.

DirectAccess - это новое VPN-решение от Microsoft, предназначенное для того, чтобы поменять ваши представления и ваш способ работы с VPN-соединениями. Вообще-то Microsoft даже хочет, чтобы вы не считали DirectAccess VPN-решением (как на самом деле); в Microsoft думают, что у вас был неудачный опыт работы с VPN на протяжении многих лет, так что если вы посчитаете DirectAccess VPN-технологией, вас это не слишком воодушевит, и, возможно, вы откажетесь поближе познакомиться с решением DirectAccess, которое в корне меняет все, что связано с VPN.

VPN предоставляла пользователям возможность подключаться к ресурсам в вашей корпоративной сети, реализуя соединение на виртуальном уровне (уровень 2) с вашей корпоративной сетью. Идея, в принципе, хорошая, ведь пользователи должны были работать в этом случае так же, как будто они были подключены в действительности к сети компании с помощью Ethernet или беспроводного подключения.

Так в чем же дело? Что за проблемы возникали при работе с традиционными VPN сетевого уровня?

  • Брандмауэры и устройства Web proxy часто запрещали исходящие соединения протоколам, необходимым для соединения с сервером VPN
  • Устройства NAT требовали наличия редакторов NAT для некоторых протоколов VPN. А редакторы NAT часто либо отсутствовали, либо были слабо реализованы (как, например, Linksys PPTP NAT editor). Кроме того, VPN на IPsec страдали от того, что производители не требовали соответствия с RFC, в качестве примера - реализация IPsec в некоторых серверах SonicWall VPN.
  • Не существует способа убедиться в том, что исходная и целевая сети имеют различные номера, так как люди часто используют одни и те же адресные пространства. А пользователи не смогут подключиться к корпоративной сети, когда номера сетей совпадают, из-за коллизии подсетей
  • Пользователи должны инициировать VPN-соединение вручную. Это усложняет работу пользователя, а также вызывает массу звонков в службы техподдержки, когда пользователи начинают получать сообщения о каких-то ошибках, даже если собственно с VPN-соединением проблем нет
  • Поскольку VPN-соединение пользователи должны инициировать вручную, их машины не имеют доступа к VPN, пока пользователь не запустит соединение. Поэтому отключенные машины не доступны с консоли сетевого администратора, и их сложно контролировать в части, касающейся информационной безопасности и политик управления

При всех этих проблемах с VPN сетевого уровня удивительно, что мы вообще их использовали. На самом деле, VPN сетевого уровня использовались все меньше и меньше по мере того, как выходили новые решения для удаленного доступа. Такие решения не только проще для пользователей, но и лучше с точки зрения информационной безопасности, так как они реализовывали принцип наименьших привилегий. При таком подходе пользователи получали доступ к необходимым службам и данным, но не более того.

Для примера рассмотрим следующие технологии:

  • Outlook Web Access (OWA): OWA дает пользователям доступ к службам Exchange с использованием соединения Web-браузера через HTTPS. Пользователям не нужен удаленный доступ сетевого уровня для подключения к почтовой и календарной информации
  • Outlook RPC/HTTP: Протокол RPC/HTTP обеспечивает пользователей всеми преимуществами клиента Outlook, не требуя полного доступа к сети, как в случае с VPN-соединением сетевого уровня. Взаимодействия в Outlook RPC/MAPI инкапсулируются в соединении HTTP и шифруются согласно протоколу SSL
  • Terminal Services Gateway: Вместо того чтобы включить полный сетевой доступ для разрешения удаленного доступа к терминальному серверу или операционной системе компьютера в корпоративной сети, вы можете воспользоваться преимуществами TSG и инкапсулировать соединения RDP в HTTP-туннеле, а затем зашифровать его с помощью протокола SSL. Опять же, нет никакой необходимости в полном соединении сетевого уровня, чтобы дать пользователям возможность работать с нужными им службами

Конечно, раскрытие этих сервисов в Интернете обнаруживает слабое с точки зрения информационной безопасности конструирование, так как при этом разрешается неограниченный доступ к вашим front-end серверам через Интернет. Для защиты этих серверов требуется какое-нибудь решение. Два наиболее часто используемых в данном случае решения – передовые брандмауэры, обладающие наборами функций смешанной сети и прокси-брандмауэра, а также SSL-VPN-шлюзы.

