Смерть VPN

Технология VPN (virtual private network) в свое время была восхитительно инновационной для удаленной сетевой работы; эта технология позволяет пользователям удаленно подключаться к частной локальной сети через Интернет вместо того, чтобы напрямую подключаться к серверу удаленного доступа. Создавая зашифрованный туннель, VPN обеспечивала способ удаленного взаимодействия с публичной сетью. Однако у традиционной VPN есть несколько недостатков: она может работать довольно медленно и неравномерно для пользователей, а в некоторых сетях (например, в сетях отелей) вообще блокируется VPN-трафик.

DirectAccess - новая технология в Windows Server 2008 R2 и в клиенте Windows 7, служащая тем же целям, что и VPN, но без недостатков, часто вмешивавшихся в настройку и пользование VPN-соединениями. DirectAccess отказывается от использования VPN протоколов - PPTP и L2TP. Она использует IPsec/IPv6 для создания защищенного прямого соединения между удаленным компьютером и локальной сетью организации. В нашей статье мы поближе познакомимся с этой восхитительной сетевой технологией: как она работает, что вам нужно для ее использования и в чем ее преимущества для вашей организации.

Как она работает

DirectAccess опирается на два проявивших себя интернетовских стандарта: IPv6 и IPsec. IPsec используется для аутентификации и пользователя, и компьютера. Таким образом обеспечивается дополнительная надежность, а также позволяет управлять компьютером, даже если пользователь не вошел в систему. IPsec также шифрует данные, отправляемые по DirectAccess соединению, используя AES или 3DES. Если вы знакомы с IPSeс, вы знаете, что он может работать в двух режимах: в транспортном (от узла к узлу) и в туннельном. Туннельный режим IPSec давно стал альтернативой созданию VPN. В туннельном режиме данные и IP-заголовки шифруются и инкапсулируются в новый IP-пакет с новым заголовком.

Однако в прошлом использование IPSec для VPN вызывало кое-какие проблемы, как с точки зрения пользователя, так и с точки зрения управляемости. Работа с ним не была простой для пользователя, а администраторы не могли управлять компьютером, пока пользователь не подключиться вручную к VPN шлюзу.

В DirectAccess туннели IPSec создаются между клиентом и сервером. И хотя трафик в туннеле использует IPv6, он может перемещаться и по Интернету с IPv4. Затем DirectAccess сервер дает клиенту доступ к корпоративной локальной сети. В действительности устанавливается два туннеля, причем оба используют протокол Encapsulating Security Payload (ESP): один из туннелей работает только с сертификатом компьютера, а второй работает и с сертификатом компьютера, и с авторизационными данными пользователя. Первый туннель предоставляет клиентскому компьютеру доступ к DNS-серверу и контроллеру домена. Второй аутентифицирует пользователя и дает ему доступ к серверам приложений, например, Exchange, и к другим ресурсам локальной сети. Сервер DirectAccess работает как шлюз IPSec или как конечная точка туннельного режима.

Что вам потребуется

Для установки DirectAccess в вашей сети должны присутствовать:

• Сервер DirectAccess под Windows Server 2008 R2
• Сервер DirectAccess, который должен иметь как минимум две сетевые карты: одна должна быть подключена к Интернету и иметь как минимум два последовательных IPv4-адреса, и одна должна быть подключена к внутренней сети
• Контроллер домена и сервер DNS под Windows Server 2008 SP2 или R2
• Клиентские компьютеры под Windows 7 (Enterprise edition или Ultimate edition)
• Public Key Infrastructure (PKI) с центром сертификации для издания сертификатов

Вам также нужно будет воспользоваться специальными технологиями (например, Teredo и 6to4) на сервере DirectAccess, чтобы позволить пакетам IPv6 перемещаться по IPv4-сетям.

В DirectAccess информационная безопасность поддерживается через IPsec способами end-to-end и end-to-edge. Способ end-to-end обеспечивает наивысший уровень безопасности, но при этом требует от серверов приложений, чтобы те работали под Windows Server 2008 или 2008 R2. Способ end-to-edge может использоваться с любым сервером приложений, работающим с IPv6.

Замечание: вам также стоит обратить внимание на аппаратные требования, так как шифрование IPSec может оказаться требовательным к ресурсам процессора. Это относится не столько к клиентским компьютерам, сколько к серверам DA, обрабатывающим большое число IPSec-соединений, так что для них вам понадобится высокопроизводительные процессоры и/или какое-нибудь решение вроде сетевых компонентов от Intel, отправляющих вычисления для шифрования на контроллер локальной сети. Распределение IPSec-нагрузки между устройствами может значительно увеличить производительность.

Преимущества DirectAccess

Вам, наверное, интересно, что при текущих требованиях к установке дает DirectAccess, почему вам нужно менять проверенные VPN-решения на него. Вот некоторые преимущества DirectAccess:

• Дружественность к пользователю: когда пользователи подключаются к VPN, они должны предпринять некоторые шаги для установления соединения, затем дождаться аутентификации, проверки состояния и т.д. Если подключение к Интернету срывается, для переустановки соединения требуется снова проходить все эти процедуры. С DirectAccess установка соединения намного более проста. Это «постоянно включенное» соединение, устанавливаемое автоматически при соединении с Интернетом. Пользователи могут подключаться, даже находясь за брандмауэром. Пользовательская конфигурация обеспечивается через групповую политику, поэтому отдельно взятому пользователю не нужно заботиться об установке и настройке.
• Простота в управлении: сетевые администраторы могут управлять клиентами DA даже в случае, если пользователь не зашел в систему, пока компьютер подключен к Интернету. Вы можете контролировать удаленные компьютеры, устанавливать обновления и т.д. Установка на серверах DA очень проста при использовании мастера DirectAccess.
• Надежность: IPSec-аутентификация и шифрование обеспечивают надежность соединения, а для еще большего увеличен6ия надежности DA поддерживает аутентификацию с помощью смарт-карт и интегрируется с функцией Network Access Protection (NAP), так что вы можете быть уверены в том, что все клиенты, подключенные к серверу DA, будут удовлетворять политике организации в области надежности (антивирусы, обновления и т.д.). Сервер DA может предоставлять как полный доступ к внутренней сети, так и накладывать ограничения на использование серверов и приложений пользователями.
• Скорость: при использовании DirectAccess пользователям не нужно ждать установки VPN, что могло бы занимать от нескольких секунд до нескольких минут, и производительность работы в Интернете не падает, как в случае с VPN, когда трафик и внутренней сети, и Интернет-трафик шли через VPN.
• Опора на политики: Политики DirectAccess для пользователей, серверов приложений, контроллеров доменов, серверов DNS и для IPSec-шлюза настраиваются с помощью мастера DirectAccess. Все эти политики могут изменяться в соответствии с необходимостью.

Более подробную информацию и руководство по установке DirectAccess можно найти в руководстве DirectAccess Early Adopter’s Guide на сайте Microsoft здесь: http://technet.microsoft.com/en-us/library/dd637789(WS.10).aspx