В настоящее время удаленный доступ – животрепещущая тема. Так и должно быть. Есть масса способов для удаленного доступа, но общая проблема состоит в том, что людям нужен доступ к информации повсеместно, всегда, через любые устройства. Прошли времена того подхода, когда доступ возможен был только с помощью специфических устройств, расположенных в специальных местах. Особенно это касается корпоративного сценария, когда людям необходимо получать информацию, касающуюся бизнеса, везде и всегда, причем с любого устройства: ноутбуков, настольных компьютеров, телефонных аппаратов, смартфонов, даже MP3-плейеров. Информационным технологиям пришлось суметь воплотить все это в жизнь.
В соответствии с этим подходом всепространственного и всевременного доступа Microsoft предлагает множество технологий, обеспечивающих надежный удаленный доступ. Обратите внимание на употребленный мной термин «надежный». Обеспечение удаленного доступа технически не слишком сложно. Любое простое устройство, использующее NAT, либо маршрутизатор могут обеспечить удаленный доступ для бизнес-приложений и служб. Проблема в обеспечении надежного удаленного доступа, так чтобы не подвергать риску ваши данные, ваши сервера и всю работу в целом.
По моим данным, из доступных на текущий момент технологий, ключевыми технологиями, предлагаемыми Microsoft, обеспечивающими вашей организации безопасный удаленный доступ, являются:
- Службы Windows Server 2008 NPS Routing and Remote Access VPN
- Windows Server 2008 Terminal Services Gateway
- Microsoft ISA 2006 и Forefront Threat Management Gateway (TMG)
- Intelligent Application Gateway 2007 и Unified Access Gateway (UAG)
Службы Windows Server 2008 NPS Remote Access VPN
Серверы Windows со времен Windows NT включают в себя сервер VPN. С того времени нам всегда был доступен протокол Point to Point Tunneling Protocol(PPTP) для VPN. Проблема заключается в том, что многие эксперты высказываются против протокола PPTP из-за некоторых неизбежных слабостей в протоколе, делающих нежелательным его использование в производственных сетях. И хотя есть способы несколько увеличить уровень надежности PPTP, он все же представляет интерес, в основном, только с исторической точки зрения.
В Windows 2000 Server был предложен протокол L2TP/IPsec для VPN. Это значительный прогресс для Windows, так как туннель IPsec, предназначенный для защиты вашей информации, создается до того, как происходит обмен авторизационными данными. L2TP используется для создания виртуальной сети, а IPsec используется для обеспечения приватности этому соединению с виртуальной сетью. Другое важное преимущество заключается в том, что может быть произведена аутентификация как пользователя, так и машины благодаря использованию IPsec. В Windows 2000 Server также расширены схемы аутентификации пользователя, доступные при подключении более прогрессивных методов аутентификации при помощи протокола EAP, чтобы для аутентификации пользователя могли использоваться сертификаты и смарт-карты.
В Windows Server 2008 расширены возможности VPN добавлением протокола Secure Socket Tunneling Protocol (SSTP). Протокол SSTP представляет собой протокол PPP над протоколом SSL. Работа через SSL является серьезным преимуществом, и почти любой брандмауэр и прокси разрешает исходящие соединения по протоколу SSL. SSTP будет работать, даже когда клиент находится за брандмауэром или прокси (и даже за брандмауэрами, основанными на технологии прокси, как, к примеру, брандмауэр ISA или TMG). SSTP является частью службы Windows Server 2008 NPS Routing and Remote Access Service и может дать фору всем аналогичным протоколам аутентификации пользователей, использующимся L2TP/IPsec. Единственным недостатком SSTP на сегодняшний день является необходимость быть очень осторожным с изменениями настроек и порядком, в котором производятся эти изменения, так как в противном случае можно сильно усложнить управление. При всем этом SSTP приносит администраторам Windows VPN невероятную пользу.
Windows Server Terminal Services
Наряду с решениями Routing and Remote Access VPN, доступными в нескольких последних версиях Windows Server, также был включен компонент Terminal Services (Службы терминальных подключений). Хотя его не было в версии Windows NT RTM, его сделали доступным в дальнейших продуктах цикла NT. Затем компонент Terminal Services стал включаться в операционные системы с выпуском Windows Server 2000. Позже были сделаны некоторые улучшения в Windows Server 2003. Но основные изменения произошли с выходом Windows Server 2008.
