Главная сайта | Форум | Фотоальбом | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender 675: новый шутер от Valve, Stellar Blade на ПК и ускоренный ИИ на GeForce RTX

Gamesblender № 674: новые боссы PlayStation, опасная стратегия Microsoft и ассасины в Японии

Gamesblender № 673: внезапная Hades II, закрытие студий Bethesda и контроль видеоигр в России

Gamesblender № 661: будущее Xbox, новая игра авторов Ori, «неправильная» Subnautica 2 и прощание с Dead Cells

Gamesblender № 660: «портативки» от Sony и Microsoft, эксклюзивы Xbox на PlayStation, сделка Epic и Disney и показ Final Fantasy VII Rebirth

Tekken 8: 10 аниме из 10

Gamesblender № 659: Death Stranding 2 и другие показы State of Play, новый президент Blizzard, отмена Deus Ex и перенос «Смуты»

Gamesblender № 657: дата выхода S.T.A.L.K.E.R. 2, «Индиана Джонс» от авторов Wolfenstein, закрытие Piranha Bytes, Larian против подписок

Gamesblender № 656: ремастер Half-Life 2, сиквел Cyberpunk 2077 и новый конкурент Steam Deck

Gamesblender № 654: главные события 2023 года в игровой индустрии

Игромания! Игровые новости, 19 декабря (Doom 4, Minecraft, Enlisted, Тодд Говард)

Во что поиграть на этой неделе — 2 февраля (EA Sports UFC 3, Dissidia: Final Fantasy NT)

Игромания! Игровые новости, 22 августа (Resident Evil 7, Metal Gear, Mass Effect, Rainbow Six Siege)

Во что поиграть на этой неделе — 24 июня (Star Wars: Battlefront DLC, Resident Evil: Umbrella Corps)

Игромания! Игровые новости, 8 февраля (DOOM, Unreal Engine, Симулятор муравья)

Лучшие БОЕВИКИ 2016

Во что поиграть на этой неделе — 6 апреля (Infernium, The Adventure Pals, Minit)

Игромания! ИГРОВЫЕ НОВОСТИ, 14 января (S.T.A.L.K.E.R. 2, Resident Evil 3, Корсары)
СТАТИСТИКА
Всего материалов:
Фильмомания: 1513
Видео: 220
Каталог файлов: 95
Каталог статей: 6797
Фотоальбом: 1236
Форум: 1152/8421
Каталог сайтов: 386

Всего зарегистрировано:
Зарегистрировано: 1724
Сегодня: 0
Вчера: 0
За неделю: 1
За месяц: 6

Из них:
Пользователи: 1649
Проверенные: 23
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 33
Модераторы: 1
Администраторы: 3

Из них:
Парней 1295
Девушек 427


ON-Line всего: 3
Гостей: 3
Пользователей: 0

Сейчас на сайте:


Кто был?
Фокусник, demonej7, Vasja,
День Рождения у: Wildsax(44), alitka984(40), Yodomara(29)
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Windows 7

DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа

Казалось бы, только вчера был выпущен на всеобщее обозрение Windows Server 2008. А сейчас, в 2009 году, нам уже нужно думать о следующей операционной системе, реализующей отношения клиент-сервер. Теперь мы уже смотрим на Windows 7 и Windows Server 2008 R2. Новые клиент-серверные системы всегда обладали количеством преимуществ достаточным, чтобы переход на такую систему того стоил, однако иногда такие улучшения и\или новые функции были не настолько революционными, чтобы мы сразу решили перейти на эту систему.

Но, думаю, Windows 7 и Windows Server 2008 R2 - не тот случай. Многие организации решили не переходить на Windows Vista, и поэтому все еще работают на машинах с Windows XP. Такие компании, конечно, понимают, что вряд ли получиться всю жизнь работать с операционной системой десятилетней давности, а некоторым об этом уже не нужно думать - тем, кто был впечатлился преимуществами Windows 7. Увеличенная производительность, уменьшенные аппаратные требования, исключительные улучшения в части информационной безопасности - все это оставляет мало поводов отказаться от перехода на Windows 7. Система Windows Server 2008 R2 не слишком отличается от предшественницы, и, как и в предыдущих релизах R2, содержит некоторые новые функции и возможности, но не является такой революционной, как Windows 7.

