Изменения DirectAccess в SP1 для Forefront Unified Access Gateway

DirectAccess — это новая, поистине революционная технология, впервые реализованная в Windows Server 2008 R2 и Windows 7, которая позволяет пользователю беспрепятственно взаимодействовать с корпоративной сетью из любой точки, где есть доступ к Интернету, без необходимости вручную подключаться к корпоративной сети. Использование протоколов IPv6 и IPsec позволяет организациям протянуть свои сети в любую точку земного шара, где есть соединение с Интернетом, существенно повысив тем самым производительность и удобство работы пользователей.

С тех пор как эта технология увидела свет, компания Microsoft уже выпустила для нее несколько обновлений. В Microsoft Forefront Unified Access Gateway (UAG) была добавлена поддержка сервера DirectAccess, причем с рядом функций, значительно упрощающих развертывание, таких как преобразование IPv6 в IPv4 (NAT64/DNS64), а также поддержка масштабирования и высокой доступности посредством использования массивов серверов. А для применения на стороне клиента был выпущен бесплатный инструмент DirectAccess Connectivity Assistant (DCA), предназначенный для уведомления конечных пользователей, а также для диагностики неисправностей клиента.

.

Функция «постоянного управления»

Хотя шумиха вокруг DirectAccess в основном касалась прозрачного доступа пользователей к внутренним корпоративным ресурсам, для большинства ИТ-подразделений наиболее привлекательным аспектом DirectAccess является возможность расширить свои функции управления настольными компьютерами за границы корпоративных сетей. DirectAccess обеспечивает такую функцию посредством использования двух различных туннелей IPsec, активируемых во время подключения к серверу DirectAccess через Forefront UAG. Первый туннель, называемый инфраструктурным, используется для подключения компьютера к контроллерам домена (DC) и серверам управления. Инфраструктурный туннель использует для авторизации только учетные данные компьютера и остается активным до тех пор, пока у компьютера есть подключение к Интернету. Второй туннель, называемый туннелем внутренней сети, использует учетные данные и компьютера, и пользователя, для того чтобы подключить пользователя ко всем остальным серверам во внутренней сети и активен только тогда, когда пользователь регистрируется в системе и пытается подключиться к какому-либо из этих серверов.

Поскольку инфраструктурный туннель всегда активен, стандартные функции Windows, например настройки групповых политик и изменение пароля, а также управляющее программное обеспечение, такое как антивирусы, распространение программных средств, мониторинг, средства обеспечения совместимости, теперь могут беспрепятственно работать в любой точке Интернета. Например, организация может установить новое обновление антивируса или какое-либо важное исправление на всех своих компьютерах и получить от них отчет об успешном выполнении операции, не дожидаясь, пока пользователи соизволят подключить эти компьютеры к корпоративной сети, и не развертывая для этих целей дополнительную инфраструктуру удаленного управления в демилитаризованной зоне сети (DMZ).

Теперь Forefront UAG с SP1 предоставляет организациям возможность развернуть DirectAccess только с поддержкой удаленного управления, без предоставления конечным пользователям доступа к внутренней сети. При этом их компьютеры смогут задействовать DirectAccess для получения доступа к Active Directory (AD) и службам управления, а сами конечные пользователи для подключения к внутренним ресурсам будут по-прежнему применять привычные технологии удаленного доступа, такие как VPN или порталы веб-публикаций.

В таком режиме «постоянного управления», показанном на экране 1, клиенты настраиваются только с поддержкой инфраструктурного туннеля IPsec, но без туннеля внутренней сети. Подобный подход значительно упрощает развертывание DirectAccess, поскольку в этом случае внешним клиентам необходимо будет предоставить доступ к гораздо меньшему количеству серверов. DirectAccess станет мощным инструментов в руках специалистов ИТ-подразделений и позволит им распространить свои возможности управления, такие как беспрепятственное использование Microsoft System Center Configuration Manager (SCCM) и объектов групповой политики (GPO) Active Directory (AD), на клиентов, подключенных где-либо к Интернету. При этом не потребуется немедленной замены всех развернутых технологий удаленного доступа, которые уже используются для подключения к корпоративной сети.

