Решения удаленного доступа
В последние годы данная проблема решалась посредством разнообразных средств VPN и безопасной публикации Web-приложений с помощью proxy-серверов (таких, как Microsoft ISA Server). Однако эти решения имеют ряд конструктивных недостатков, которые доставляли (и, увы, доставляют) подразделениям ИТ немало хлопот, равно как и вполне ощутимые убытки компаниям. Например, в совокупной стоимости владения одним рабочим местом (таким, как ноутбук удаленно работающего сотрудника) до 50% занимает стоимость усилий самого этого сотрудника по поддержанию рабочего места в должном состоянии и самостоятельной технической поддержки в проблемных ситуациях. Давайте определим, чем же могут не удовлетворять современный бизнес привычные классические решения.
- Они не везде работают. Если мы уже привыкли к тому, что доступ в Internet есть почти везде, то провайдеры по-прежнему могут отфильтровывать пакеты, необходимые для работы VPN, а то и вовсе считают, что их клиентам достаточно для счастья только доступа к Web-сайтам, то есть портов 80 и 443. Попыткой решить эту проблему со стороны Microsoft стало введение в обиход Secure Socket Tunneling Protocol (SSTP) вслед за многими другими решениями VPN over SSL.
- Компьютер удаленного пользователя, как правило, неподконтролен службе ИТ. Он не входит в домен AD, на него не ставятся вовремя обновления программного обеспечения и антивирусные базы. Следовательно, подключение такого компьютера к корпоративным ресурсам может нести угрозу. Частично такую угрозу может уменьшить внедрение технологий, подобных NAP. Однако намного удобнее, разумеется, было бы контролировать подобных клиентов.
- Большая часть современных решений требует направления всего трафика VPN-клиентов через соединения VPN, чтобы работал доступ как к корпоративным ресурсам, так и к Internet, что нагружает канал между пользователем и сетью организации больше, чем это необходимо.
- Каждый раз при установлении или разрыве соединения должны выполняться некоторые действия. При этом если в организации осуществляется проверка подключающегося компьютера, то процесс может занимать до нескольких минут.
Часть этих проблем можно игнорировать, а часть, к сожалению, имеет негативное воздействие на совокупную стоимость владения инфраструктурой ИТ для компаний, которые массово применяют технологии VPN. С выходом связки Windows Server 2008 R2 и Windows 7 решение подобных проблем, будет частично найдено, о чем и пойдет речь далее.
Помощь от DirectAccess
Итак, выход двух новых операционных систем от компании Microsoft состоялся (доступны для приобретения эти продукты станут осенью) и принес с собой достаточно большое количество изменений, дополнений и новых технологий.
Одной из таких технологий является DirectAccess. Она предоставляет возможность постоянно держать компьютер подключенным к корпоративной сети. Подключение происходит уже при включении компьютера, если есть хоть одно доступное сетевое соединение, дающее такую возможность. Таким образом, придя в гостиницу, находящийся в командировке сотрудник может просто включить компьютер и начинать работу, если у него настроено соединение с гостиничным провайдером доступа в Internet. При этом ИТ-сотрудники компании уже имеют возможность управлять его компьютером так, как будто он находится в корпоративной сети, то есть устанавливать на него обновления для системы безопасности, проверять состояние и применять корпоративные политики.
Чем эта технология отличается от VPN-решений? По большому счету, только технологической базой, которая:
- Позволяет предоставлять доступ даже из сетей, где отфильтровываются необходимые для классического VPN решения пакеты PPTP или IPSec/L2 TP. Достигается это, во-первых, благодаря использованию протокола IPv6; во-вторых, там, где он не поддерживается, благодаря применению протоколов, поддерживающих прохождение IPv6 через сети IPv4 (например, Teredo — протокол, позволяющий туннелировать трафик IPv6); в-третьих, там, где не работает ни первое, ни второе, используется протокол IP-HTTPS. Последний работает медленнее, зато теоретически предоставляет возможность связи из любой сети, имеющей соединение с Internet.
- Предоставляет возможность осуществлять защиту (аутентификацию и шифрование) трафика по мере перемещения данных от удаленного клиента к корпоративному серверу. Благодаря использованию IPv6 данная возможность оказывается встроенной в инфраструктуру, хотя и требует определенных усилий со стороны персонала подразделения ИТ.
- Снижает нагрузку на Internet-каналы предприятия путем отделения сетевого трафика, предназначенного для Internet-серверов, от трафика, предназначенного для внутренних корпоративных серверов (рисунок 1). Данное новшество стало возможным благодаря изменениям в системе разрешения имен.