И все же, есть ли какие-нибудь кардинальные изменения в выходящей системе Windows Server 2008 R2? Готов поспорить, что таковые имеются. Хотя бы в том, что можно объединить Windows 7 с Windows Server 2008 R2. Что в этом революционного? DirectAccess.

DirectAccess - это новое VPN-решение от Microsoft, предназначенное для того, чтобы поменять ваши представления и ваш способ работы с VPN-соединениями. Вообще-то Microsoft даже хочет, чтобы вы не считали DirectAccess VPN-решением (как на самом деле); в Microsoft думают, что у вас был неудачный опыт работы с VPN на протяжении многих лет, так что если вы посчитаете DirectAccess VPN-технологией, вас это не слишком воодушевит, и, возможно, вы откажетесь поближе познакомиться с решением DirectAccess, которое в корне меняет все, что связано с VPN.

VPN предоставляла пользователям возможность подключаться к ресурсам в вашей корпоративной сети, реализуя соединение на виртуальном уровне (уровень 2) с вашей корпоративной сетью. Идея, в принципе, хорошая, ведь пользователи должны были работать в этом случае так же, как будто они были подключены в действительности к сети компании с помощью Ethernet или беспроводного подключения.

Так в чем же дело? Что за проблемы возникали при работе с традиционными VPN сетевого уровня?

  • Брандмауэры и устройства Web proxy часто запрещали исходящие соединения протоколам, необходимым для соединения с сервером VPN
  • Устройства NAT требовали наличия редакторов NAT для некоторых протоколов VPN. А редакторы NAT часто либо отсутствовали, либо были слабо реализованы (как, например, Linksys PPTP NAT editor). Кроме того, VPN на IPsec страдали от того, что производители не требовали соответствия с RFC, в качестве примера - реализация IPsec в некоторых серверах SonicWall VPN.
  • Не существует способа убедиться в том, что исходная и целевая сети имеют различные номера, так как люди часто используют одни и те же адресные пространства. А пользователи не смогут подключиться к корпоративной сети, когда номера сетей совпадают, из-за коллизии подсетей
  • Пользователи должны инициировать VPN-соединение вручную. Это усложняет работу пользователя, а также вызывает массу звонков в службы техподдержки, когда пользователи начинают получать сообщения о каких-то ошибках, даже если собственно с VPN-соединением проблем нет
  • Поскольку VPN-соединение пользователи должны инициировать вручную, их машины не имеют доступа к VPN, пока пользователь не запустит соединение. Поэтому отключенные машины не доступны с консоли сетевого администратора, и их сложно контролировать в части, касающейся информационной безопасности и политик управления

При всех этих проблемах с VPN сетевого уровня удивительно, что мы вообще их использовали. На самом деле, VPN сетевого уровня использовались все меньше и меньше по мере того, как выходили новые решения для удаленного доступа. Такие решения не только проще для пользователей, но и лучше с точки зрения информационной безопасности, так как они реализовывали принцип наименьших привилегий. При таком подходе пользователи получали доступ к необходимым службам и данным, но не более того.

Для примера рассмотрим следующие технологии:

  • Outlook Web Access (OWA): OWA дает пользователям доступ к службам Exchange с использованием соединения Web-браузера через HTTPS. Пользователям не нужен удаленный доступ сетевого уровня для подключения к почтовой и календарной информации
  • Outlook RPC/HTTP: Протокол RPC/HTTP обеспечивает пользователей всеми преимуществами клиента Outlook, не требуя полного доступа к сети, как в случае с VPN-соединением сетевого уровня. Взаимодействия в Outlook RPC/MAPI инкапсулируются в соединении HTTP и шифруются согласно протоколу SSL
  • Terminal Services Gateway: Вместо того чтобы включить полный сетевой доступ для разрешения удаленного доступа к терминальному серверу или операционной системе компьютера в корпоративной сети, вы можете воспользоваться преимуществами TSG и инкапсулировать соединения RDP в HTTP-туннеле, а затем зашифровать его с помощью протокола SSL. Опять же, нет никакой необходимости в полном соединении сетевого уровня, чтобы дать пользователям возможность работать с нужными им службами

Конечно, раскрытие этих сервисов в Интернете обнаруживает слабое с точки зрения информационной безопасности конструирование, так как при этом разрешается неограниченный доступ к вашим front-end серверам через Интернет. Для защиты этих серверов требуется какое-нибудь решение. Два наиболее часто используемых в данном случае решения – передовые брандмауэры, обладающие наборами функций смешанной сети и прокси-брандмауэра, а также SSL-VPN-шлюзы.