В Windows Server 2008, а также в последовавшей Windows Server 2008 R2 предлагались значительные улучшения в работе служб Terminal Services. Пользователям все еще предлагается базовая служба Terminal Server (Терминальный сервер), позволяющий пользователям подключаться к серверу через протокол RDP. Кроме того, я должен упомянуть о том, что протокол RDP был значительно переработан. Но не только эти улучшения в протоколе RDP делают компонент Windows Server 2008 Terminal Services таким необходимым. В нем есть целая серия различных улучшений. Вот они:
- Terminal Services Web Access(доступ к Web)
- Terminal Services Gateway(шлюз)
- Terminal Service RemoteApp(удаленные программы)
Хотя в предыдущих версиях Windows Server присутствовала функция Terminal Services Web Access, в Windows Server 2008 значительно увеличена ее полезность путем интегрирования других полезных функций Windows Server 2008 Terminal Services на Web-сайте. Плюс доступ к компьютерам и приложениям через этот Web-сайт может теперь контролироваться с помощью правил доступа, основанных на определенной политике.
Функция Terminal Services Gateway (TSG) включает доступ к Terminal Services на основании политики из любой точки мира. Ранее существовала проблема с удаленным доступом к Terminal Services, которая заключалась в том, что многие брандмауэры не разрешали исходящий доступ к порту RDP по умолчанию – TCP 3389. И конечно, так как прокси обычно работают по протоколу HTTP, клиенты Terminal Services не могли получить доступ через Интернет, когда они располагались за Web-прокси. С TSG эта проблема решается: клиенту разрешается передавать данные по протоколу RDP по туннелю RPC, который, в свою очередь, передается по туннелю HTTP, безопасность которого обеспечивается с помощью SSL; таким образом, для доступа к TSG клиенту требуется только разрешение на использование исходящих SSL-соединений. А после подключения клиента к TSG вы можете определять политику правил доступа, контролирующих обращение пользователя к соответствующим службам или приложениям.
Вы обратили внимание на то, что я сказал «службам или приложениям»? Правильно. В Windows Server 2008 Terminal Server у вас есть возможность публиковать терминальные службы и/или приложения. Функция Terminal Services RemoteApp позволяет вам публиковать помимо терминальных служб еще и приложения. Следовательно, если вы хотите, чтобы ваши пользователи имели доступ к Word’у и PowerPoint’у, вы можете опубликовать эти приложения в Terminal Services Gateway, и пользователям будут предлагаться только эти приложения, а не весь рабочий стол. Это значительно увеличивает надежность, обеспечивая функционирование принципа наименьших привилегий, при котором пользователям дается доступ только к необходимым им приложениям, а не ко всему рабочему столу, который им не нужен. Такой доступ выполняется через шлюз TSG, который к тому же может проводить строгую политику доступа к таким приложениям.
Internet Security and Acceleration Server 2006 и последняя новинка - Threat Management Gateway (TMG)
Теперь перейдем от служб, включенных в Windows Server, и рассмотрим некоторые приложения, обеспечивающие сетевую безопасность, которые Microsoft предлагает для безопасного удаленного доступа. Первой попыткой Microsoft в области устройств сетевой безопасности был продукт Proxy Server, предложенный во второй половине 1990-х. Затем он был усовершенствован в более серьезный продукт - Proxy Server 2.0. И хотя он был довольно хорошим прокси-сервером, он не был предназначен для обеспечения надежного удаленного доступа.
Microsoft серьезно продвинулась в деле обеспечения безопасного удаленного доступа, выпустив Microsoft Internet Security and Acceleration Server (ISA) 2000 в конце 2000 года. Это было многофункциональное устройство, включавшее безопасный исходящий доступ, безопасную публикацию серверов, а также безопасную Web-публикацию. Кроме того, в ISA 2000 была хорошая поддержка для пользователей удаленной VPN, так же как и для сетей site-to-site. Помимо этого, ISA 2000 был создан как пограничный сетевой брандмауэр, что убирало необходимость в брандмауэре 3-го уровня перед брандмауэром ISA 2000.