Экран 1. Выбираем сценарий развертывания в режиме «только управление»

Инфраструктурный туннель устанавливается только с теми IP-адресами, которые определены в политике DirectAccess, что позволяет организациям определить, к каким именно серверам клиенты DirectAccess смогут получить доступ. Forefront UAG с SP1 способен автоматически обнаруживать контроллеры домена Active Directory, а также серверы защиты доступа к сети NAP и серверы SCCM, как показано на экране 2. Кроме того, Forefront UAG с SP1 обеспечивает дополнительные меры предосторожности, разрешая подключение через туннель только учетным записям служб и блокируя попытки пользователей, не имеющих административных привилегий, подключиться к этим серверам.

Экран 2. Автоматическое обнаружение серверов SCCM

Поскольку в этом режиме через DirectAccess проходит только служебный трафик, сервер UAG с SP1, по всей вероятности, сможет поддерживать намного большее количество одновременных подключений, чем в случае с DirectAccess, развернутым по умолчанию, с поддержкой пользовательских подключений. В тесте, проведенном группой разработчиков Forefront UAG (blogs.technet.com/b/edgeaccessblog/archive/2010/06/22/forefront-uag-directaccess-performanceinformation.aspx), сервер Forefront UAG, который поддерживал 2300 одновременно подключенных пользователей с настройками DirectAccess по умолчанию, смог обработать 4000 одновременно подключенных пользователей с DirectAccess в режиме «постоянного управления». Учитывая более простое развертывание, лучшую масштабируемость и отсутствие какого-либо воздействия со стороны конечных пользователей, этот подход мог бы стать для многих организаций лучшим способом использовать в своих интересах все преимущества DirectAccess.

Принудительное туннелирование

Как показывает практика, случается и так, что некоторым организациям иногда требуется, чтобы все сетевые подключения конечных пользователей проходили исключительно через корпоративную сеть и через нее же при необходимости осуществлялся выход в Интернет. Чтобы удовлетворить это требование, Forefront UAG с SP1 добавляет собственную поддержку режима принудительного туннелирования, которую ранее нужно было настраивать отдельно, посредством редактирования соответствующей групповой политики.

По умолчанию в DirectAccess включено раздельное туннелирование. Для тех, кто не знаком с этим термином, поясню, что в данном случае через туннели DirectAccess проходит только тот клиентский трафик, который предназначен лишь для адресатов, находящихся во внутренней сети. В свою очередь, трафик Интернета идет напрямую, не проходя через сервер DirectAccess. Аналогичный подход используется и для обработки запросов DNS: имена во внутренних пространствах имен DNS разрешаются внутренними же серверами DNS, а имена из всех остальных пространств имен — сервером DNS локальной сети. Раздельное туннелирование, как правило, обеспечивает наилучшую производительность, поскольку в этом случае используется наиболее короткий маршрут до места назначения, а также снижается нагрузка на сеть и потребление ресурсов процессора на сервере DirectAccess.

Однако многие организации из соображений безопасности с осторожностью относятся к использованию раздельного туннелирования. В одних компаниях существуют политики или регламенты, согласно которым весь клиентский трафик должен просматриваться, а другие опасаются, что клиенты, подключающиеся из открытых беспроводных сетей (например, в отелях, кафе или залах ожидания аэропортов), могут стать объектами для атаки. В таких сетях атакующий может похитить cookie-файлы авторизации для HTTP-соединений и выдать себя за того пользователя, у которого они похищены, или посредством манипуляции с разрешением имен произвести атаку типа man-in-the-middle. Отказ от использования раздельного туннелирования в таких случаях может гарантировать, что весь обмен данными между клиентом и внутренней сетью будет происходить по защищенному каналу, а это в свою очередь обеспечивает блокировку всех атак и при необходимости позволяет проконтролировать, придерживается ли клиент корпоративных политик, определяющих использование доступа в Интернет.

Forefront UAG с SP1 позволяет устанавливать DirectAccess либо в режим раздельного туннелирования, либо в режим принудительного туннелирования, как показано на экране 3. Когда включен режим принудительного туннелирования, весь клиентский трафик, кроме трафика локальной подсети, проходит через сервер DirectAccess. Все имена в таком случае, невзирая на пространство имен, разрешаются только внутренними серверами DNS.