Вот два хороших решения:

  • Forefront Threat Management Gateway 2010: Forefront TMG (TMG) представляет собой смешанный прокси и брандмауэр сетевого уровня со всесторонней защитой от спама, защитой от вредоносных программ, а также передовыми возможностями IDS/IPS. Кроме наборов функций Web-прокси и брандмауэра сетевого уровня, также обеспечивается возможность входящего SSL-моста, то есть брандмауэр TMG может использоваться для начальной аутентификации и проверки входящих соединений с вашими серверными приложениями. Это значительно уменьшает риски от раскрытия этих front-end серверных приложений Интернету
  • Intelligent Application Gateway 2007 (IAG) и выходящий Unified Access Gateway (UAG): IAG и UAG являются всеобъемлющими SSL-VPN-решениями, позволяющими вам защитить front-end серверы приложений от атак из Интернета. IAG 2007 и UAG реализуют множество SSL-VPN-технологий получения безопасного удаленного доступа к информации в корпоративной сети. IAG 2007 и UAG увеличивают надежность, обеспечиваемую брандмауэрными технологиями, например, Forefront TMG, применением положительных и отрицательных логических фильтров, блокирующих известные вредные соединения и потенциальные атаки нулевого дня, а также предлагают аутентификационные возможности, расширяющие все то, что могут предложить SSL-VPN-решения.

Хотя технологии front-end серверных приложений и шлюзы безопасности, очевидно, полезны в деле уменьшения рисков и сложностей по сравнению с традиционными VPN-решениями сетевого уровня, в этой области еще многое предстоит сделать. Вам нужно настроить сервер приложений, потом вам нужно настроить front-end сервер приложений (для чего нужно поместить его в DMZ, так как это узел, обращенный к Интернету), затем нужно настроить брандмауэр или SSL-VPN-шлюз перед front-end сервером. Вам нужно установить необходимый контроль доступа между всеми зонами безопасности, а еще вам нужно проводить мониторинг всех соединений между зонами безопасности. Одно неудачное место в этой "цепи недоверия", а все будет испорчено.

Что же делать? Должен быть другой способ.

Выход - DirectAccess

Существует ли лучший способ или нет - зависит от типа клиентских машин, с которыми вы работаете. Для неуправляемых клиентов с неизвестной конфигурацией и неизвестным состоянием в части информационной безопасности лучше использовать front-end соединения с серверами приложений, защищенные передовыми брандмауэрами или SSL-VPN-шлюзами. Нет такого способа разобраться с неуправляемостью и сделать вид, что VPN-соединения сетевого уровня для таких узлов можно сделать надежными. Наименьшие привилегии - сильнейшее оружие в вашем арсенале, когда речь заходит о неуправляемых узлах, и брандмауэрные или шлюзовые решения - лучший способ воплотить наименьшие привилегии.

А что насчет управляемых узлов? Что, если речь идет о пользователях, которым компания выдала ноутбуки? Вы вылезали из кожи, чтобы сделать надежную сборку на каждом из этих компьютеров; и когда бы пользователь ни подключался к корпоративной сети, он получает обновления политики, его компьютер проверяется на наличие последних обновлений в области безопасности и обновлений приложений перед тем, как ему разрешат воспользоваться ресурсами сети; и все это благодаря Microsoft Network Access Protection (NAP).

Проблема в том, что такие пользователи могут никогда и не вернуться в корпоративную сеть, или никогда с ней не соединиться. Вы могли сделать новую сборку, а потом отправить компьютер в другой город, в другую страну, на другой континент. В таких ситуациях компьютер обычно вне вашего контроля, пока пользователь не вернется в корпоративную сеть, пока не обратиться в головной офис, или филиал, возможно, с использованием традиционной VPN сетевого уровня. И вы никогда не знаете, когда такое может случиться, и случится ли вообще. Это значит, что ваш так тщательно настроенный ноутбук очень быстро устареет и без поддержки полностью выйдет из строя. Хуже того, вы можете и не узнать, что происходит, поскольку он не будет в сфере доступа ваших решений, касающихся мониторинга, управления и отчетности системного центра.