- Снижает нагрузку на пользователя, избавляя его от необходимости предпринимать какие-либо действия по настройке, установлению или возобновлению соединения с корпоративной сетью (этого можно было добиться и ранее, что, однако, требовало больших затрат со стороны ИТ-подразделений).
В результате пользователь компании, внедрившей DirectAccess, практически всегда и везде чувствует себя так, как будто он находится в корпоративной сети. Во всех аспектах, исключая разве что скорость соединения, поскольку гостиничный Wi-Fi редко приближается по качеству и скорости связи к соединению внутри локальной сети.
Что внутри
Для того чтобы понять, что собой представляет данная технология изнутри, границы ее применения и проблемы, с которыми сталкиваются сотрудники ИТ-подразделения при ее внедрении, давайте рассмотрим архитектуру, требования к построению и возможности технологии DirectAccess. В требования для построения DirectAccess (равно как и в архитектуру) входит необходимость наличия следующих компонентов:
- Active Directory. Построение DirectAccess без поддержки AD невозможно.
- Использование Group Policy не является необходимым, но рекомендуется, иначе вместо облегчения жизни ИТ-службы можно получить обратный эффект. Впрочем, трудно себе представить, что кто-то станет производить настройки десятков, сотен, а то и тысяч компьютеров вручную, имея в своем распоряжении специальный инструмент.
- Инфраструктура открытых ключей (PKI). На ней будет основана выдача ключей для клиентов DirectAccess и IPSec. При этом можно обойтись внутрикорпоративной инфраструктурой PKI, не прибегая к покупке внешних сертификатов у третьих компаний.
- Необходимо внедрить политики IPSec, потому что DirectAccess использует их для работы.
- Основой технологии также является протокол IPv6, поэтому либо необходима поддержка этого протокола на всем пути от клиента до конечного сервера, либо нужно озаботиться внедрением технологии, обеспечивающей его совместное существование с IPv4, или установкой устройств, обеспечивающих трансляцию из IPv6 в IPv4.
- Службы DNS должны поддерживать протокол ISATAP, для чего они должны быть построены на базе операционной системы не старше Windows Server 2008 R2. После того как все серверы DNS будут работать под управлением нужной версии операционной системы, необходимо разблокировать на них возможность отвечать на клиентские запросы адресов типа ISATAP.
- Серверы под управлением Windows Server 2008 R2 и рабочие станции с Windows 7. Более старые операционные системы не поддерживаются.
Помимо удовлетворения минимальных требований для DirectAccess, нужно понять, какие варианты построения предоставлены нам разработчиками компании Microsoft. Вариантов развертывания у нас два:
- End-to-Edge (рисунок 2). Вариант, наиболее близкий к классическому VPN. В данном случае наш сервер DirectAccess фактически работает шлюзом в корпоративную сеть. Все соединения заканчиваются на нем, а дальше пользователь имеет весь разрешенный корпоративным межсетевым экраном доступ в сеть. Причем эта сеть может быть совместимой как с IPv6, так и только с IPv4 (при использовании устройств с поддержкой ISATAP или NAT-PT), а также иметь в своем составе любые серверы и приложения.
- End-to-End (рисунок 3). В данном случае клиент создает защищенную сессию IPSec с каждым из серверов в корпоративной сети, к которому пытается присоединиться. Разумеется, в данном случае необходимо, чтобы серверы работали под управлением Windows Server 2008 или Windows Server 2008 R2. Но для организаций, которые уже начали работу с IPv6 или задумываются о переходе, преимущества должны перевесить, потому что такой вариант внедрения позволяет контролировать доступ к конкретным службам с помощью сервера DirectAccess. Архитектура End-to-End также позволяет выбирать, шифровать трафик, направленный к ресурсам компании, или только аутентифицировать участников обмена.
Кроме того, для мониторинга и повышения защиты компьютеров, соединяющихся с корпоративной сетью, помимо DirectAccess, можно применить технологию Network Access Protection, появившуюся в Windows Server 2008 R2. NAP позволяет тестировать подключающихся к сети клиентов на соответствие разнообразным формальным параметрам, как то:
- наличие антивируса;
- своевременность обновления его баз;
- наличие установленных обновлений безопасности;
- настройки сетевого экрана и многое другое.
В случае несоответствия этих параметров некоему базовому значению администратор с помощью NAP может либо не разрешить подключение клиента к корпоративной сети, либо разрешить подключение к ограниченному набору ресурсов (предназначенных, например, для самостоятельного устранения несоответствий), либо попытаться устранить несоответствие в автоматическом режиме.
Если попробовать заглянуть DirectAccess «под капот», то процесс работы этой технологии будет выглядеть следующим образом.