Однако брандмауэр ISA 2000 был создан согласно модели угроз, существовавшей до конца 1990-х, которая вышла из употребления в начале 21 столетия. В 1990-х годах модели угроз строились на точке зрения, согласно которой все, что находилось вне брандмауэра, было подозрительным, а все, что находилось внутри – безопасным. Поскольку это неверно, в следующей версии брандмауэра ISA – ISA 2004 использовалась модель угроз, предполагавшая, что доверять нельзя ни одной сети, поэтому все соединения, идущие к брандмауэру и от брандмауэра ISA, необходимо проверять как на уровне пакетов, так и на уровне приложений.
В ISA 2004 надежность удаленного доступа была значительно увеличена. Для Web-публикования был предложен HTTP Security Filter (Фильтр безопасности HTTP) для защиты от атак на SMTP, DNS и другие сервера приложений. Кроме всего прочего компоненты remote access и site to site VPN server теперь позволяли вам тщательно контролировать пользователей или группы пользователей, а также применять ту самую проверку на уровне пакетов и уровне приложения, производившуюся для всех других соединений к брандмауэру и от брандмауэра ISA.
Про ISA 2004 уже можно было сказать (впервые для брандмауэра от Microsoft), что это пограничный сетевой брандмауэр для предприятий, как Check Point, ASA или Netscreen.
Двумя годами позже был выпущен ISA 2006, включавший все те функции безопасности, которые были в ISA 2004. Кроме того, были предложены некоторые улучшения в надежности удаленного доступа:
- Поддержка Kerberos Constrained Delegation (Ограниченное делегирование Kerberos - KCD) с тем, чтобы вы могли публиковать Web-сайты, требующие от пользователей использования двухфакторной аутентификации, основанной на сертификатах, на брандмауэре
- Некоторые улучшения в функции формальной аутентификации, чтобы пользователи могли использовать гибкие формы для аутентификации на брандмауэре до того, как им разрешат публиковать Web-сайт
- Расширенная поддержка нескольких двухфакторных методов аутентификации, например, использование одноразовых паролей RADIUS
- Серверная аутентификация LDAP для публикования Web-сайтов, чтобы хранилища Active Directory могли использоваться в то время, когда брандмауэр не является членом домена
- Функция Web Farm Load Balancing (Балансировка нагрузки Web-фермы), позволявшая администраторам ISA 2006 избежать высокой стоимости балансировщиков нагрузки и публиковать фермы Web-серверов за брандмауэром ISA
ISA 2006 можно также настроить так, чтобы обеспечить безопасный удаленный доступ всем службам Terminal Services в Windows Server 2008, позволяя достигать иного уровня защиты для удаленного доступа к Terminal Services.
Следующей версией брандмауэра ISA является новый Threat Management Gateway (TMG – Шлюз управления угрозами). TMG включает в себя все технологии безопасного удаленного доступа, присутствовавшие в предыдущих версиях брандмауэра, делая при этом ставку на безопасность исходящего доступа, и кроме этого имеет защиту от вредоносного ПО и особенно мощную СОВ (Систему обнаружения вторжений). Помимо этого, фильтрация содержимого Web автоматически включена для TMG. Это то, чего так долго ждали администраторы брандмауэра ISA.
Intelligent Application Gateway 2007 и UAG
Intelligent Application Gateway 2007 (IAG 2007) предназначается для организаций, стремящихся к высочайшему уровню безопасности для соединений удаленного доступа. В отличие от брандмауэров ISA или TMG, SSL VPN шлюз IAG 2007 представляет собой устройство для решения одной задачи: шлюз удаленного доступа для входящих соединений с сетевыми службами. В то время как брандмауэры ISA или TMG могут обеспечить такой же или более высокий уровень надежности для входящих соединений с сетевыми службами (так же, как и другие брандмауэры на сегодняшнем рынке), IAG 2007 обеспечивает наивысший уровень надежности для входящих соединений с Web- и не-Web-службами.