Все меняется с DirectAccess. Когда у вас есть клиенты Windows 7 и сервер DirectAccess на Windows Server 2008 R2, клиент автоматически вызывает сервер DirectAccess при загрузке компьютера. Клиент использует IPsec для обеспечения надежности соединения и использует IPv6 для соединения с серверами корпоративной сети. Так как клиенты находятся за устройством NAT, и они работают с IPv4, клиенты Windows 7 могут воспользоваться множеством технологий NAT Traversal и IPv6 transition, чтобы обеспечить соединения с сервером DirectAccess, а затем и серверами корпоративной сети.

Обратите внимание, что пользователям не обязательно входить в систему для установления соединения с DirectAccess. Это значит, что вы можете управлять этими машинами, пока они включены. Соединение DirectAccess является двунаправленным, поэтому вы сможете соединиться с этими машинами, произвести их инвентаризацию и применить политики безопасности и управления к этим машинам так, как будто они соединены с сетью.

Когда пользователь входит в систему, устанавливается второе VPN-соединение. Однако в отличие от обычных PPTP, L2TP/IPsec или SSTP VPN, пользователи подключаются к VPN DirectAccess автоматически. Пользователям не нужно ставить галочки, не нужно нажимать кнопки, на которых написано "Подключиться к корпоративной сети". Пользователю также не нужно думать о нахождении за брандмауэром или прокси, так как единственное требование - брандмауэр или прокси должен разрешать исходящий HTTPS-доступ. Так как порт SSL - универсальный для брандмауэров, у пользователей не должно возникнуть никаких проблем с подключением к серверам DirectAccess.

И что теперь? Обратите внимание на следующее:

  • Пользователи открывают Outlook, и он сразу начинает работать, так как у клиентской машины есть виртуальное подключение на сетевом уровне к машинам с включенным IPv6 в сети
  • Пользователям теперь не нужно использовать OWA, так как их родные MAPI-соединения с Exchange легко разрешаются через DirectAccess
  • Когда пользователь получает почтовое сообщение, содержащее ссылку на файловый сервер или сайт SharePoint в intranet, пользователь просто щелкает ссылку, и все работает. Вам не нужно думать о публиковании этих ресурсов в Интернете и сталкиваться с проблемами с DNS, касающихся транслирования имен intranet в имена Интернета
  • Компьютеры автоматически оцениваются NAP, и их параметры меняются на основании корпоративной политики. Это происходит всегда, когда компьютер запускается и подключается к VPN DirectAccess. Это значит, что ваши управляемые клиентские машины будут поддерживаться всегда и везде

Это всего лишь несколько примеров того, что вы получаете при развертывании DirectAccess в вашей сети. Ясно, что DirectAccess - это не только отличное VPN-решение удаленного доступа, но и то, что изменит весь ваш подход ко всей концепции VPN в будущем.

Заключение

Помните, что здесь мы говорим об управляемых компьютерах. Это компьютеры - члены доменов - находящиеся под корпоративным контролем и руководством; от них вы должны были бы ожидать большего, чем от неуправляемых машин. Как вы видите, DirectAccess позволяет вам реализовать эти высокие ожидания вне зависимости от местонахождения машины. DirectAccess позволяет вам расширить сферу влияния политики безопасности и управления доменом на все компьютеры, которые вы обслуживаете, причем производить это каждый раз, когда компьютер включается, даже если пользователь не входит в систему.

Во второй части этого цикла статей я углублюсь в подробности работы DirectAccess, и расскажу о требованиях, протоколах и тех сведениях, которые понадобятся вам, чтобы заставить DirectAccess работать. Там есть масса изменяемых настроек, но даже близко не столько, сколько в других решениях (скажем, в NAP). Вы наверняка достаточно быстро освоитесь с DirectAccess. Но сначала нужно проверить ваше понимание и разобраться с потенциальными проблемами; это мы обсудим во второй части.


Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
ФАС обвиняет Microsoft в нарушении законодательства
Panasonic сделала телевизор за $56000
Первые оценки Mercenaries 2
Внутри-игровые скриншоты Final Fantasy XIII
Возрождение X-Wing, TIE Fighter
Странный ритм-шутер Retro/Grade
Новая версия утилиты для борьбы с троянцем-вымогателем от «Доктор Веб»
Снимки опытного образца платы Gigabyte GA-X58-Extreme
Мощный ноутбук Samsung R560 за 34 тысячи
DVD-рекордер Samsung с функцией сверхразгона
Два новых скрина Gothic 4: Arcania
150 секретных скринов Fallout 3
Fujitsu Siemens ESPRIMO Q5030: 1,4-литровый ПК-рюкзак
HP отзывает 70 000 батарей для ноутбуков
Выход игры Wolfenstein откладывается на две недели
Обзор вирусной обстановки за май от компании «Доктор Веб»
Cтатистика вредоносного ПО в июне по версии ESET
Что будем смотреть (фэнтези, мелодрама, драма, приключения, детектив)
Трансформеры: от наброска-чертежа до триумфа
Мила Йовович говорит о следующей части Resident Evil

Если вам понравился материал "DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Windows 7 | Добавил: Фокусник (28.09.2009)
Просмотров: 1589

Ниже вы можете добавить комментарии к материалу " DirectAccess: Последнее VPN-решение от Microsoft - часть 1: Обзор существующих решений для удаленного доступа "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ

WMZ: Z143317192317
WMB: X706980753649

Boosty - Donate

Payeer: P48650932
На кофе / ko-fi
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.


Получи 10 ГБ места бесплатно, на всю жизнь.


Boosty – сервис по сбору донатов.
Игровые Новости — Metro Exodus, Cyberpunk 2077, Ghost of Tsushima, Anthem, Forza Horizon 4, Control
Игровые Новости — Metro Exodus, Cyberpunk 2077, Ghost of Tsushima, Anthem, Forza Horizon 4, Control
Стрит-арт-видео - Nowhere Near Here
Стрит-арт-видео - Nowhere Near Here
Игромания! ИГРОВЫЕ НОВОСТИ, 25 июня (Cyberpunk 2077, Alan Wake 2, Resident Evil 2 Remake, Игромания)
Игромания! ИГРОВЫЕ НОВОСТИ, 25 июня (Cyberpunk 2077, Alan Wake 2, Resident Evil 2 Remake, Игромания)
Gamesblender № 199
Gamesblender № 199
Хроники Нарнии 4: Серебряное кресло
Хроники Нарнии 4: Серебряное кресло
Частушки Медведева и Путина
Частушки Медведева и Путина
Фильм
Фильм "Небоскрёб" (2018) - русские субтитры #2
Чужой среди айсбергов - Союзмультфильм 2014
Чужой среди айсбергов - Союзмультфильм 2014
Люди Икс: Темный Феникс 2018 [Обзор]
Люди Икс: Темный Феникс 2018 [Обзор]
The Crew 2 - начало игры
The Crew 2 - начало игры

В Китае построили здание, напоминающее унитаз (4 фото)
В Китае построили здание, напоминающее унитаз (4 фото)
23 женщины до и после преображения
23 женщины до и после преображения
"Крушение иллюзий": фотоработы Петри Левелахти (24 фото)
"Крушение иллюзий": фотоработы Петри Левелахти (24 фото)
Свежая коллекция демотиваторов (18 фото)
Свежая коллекция демотиваторов (18 фото)
Французская художница превращает персонажей поп-культуры в очаровательные иллюстрации (16 фото)
Французская художница превращает персонажей поп-культуры в очаровательные иллюстрации (16 фото)
Порция демотиваторов (13 шт)
Порция демотиваторов (13 шт)
Женщина потратила 3 года и $70 тысяч на переделку старого автобуса в комфортный дом на колёсах (23 фото)
Женщина потратила 3 года и $70 тысяч на переделку старого автобуса в комфортный дом на колёсах (23 фото)
12 новых демотиваторов на среду
12 новых демотиваторов на среду
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2024, Alex LTD and System PervertedХостинг от uCoz