Экран 3. Включение режима принудительного туннелирования

Однако за все приходится платить. Когда включено принудительное туннелирование, весь клиентский трафик передается на сервер DirectAccess по протоколу HTTPS, посредством использования интерфейса IPHTTPS, который добавляет еще один уровень шифрования в дополнение к IPsec. Двойное шифрование существенно увеличивает потребление ресурсов процессора на сервере DirectAccess, который, ко всему прочему, должен еще справиться и с дополнительным клиентским трафиком в Интернете. Поэтому сервер DirectAccess в Forefront UAG поддерживает значительно меньшее количество одновременных подключений пользователей в режиме принудительного туннелирования, чем в режиме раздельного туннелирования.

Однако наибольшие затруднения могут возникнуть на уровне совместимости приложений. С включенным принудительным туннелированием, для передачи клиентского трафика возможно использование только протокола IPv6, поскольку этот трафик передается через туннели DirectAccess, которые поддерживают исключительно IPv6. На стороне сервера IPv6 необязателен, поскольку Forefront UAG может транслировать клиентский трафик в IPv4 при помощи NAT64. Клиентские приложения, которые не поддерживают IPv6, такие как Microsoft Communicator, не смогут обмениваться информацией даже с интернет-узлами IPv4, и их использование клиентами DirectAccess в режиме принудительного туннелирования будет невозможно.

Хотя компания Microsoft и поддерживает применение DirectAccess в режиме принудительного туннелирования, этот режим должен использоваться только тогда, когда в этом есть безусловная необходимость. Кроме того, организации должны тщательно изучить и протестировать эту функцию, прежде чем начать ее применять в своей рабочей среде.

Авторизация с одноразовым паролем

Для многих организаций двухфакторная авторизация является неотъемлемым атрибутом любой службы удаленного доступа. В своей первой редакции DirectAccess мог предложить двухфакторную авторизацию пользователей посредством использования смарт-карт; Forefront UAG с SP1 добавил в число поддерживаемых авторизацию посредством использования маркеров OTP, таких, например, как RSA SecurID. Авторизация OTP применяется для того, чтобы авторизовать IPsec-туннель внутренней сети; только пользователи, обладающие маркером, смогут подключиться к серверам внутренней сети.

Одной из трудностей, с которыми столкнулась компания Microsoft, пытаясь включить в DirectAccess поддержку OTP, стало то, что реализация протокола IPsec в Windows не может использовать учетные данные OTP. Forefront UAG с SP1 обходит это ограничение посредством применения авторизации с OTP для выпуска краткосрочного сертификата, который затем используется для авторизации туннеля IPsec внутренней сети. На рисунке показано, каким образом происходит процесс авторизации.

Рисунок. Процесс авторизации с OTP

1. Когда приложение пытается подключиться к внутреннему серверу, инструмент DCA запрашивает у пользователя его учетные данные OTP.
2. Пользователь вводит учетные данные OTP, и инструмент DCA отправляет их по протоколу HTTP на специальный канал веб-портала OTP, который создается на сервере Forefront UAG с SP1.
3. Сервер Forefront UAG с SP1 связывается с сервером OTP для авторизации этих учетных данных. Forefront UAG поставляется в комплекте с агентом RSA SecurID, однако вместо него можно задействовать любое другое основанное на протоколе Remote Authentication Dial-In User Service (RADIUS) и совместимое со стандартом OATH решение.
4. Если авторизация проходит успешно, то сервер Forefront UAG с SP1 запрашивает у удостоверяющего центра CA краткосрочный пользовательский сертификат. Компания Microsoft рекомендует задействовать выделенный удостоверяющий центр CA для выпуска этих сертификатов, которые по умолчанию действительны в течение 8 часов или пока пользователь зарегистрирован на компьютере, в зависимости от того, что завершится раньше.
5. Сервер Forefront UAG с SP1 направляет в ответ инструменту DCA краткосрочный пользовательский сертификат, который затем применяется для авторизации туннеля IPsec внутренней сети и активации доступа к внутренней сети. Когда срок действия сертификата истекает, процесс начинается снова, и у пользователя запрашивается новый OTP.

Ключевым элементом описанной выше инфраструктуры является удостоверяющий центр, выпускающий краткосрочные сертификаты. Этот CA должен быть запущен на сервере с операционной системой Server 2008 R2 и не может быть тем же самым CA, который выпускает сертификаты IPsec или одним из его родительских CA. Для того чтобы упростить развертывание, в Forefront UAG с SP1 реализован сценарий PowerShell, который предназначен для настройки соответствующих шаблонов и прав доступа сертификатов на сервере CA.