Вот два хороших решения:

  • Forefront Threat Management Gateway 2010: Forefront TMG (TMG) представляет собой смешанный прокси и брандмауэр сетевого уровня со всесторонней защитой от спама, защитой от вредоносных программ, а также передовыми возможностями IDS/IPS. Кроме наборов функций Web-прокси и брандмауэра сетевого уровня, также обеспечивается возможность входящего SSL-моста, то есть брандмауэр TMG может использоваться для начальной аутентификации и проверки входящих соединений с вашими серверными приложениями. Это значительно уменьшает риски от раскрытия этих front-end серверных приложений Интернету
  • Intelligent Application Gateway 2007 (IAG) и выходящий Unified Access Gateway (UAG): IAG и UAG являются всеобъемлющими SSL-VPN-решениями, позволяющими вам защитить front-end серверы приложений от атак из Интернета. IAG 2007 и UAG реализуют множество SSL-VPN-технологий получения безопасного удаленного доступа к информации в корпоративной сети. IAG 2007 и UAG увеличивают надежность, обеспечиваемую брандмауэрными технологиями, например, Forefront TMG, применением положительных и отрицательных логических фильтров, блокирующих известные вредные соединения и потенциальные атаки нулевого дня, а также предлагают аутентификационные возможности, расширяющие все то, что могут предложить SSL-VPN-решения.

Хотя технологии front-end серверных приложений и шлюзы безопасности, очевидно, полезны в деле уменьшения рисков и сложностей по сравнению с традиционными VPN-решениями сетевого уровня, в этой области еще многое предстоит сделать. Вам нужно настроить сервер приложений, потом вам нужно настроить front-end сервер приложений (для чего нужно поместить его в DMZ, так как это узел, обращенный к Интернету), затем нужно настроить брандмауэр или SSL-VPN-шлюз перед front-end сервером. Вам нужно установить необходимый контроль доступа между всеми зонами безопасности, а еще вам нужно проводить мониторинг всех соединений между зонами безопасности. Одно неудачное место в этой "цепи недоверия", а все будет испорчено.

Что же делать? Должен быть другой способ.

Выход - DirectAccess

Существует ли лучший способ или нет - зависит от типа клиентских машин, с которыми вы работаете. Для неуправляемых клиентов с неизвестной конфигурацией и неизвестным состоянием в части информационной безопасности лучше использовать front-end соединения с серверами приложений, защищенные передовыми брандмауэрами или SSL-VPN-шлюзами. Нет такого способа разобраться с неуправляемостью и сделать вид, что VPN-соединения сетевого уровня для таких узлов можно сделать надежными. Наименьшие привилегии - сильнейшее оружие в вашем арсенале, когда речь заходит о неуправляемых узлах, и брандмауэрные или шлюзовые решения - лучший способ воплотить наименьшие привилегии.

А что насчет управляемых узлов? Что, если речь идет о пользователях, которым компания выдала ноутбуки? Вы вылезали из кожи, чтобы сделать надежную сборку на каждом из этих компьютеров; и когда бы пользователь ни подключался к корпоративной сети, он получает обновления политики, его компьютер проверяется на наличие последних обновлений в области безопасности и обновлений приложений перед тем, как ему разрешат воспользоваться ресурсами сети; и все это благодаря Microsoft Network Access Protection (NAP).

Проблема в том, что такие пользователи могут никогда и не вернуться в корпоративную сеть, или никогда с ней не соединиться. Вы могли сделать новую сборку, а потом отправить компьютер в другой город, в другую страну, на другой континент. В таких ситуациях компьютер обычно вне вашего контроля, пока пользователь не вернется в корпоративную сеть, пока не обратиться в головной офис, или филиал, возможно, с использованием традиционной VPN сетевого уровня. И вы никогда не знаете, когда такое может случиться, и случится ли вообще. Это значит, что ваш так тщательно настроенный ноутбук очень быстро устареет и без поддержки полностью выйдет из строя. Хуже того, вы можете и не узнать, что происходит, поскольку он не будет в сфере доступа ваших решений, касающихся мониторинга, управления и отчетности системного центра.

