Mr_SeReG@ [Off] [#] (24.06.2010 / 08:46)

С помощью Direct Access компьютер без использования традиционного VPN подключен в корпоративную сеть Microsoft. Если ноутбук с Windows 7 подключен к интернет хоть каким-либо способом, то абсолютно прозрачно поверх IPv4 или IPv6 создается защищенное соединение с корпоративной сетью. При смене способа подключения к Интернет подключение к корпоративной сети восстанавливается практически мгновенно.
Никаких настроек для этого делать не приходится, и в составе ОС нет никаких сторонних программ. Все делается с помощью стандартного функционала Direct Access. Таким образом, налицо облегчение жизни мобильному пользователю, но в тоже время сделано это не в ущерб безопасности. Перед тем, как машине будет разрешено подключиться в корпоративную сеть, она должна пройти проверку с помощью NAP, а пользователь должен авторизоваться с помощью смарт-карты. Трафик между машиной и удаленными серверами в Microsoft абсолютно прозрачно шифруется с помощью IPsec или https. Раньше при поездках по разным городам бывали проблемы с присоединением к корпоративному VPN. Происходило это из-за того, что некоторые одаренные провайдеры запрещали прохождение пакетов IPsec. Теперь же проблем нет вовсе. В общем с точки зрения конечного пользователя благодать да и только.

Казалось бы, экая невидаль – прозрачный VPN. Но на самом деле это первые признаки полной смены того, как мы строим свои сети. Представьте себе, насколько проще станет жизнь администратора, если мобильные пользователи всегда подключены в сеть. Нет необходимости поддерживать vpn-сервера и клиентов сторонних производителей. С точки зрения безопасности и управляемости тоже получаем солидные плюсы. Если моя система всегда в сети, то ее проще обновлять, мониторить и удаленно управлять ею.

Еще одно изменение, о котором стоит задуматься, состоит в том, что теперь межсетевой экран на внешнем периметре сети в его стандартном понимании становится бесполезен, т.к само понятие периметра размывается. Получается, что у вашей сети нет периметра как такового, а значит, все сетевые соединения становятся не доверенными. Подробно об этом писал Олег Ржевский в свое заметке “Время корпоративных брандмауэров заканчивается”.

Некоторые новые технологии Microsoft доступны исключительно при «правильном» сочетании клиентской и серверной операционных системах.
Одним из примеров такого «синергетического эффекта» является новая технология от Microsoft – DirectAccess, которая становится доступной при одновременном использовании в компании рабочих станций под управлением Windows 7 и серверов с ОС Windows Server 2008 R2.

Основное предназначение DirectAccess такое же, как у виртуальных частных сетей (VPN – Virtual Private Network), а именно — предоставление защищённого соединения с корпоративной сетью для удалённых пользователей, работающих через публичные сети (чаще всего — Интернет).

Основное отличие DirectAccess от VPN состоит в том, что безопасное соединение устанавливается в фоновом режиме без участия пользователя. Такой подход позволяет сделать максимально простой и удобной работу удалённых мобильных пользователей без снижения обеспечиваемого уровня безопасности. Устанавливаемое автоматически защищённое соединение не требует повторного ручного подключения, даже если связь с сетью Интернет прерывается, а групповые политики теперь могут применяться ещё до входа пользователя в ОС. Тоже самое касается и процедур установки обновлений программного обеспечения.

С помощью DirectAccess устанавливается защищённое двунаправленное соединение с использованием протоколов IPv6 (Интернет протокол версии 6 - Internet Protocol version 6) и IPSec (Безопасный интернет протокол - Internet Protocol security). Последний позволяет использовать для шифрования передаваемого трафика алгоритмы Triple Data Encryption Standard (3DES) или Advanced Encryption Standard (AES).
Принципиальная схема подключения изображена на рисунке.

Компьютер пользователя соединяется с сервером DirectAccess, который выступает в роли своеобразного шлюза для доступа к остальным корпоративным ресурсам. При этом клиент DirectAccess, являющийся частью Windows 7, устанавливает два соединения с использованием IPSec ESP (Протокол безопасного закрытия содержания - Encapsulating Security Payload) :
IPsec ESP тоннель с использованием сертификата компьютера для обеспечения соединения с корпоративным DNS сервером и контроллером домена, который позволяет применять к компьютеру групповые политики до входа пользователя в ОС;

IPsec ESP тоннель с одновременным использованием сертификата компьютера и учётных данных пользователя для предоставления доступа к внутренним корпоративным ресурсам и приложениям.