Поддержка авторизации с OTP позволит организациям сохранить те средства, которые они инвестировали в развертывание маркеров OTP для VPN или удаленного веб-доступа. Кроме того, наличие авторизации с OTP может помочь привлечь к развертыванию DirectAccess даже тех, кто ранее в силу каких-либо причин не решался этого сделать.

Мониторинг и журналирование

Изменениям подверглась и система мониторинга. Forefront UAG с SP1 предлагает комплексный мониторинг соединений DirectAccess, реализованный в инструменте Forefront UAG Web Monitor. Монитор DirectAccess отображает список зарегистрированных в настоящий момент пользователей, который включает учетные записи компьютера и пользователя, исходный адрес IPv6, уровень доступа (инфраструктура или внутренняя сеть), а также состояние работоспособности, если используется NAP.

Эта информация, как показано на экране 4, сохраняется в базе данных локального сервера SQL. Для просмотра архивных данных можно воспользоваться инструментом управления Forefront Threat Management Gateway (TMG), который также включен в поставку Forefront UAG с SP1. Кроме того, можно настроить запись журнала на удаленном сервере SQL Server, и такое решение особенно подходит для консолидации журналов от массива серверов.

Экран 4. Мониторинг DirectAccess с помощью инструмента Forefront UAG Web Monitor

Продолжая тему массивов, стоит упомянуть, что теперь инструмент Web Monitor может консолидированно отображать состояние всех серверов DirectAccess в массиве, показывая при этом состояние работоспособности каждого участника массива (см. экран 5). Инструментом Web Monitor можно пользоваться удаленно, при помощи любого браузера, что дает операторам возможность быстро проверить состояние инфраструктуры DirectAccess.

Экран 5. Мониторинг работоспособности участников массива Forefront UAG

Еще более легкое развертывание

Forefront UAG с SP1 включает несколько улучшений, призванных облегчить развертывание DirectAccess. Мастер UAG DirectAccess Configuration Wizard теперь может задавать настройки DirectAccess на множественных доменах, а также использовать существующие GPO для настройки клиентов, шлюзов и серверов приложений вместо создания новых. Появилась еще и определенная гибкость в привязке этих GPO к подразделениям (OU), вместо использования групп, а также в настройке имен GPO непосредственно из мастера.

Кроме того, в мастер UAG DirectAccess Configuration Wizard интегрирована настройка защиты доступа к сети (NAP). Если во время установки выбран NAP, то Forefront UAG с SP1 установит центр регистрации работоспособности Health Registration Authority (HRA) и сервер сетевых политик Network Policy Server (NPS) на сервере UAG и настроит сетевые политики таким образом, чтобы обеспечить создание отчетов о состоянии работоспособности системы и приведение его в соответствие необходимым требованиям на клиентах DirectAccess. Компоненты NAP передают информацию в инфраструктуру мониторинга и журналирования Forefront UAG, и, следовательно, системные администраторы смогут увидеть самую актуальную информацию с помощью инструмента Web Monitor, а также запросить из базы данных сервера SQL Server архивные данные о работоспособности клиентов.

На стороне клиента настройка инструмента DCA теперь также является задачей мастера UAG DirectAccess Configuration Wizard, и его настройки включены в GPO клиента. Развертывание данного инструмента пока еще не входит в задачи этого мастера, но лишь потому, что пакет установки инструмента состоит из одного-единственного файла установщика Windows (MSI), и для его установки организации могут воспользоваться тем же GPO клиента.

Лучшее решение с любой точки зрения

В целом Forefront UAG с SP1 — это огромный шаг вперед на пути превращения DirectAccess в более безопасный и простой в развертывании и применении инструмент. Учитывая растущую мобильность сотрудников и стремление многих предприятий выйти за физические рамки внутренних сетей, ни одно развертывание Windows 7 не может считаться завершенным без установки средств удаленного доступа и управления, и DirectAccess сегодня является наиболее вероятным претендентом на эту роль.

Фернандо Сима (fcima@microsoft.com) — архитектор систем безопасности в службе Microsoft Consulting Services. Разрабатывает и развертывает решения по безопасному сетевому доступу для корпоративных заказчиков компании Microsoft