1) В момент запуска компьютера Windows 7 определяет, подключен ли компьютер к какой-либо сети.
2) Если подключение имеется, то система пытается определить, находится она в корпоративной сети или нет. Для этого выполняется проверка соответствия адресов системных интерфейсов адресам корпоративной сети, предпринимается попытка разрешить имена заранее заданных ресурсов в этой сети и полученные ответы сверяются с обозначенными администратором. Затем выполняется проверка наличия соединения с Web-сервером, который доступен только из локальной сети. Если проверка была успешной, то клиент DirectAccess делает вывод, что уже находится во внутренней сети, и прекращает активность, предоставляя пользователю возможность работать в штатном режиме.
3) Если сеть, в которой располагается клиент, не является корпоративной, то производится подключение к серверу DirectAccess. При этом используется IPv6 и IPSec (если только администратор не настроит параметры, заставляющие весь клиентский трафик, включая обращения к серверам Internet, проходить через сервер DirectAccess — в этом случае сразу будет использоваться IP-HTTPS). Если IPv6 в полном объеме недоступен, то предпринимается попытка подключения с применением технологий тунеллирования 6-to-4 или Teredo. Если же и эта попытка не увенчается успехом, то используется IP-HTTPS — новый протокол от Microsoft, который будет работать в большинстве случаев, так как задействует в качестве транспорта SSL.
4) Сервер проверяет, имеет ли клиент право подключаться к корпоративной сети и в случае положительного решения предоставляет такой доступ (если решение включает NAP, то проверка подразумевает, естественно, не только проверку вхождения компьютера в нужную группу, но и проверку состояния компьютера, на основании которого также принимаются решения, о которых говорилось выше).
Причем в случае, если не требуется аутентификация по смарт-карте, все эти действия могут производиться без вовлечения пользователя в процесс, и даже не требуется, чтобы он регистрировался в системе. Взаимная аутентификация компьютера клиента и сервера DirectAccess осуществляется с помощью сертификатов, полученных из PKI. Пользователь же, зарегистрировавшись в системе, сразу получает доступ к корпоративным ресурсам, да таким образом, что обучать его не приходится — все доступно по тем же адресам и с такой же легкостью, как будто все происходит в офисе. Может только снизиться скорость, как уже говорилось выше. Доступ в Internet также не будет затруднен, поскольку в Windows 7 реализован механизм Name Resolution Policy Table, позволяющий отделять трафик, направленный в Internet, от трафика к ресурсам корпоративной сети.
Плюсы и минусы
Итак, внедрив DirectAccess в организации, мы получим целый ряд преимуществ. Но, разумеется, любой опытный системный администратор, менеджер, да и просто обычный сотрудник прекрасно понимает, что преимущества никогда не приходят бесплатно, для любых улучшений существует цена, иногда непомерная. К счастью, для данного решения стоимость удобства оказывается, как правило, вполне разумной и вряд ли заставит отказаться от внедрения DirectAccess в организации с большим числом сотрудников, получающих удаленный доступ к корпоративным данным. К недостаткам этого решения можно, в частности, отнести:
- Необходимость ставить сервер DirectAccess непосредственно на периметр сети, без различных NAT или возможности публикаций.
- Отсутствие возможности построить отказоустойчивое решение, не применяя ничего, кроме Windows Server 2008 R2.
- Требование установки на компьютер клиента исключительно Windows 7 или Windows Server 2008 R2.
Для некоторых организаций — требование ввести клиентский компьютер в домен.
Может показаться, что такие недостатки DirectAccess сводят на нет достоинства продукта. Однако первые два недостатка будут компенсироваться выходом Unified Access Gateway — решения, пришедшего на смену Intellectual Application Gateway. Оно позволит как построить отказоустойчивую и легко масштабируемую инфраструктуру DirectAccess, так и снимет проблемы безопасности по первому пункту претензий. Другие же, строго говоря, являются не недостатками, а, скорее, временными ограничениями, которые к тому же не слишком важны, так как описываемая технология не обязана вытеснять текущие решения удаленного доступа. Она может работать параллельно, позволяя, с одной стороны, полностью использовать былые инвестиции в инфраструктуру VPN, устаревшие клиентские операционные системы и навыки персонала, а с другой — построить для той части пользователей, которые ценят удобство работы, полноценное решение DirectAccess.
Подводя итоги, можно сказать, что, как обычно, все точки над i расставит время, однако решения классического VPN явно могут остаться в прошлом, уступив дорогу технологиям, подобным DirectAccess.
Александр Трофимов (A. Trofimoff@gmail.com) — Microsoft Most Valuable Professional