IAG включает в себя набор программных модулей, известных как Application Optimizers(Оптимизаторы приложений), дающих очень высокий уровень защиты для удаленного доступа к Web-службам. Оптимизаторы приложений позволяют IAG выполнять глубокую проверку на уровне приложения для публикуемых Web-служб. Глубокая проверка на уровне приложения предполагает позитивную и негативную логическую фильтрацию. Позитивная логическая фильтрация дает возможность IAG разрешать только взаимодействия с публикуемой Web-службой, которые считаются хорошими, а негативная логическая фильтрация блокирует соединения, которые считаются нежелательными.
Шлюз IAG 2007 дает возможность устанавливать четыре типа соединений. При этом он может работать как:
- Обратный Web-прокси. IAG может действовать как высоконадежный обратный Web-прокси, применяя сведения о приложении для удаленного соединения с Web-службами
- Устройство перенаправления портов. Для удаленного доступа к не-Web-приложениям, требующим использования простых протоколов с единственным портом, возможность перенаправлять порты позволяет пользователям соединяться с сетевыми приложениями через SSL VPN туннель
- Устройство перенаправления сокетов. Для удаленных соединений с более сложными приложениями, требующих множественных первичных или вторичных соединений (например, Outlook MAPI/RPC), пользователи удаленного доступа могут использовать IAG как устройство перенаправления сокетов. Все протоколы, взаимодействующие через устройство перенаправления сокетов, также защищены по SSL
- Устройство сетевого соединения. Эта возможность позволяет получать полный доступ на сетевом уровне к VPN через SSL VPN соединение. Это полезно для администраторов, которым нужен свободный удаленный доступ к сети.
Кроме шлюзовых возможностей по отношению к SSL VPN, IAG 2007 предлагает удаленный доступ по PPTP и L2TP/IPsec для клиентского доступа к VPN. Это позволяет вам использовать IAG 2007 в качестве централизованного шлюза удаленного доступа без необходимости разделять управление и наблюдение за удаленными соединениями с вашей сетью между несколькими устройствами или даже типами устройств.
В следующей версии IAG под названием Unified Access Gateway будет продолжено создание строгого контроля на уровне приложения, который уже присутствует в IAG, а также будут добавлены некоторые функции обеспечения безопасного удаленного доступа. Самой интересной из этих функций будет поддержка новой функции удаленного соединения от Microsoft - Direct Access, которая позволит пользователям везде четко соединяться с сетью корпорации, включая соединения с доменами.
Основной преградой успеху Direct Access является его зависимость от IPv6. И хотя у IPv6 есть свои преимущества, многие сетевые архитектуры не поддерживают его в силу отсутствия сильной заинтересованности бизнеса в переходе на IPv6. Кроме того, далеко не везде распространено четкое представление о IPv6, что делает опасным применение его в сетях, большинство администраторов которых не поймут сгенерированный им трафик.
Чтобы смягчить сложности с соединением и надежностью при переходе к Direct Access и IPv6, в UAG будет реализована NAT-PT(Network Address Translation ‘ Protocol Translation – Трансляция сетевых адресов ‘ трансляция протокола). NAT-PT позволяет «родным» хостам IPv6 и приложениям взаимодействовать с «родными» хостами IPv4 и приложениями и наоборот. Такая возможность сделает применение решения Direct Access для Windows 7, выход которого ожидается в ближайшее время, и сетей Windows Server 2008 R2 более простым и надежным.
Заключение
В данной статье мы рассмотрели функции надежного удаленного доступа, доступные в настоящее время в сетях Microsoft. Некоторые из них уже были доступны в более ранних версиях Windows NT, а некоторые только становятся доступными в Windows 7 и в Windows Server 2008 R2. Каждая функция имеет свои преимущества и недостатки, каждая из них реализует определенный уровень надежности, каждая предназначена для определенных типов удаленного доступа. Я надеюсь, после прочтения этой статьи вы будете лучше понимать возможности удаленного доступа, и вы сможете выбрать такие, которые лучше всего будут решать ваши задачи, и будете в состоянии найти более подробную информацию по этим решениям.