Все меняется с DirectAccess. Когда у вас есть клиенты Windows 7 и сервер DirectAccess на Windows Server 2008 R2, клиент автоматически вызывает сервер DirectAccess при загрузке компьютера. Клиент использует IPsec для обеспечения надежности соединения и использует IPv6 для соединения с серверами корпоративной сети. Так как клиенты находятся за устройством NAT, и они работают с IPv4, клиенты Windows 7 могут воспользоваться множеством технологий NAT Traversal и IPv6 transition, чтобы обеспечить соединения с сервером DirectAccess, а затем и серверами корпоративной сети.

Обратите внимание, что пользователям не обязательно входить в систему для установления соединения с DirectAccess. Это значит, что вы можете управлять этими машинами, пока они включены. Соединение DirectAccess является двунаправленным, поэтому вы сможете соединиться с этими машинами, произвести их инвентаризацию и применить политики безопасности и управления к этим машинам так, как будто они соединены с сетью.

Когда пользователь входит в систему, устанавливается второе VPN-соединение. Однако в отличие от обычных PPTP, L2TP/IPsec или SSTP VPN, пользователи подключаются к VPN DirectAccess автоматически. Пользователям не нужно ставить галочки, не нужно нажимать кнопки, на которых написано "Подключиться к корпоративной сети". Пользователю также не нужно думать о нахождении за брандмауэром или прокси, так как единственное требование - брандмауэр или прокси должен разрешать исходящий HTTPS-доступ. Так как порт SSL - универсальный для брандмауэров, у пользователей не должно возникнуть никаких проблем с подключением к серверам DirectAccess.

И что теперь? Обратите внимание на следующее:

  • Пользователи открывают Outlook, и он сразу начинает работать, так как у клиентской машины есть виртуальное подключение на сетевом уровне к машинам с включенным IPv6 в сети
  • Пользователям теперь не нужно использовать OWA, так как их родные MAPI-соединения с Exchange легко разрешаются через DirectAccess
  • Когда пользователь получает почтовое сообщение, содержащее ссылку на файловый сервер или сайт SharePoint в intranet, пользователь просто щелкает ссылку, и все работает. Вам не нужно думать о публиковании этих ресурсов в Интернете и сталкиваться с проблемами с DNS, касающихся транслирования имен intranet в имена Интернета
  • Компьютеры автоматически оцениваются NAP, и их параметры меняются на основании корпоративной политики. Это происходит всегда, когда компьютер запускается и подключается к VPN DirectAccess. Это значит, что ваши управляемые клиентские машины будут поддерживаться всегда и везде

Это всего лишь несколько примеров того, что вы получаете при развертывании DirectAccess в вашей сети. Ясно, что DirectAccess - это не только отличное VPN-решение удаленного доступа, но и то, что изменит весь ваш подход ко всей концепции VPN в будущем.

Заключение

Помните, что здесь мы говорим об управляемых компьютерах. Это компьютеры - члены доменов - находящиеся под корпоративным контролем и руководством; от них вы должны были бы ожидать большего, чем от неуправляемых машин. Как вы видите, DirectAccess позволяет вам реализовать эти высокие ожидания вне зависимости от местонахождения машины. DirectAccess позволяет вам расширить сферу влияния политики безопасности и управления доменом на все компьютеры, которые вы обслуживаете, причем производить это каждый раз, когда компьютер включается, даже если пользователь не входит в систему.

Во второй части этого цикла статей я углублюсь в подробности работы DirectAccess, и расскажу о требованиях, протоколах и тех сведениях, которые понадобятся вам, чтобы заставить DirectAccess работать. Там есть масса изменяемых настроек, но даже близко не столько, сколько в других решениях (скажем, в NAP). Вы наверняка достаточно быстро освоитесь с DirectAccess. Но сначала нужно проверить ваше понимание и разобраться с потенциальными проблемами; это мы обсудим во второй части.


Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
Два новых компактных "цифровика" Voigtlaender серии Virtus
SPARKLE GeForce GTX 275 c 1792 Мб видеопамяти
Куннилингус - характерные мужские ошибки
Gears of War 2 не выйдет на ПК
Игра Agent от авторов GTA IV выйдет в 2010 году
128 Гб "флэшка" Kingston DataTraveler 200
"Есть покрытие!" - новый проект от компании «Доктор Веб»
Antec Skeleton ломает стереотипы о дизайне корпуса для ПК
Линейки Intel Core 2, Pentium, Celeron и Atom обновятся быстрее
Новые скриншоты Need For Speed Undercover
Руководство по включению PhysX на ноутбуках с GPU NVIDIA
Дело банды хакеров направлено в суд
Microsoft покидает создатель Internet Explorer
Объявлена дата выхода Forza Motorsport 3
«Акелла» выкупает Disciples
Duke Begins была приостановлена
Питер Джексон не верит в экранизацию Halo
Ubisoft переносит выход Splinter Cell Conviction и Red Steel 2
В Интернете выложили базы данных жителей России, Украины и СНГ
Computex 2009: 5 ГГц на воздухе для Lynnfield не проблема

Если вам понравился материал "DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Windows 7 | Добавил: Фокусник (28.09.2009)
Просмотров: 1416

Ниже вы можете добавить комментарии к материалу " DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ



WMZ: Z143317192317
WMR: R281809367609
WMP: P407353549505

Payeer: P48650932
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.

Установите Диск для Windows Папка Яндекс.Диска выглядит так же, как обычная папка на компьютере, но хранит ваши файлы ещё и на сервере Яндекса. Они доступны только вам и тем, кого вы сами выберете. А добраться до них можно с любого устройства с интернетом.
Получи 10 ГБ места бесплатно, на всю жизнь.
Отжиг президента Чувашии =)
Отжиг президента Чувашии =)
Как Онотоле регистрирует домены РФ
Как Онотоле регистрирует домены РФ
Главные новости игр | GS TIMES [GAMES] 01.07.2018 | Gears 5, Telltale, Valve
Главные новости игр | GS TIMES [GAMES] 01.07.2018 | Gears 5, Telltale, Valve
Тест на психику засмеялся проиграл
Тест на психику засмеялся проиграл
30 абсолютно гениальных самодельных изобретений для жизни
30 абсолютно гениальных самодельных изобретений для жизни
Багровая мята — Русский трейлер
Багровая мята — Русский трейлер
Приколы 2018 за июнь. Лучшая Подборка Приколов
Приколы 2018 за июнь. Лучшая Подборка Приколов
Новое реп поколение - у пацанов великое будущее
Новое реп поколение - у пацанов великое будущее
Gamesblender № 271: сплав технологий в Quake Champions и чудеса совместимости Quantum Break
Gamesblender № 271: сплав технологий в Quake Champions и чудеса совместимости Quantum Break
ЧЕГО ЖДАТЬ ОТ Е3 2018? Слухи, факты, надежды
ЧЕГО ЖДАТЬ ОТ Е3 2018? Слухи, факты, надежды

Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
Художник изобразил диснеевских персонажей в виде реальных людей (17 фото)
Еще одна порция свежих приколов (28 шт)
Еще одна порция свежих приколов (28 шт)
26 человек, которым лучше пойти к другому парикмахеру
26 человек, которым лучше пойти к другому парикмахеру
В Китае построили здание, напоминающее унитаз (4 фото)
В Китае построили здание, напоминающее унитаз (4 фото)
Сюрреалистические фотоманипуляции Зака Изи (31 фото)
Сюрреалистические фотоманипуляции Зака Изи (31 фото)
Модники и модницы на улицах Токио (19 фото)
Модники и модницы на улицах Токио (19 фото)
30 фотографий, сделанных за мгновение до провала
30 фотографий, сделанных за мгновение до провала
Оказалось, показалось что - то делают не то … (23 фото)
Оказалось, показалось что - то делают не то … (23 фото)
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2023, Alex LTD and System PervertedХостинг от uCoz