DirectAccess у Windows 7 замінює VPN
DirectAccess призначається для заміни віртуальних приватних мереж (VPN), що довели свою надійність, безпечним постійним з'єднанням, яке не вимагає (або майже не вимагає) жодних дій користувача. DirectAccess дійсно є одним з головних досягнень прийнятої в Microsoft стратегії розробки "better together" ("краще разом"), що передбачає одночасний випуск нової клієнтської ОС Windows 7 і нової серверної ОС Windows 2008 Server R2, що дозволить надати клієнтам, які почнуть використовувати в розпорядження обидві ОС одночасно, більше функцій та відкрити перед ними додаткові можливості.
Microsoft називає DirectAccess у Windows 7 великим досягненням та новим поколінням технології мережного доступу для віддалених користувачів у нинішніх умовах, коли зникає уявлення про периметр мережі.
У ході тестування в лабораторії eWeek Labs використовувалися найновіше обладнання та ПЗ — Windows 2008 Enterprise Server R2 як серверна ОС і Windows 7 Enterprise/Ultimate як клієнтська. DirectAccess працював так, як можна тільки мріяти, забезпечуючи постійний двосторонній зв'язок. Але залишилося відкритим безліч питань, пов'язаних із масштабованістю, продуктивністю та керованістю. Відповіді на більшість з них залежать від якості ще однієї технології Microsoft, яка поки що тільки у вигляді бета-версії, - шлюзу Forefront Unified Access Gateway (UAG). Хоча в DirectAccess використовується багато промислових стандартів, ця технологія повинна бути ретельно вивчена фахівцями з безпеки, щоб користувачі могли бути впевнені, що вона гарантує конфіденційність.
Проте для багатьох DirectAccess може залишитися нездійсненною мрією, принаймні у коротко- та середньостроковій перспективі.По-перше, про тих, у кого мережева інфраструктура заснована на серверах з Windows Server 2003. По-друге, про тих, хто через обмеженість ІТ-бюджету змушений здійснювати переведення ПК на Windows 7 повільно та поетапно і, відповідно, використовувати попередні технології віддаленого доступу. По-третє, про тих, хто не знайомий з особливостями протоколу IPv6. Зрештою, про тих, хто заради збереження масштабованості або зворотної сумісності своїх систем не може або не хоче замінювати свої засоби безпеки рішеннями Microsoft.
Справді, сфера застосування DirectAccess досить обмежена. ПК повинні працювати під керуванням Windows 7 Enterprise або Ultimate, а сервери додатків — під Windows Server 2008 R2 або Windows Server 2008 SP2 (доки до складу мережі не включені елементи згадуваного шлюзу).
Для постійного підключення DirectAccess використовує протоколи IPSec та IPv6. При вході в мережу клієнтська система з Windows 7 проводить швидку перевірку з метою визначити, до якої мережі вона підключена до захищеної чи ні.
Якщо клієнт виявляє віддалене підключення, то наступного разу, коли з'явиться запит про ім'я DNS, він звернеться до своєї таблиці імен (Name Resolution Policy Table, NRPT). Така таблиця вперше з'являється у Windows 7. Вона допомагає підключити простір імен захищеної мережі до внутрішнього DNS-сервера. Звертаючись до неї, клієнт визначає, чи потрібно направити запит на присвоєння імені внутрішньому серверу DNS. Якщо відповідне ім'я в таблиці не знайдено, запит надсилається DNS-серверам, налаштованим працювати як мережевих адаптерів. При цьому весь інтернет-трафік йде в обхід інфраструктури DirectAccess.
У випадку, якщо у людей на зразок мене захищена мережа не цілком готова до застосування IPv6,DirectAccess може використовувати ISATAP для передачі трафіку внутрішніми мережами IPv4.
DirectAccess автоматично вдається до шифрування за протоколом IPSec при передачі трафіку між ПК та встановленим на межі мережі сервером DirectAccess. За певних умов адміністратори мають можливість поширити шифрування на весь трафік між ПК та сервером програм.
Багатьом адміністраторам, які все ще застосовують Windows Server 2003, для підтримки DirectAccess потрібно провести значну модернізацію обладнання аж до ключових елементів мережної інфраструктури.
До використання DirectAccess можна приступати, маючи в мережі одну систему під керуванням Windows Server 2008 R2, яка буде служити сервером DirectAccess, який пересилає трафік між Інтернетом та інтранетом. Однак контролер домену та сервер DNS повинні працювати під керуванням Windows Server 2008 SP2 або Windows Server 2008 R2, оскільки для вузлів IPv6 сервіс DNS повинен підтримувати записи AAAA.
Адміністраторам необхідно також мати в домені сервер керування сертифікатами, тому що на клієнтських ПК з Windows 7, що включені в групу з гарантованою безпекою і отримали право доступу до DirectAccess, повинні бути встановлені необхідні сертифікати. Крім того, адміністраторам слід створити в захищеній мережі доступний сервер для локалізації мереж (network location server), інакше кажучи, що використовує шифрування веб-сервер. Клієнти звертаються до нього, щоб визначити, до якої мережі вони підключаються — з цієї сторони брандмауера.
Порядок роботи хостових додатків з DirectAccess залежить також від того, під управлінням якої операційної системи вони працюють. Сервери програм на комп'ютерах з Windows Server 2008 R2 або Windows Server2008 року підтримують IPv6 з дворівневою IP-архітектурою. До них легко отримати доступ за допомогою DirectAccess. А ось до серверів з архітектурою подвійного стека, таким як Windows Server 2003, або до тих, що взагалі не підтримують IPv6, віддалені клієнти DirectAccess не можуть отримати прямий доступ.
Для підтримки успадкованих серверів програм адміністраторам потрібно встановити на кордоні мережі ще один пристрій, що підтримує NAT-PT, щоб створити міст між клієнтами DirectAccess, що підтримують IPv6, та серверами програм, що підтримують IPv4. Наступна версія шлюзу Microsoft, яка зараз називається Forefront UAG 2010, виконуватиме функції NAT-PT. В даний час є тільки бета-версія Forefront UAG 2010 і Microsoft поки не оголошувала, коли буде випущений цей продукт.
Мережним адміністраторам буде потрібно Forefront UAG 2010, якщо вони не мають наміру обмежуватися одним сервером DirectAccess на межі мережі. В даний час кожен сервер DirectAccess повинен являти собою окремий пристрій, який налаштовується та керується незалежно від інших. Forefront UAG дозволяє керувати кількома серверами та перерозподіляти навантаження між ними.
На жаль, Microsoft поки що надає небагато інформації щодо вибору адекватного завданням обладнання для DirectAccess. За словами співробітників корпорації, вона все ще збирає дані у користувачів бета-версії, щоб краще зрозуміти, скільки буде потрібно серверів DirectAccess при певному навантаженні. Однак вони повідомили, що кількість серверів варіюватиметься в широких межах залежно від характеру використання мережі. Чисельність одночасно підключених віддалених клієнтів, обсяг переданих в обох напрямках даних, використовуваний клієнтами в кожномуУ конкретному випадку метод обходу мережі (traversal method) - всі ці фактори відбиватимуться на продуктивності. Як сказали представники Microsoft, у сервера DirectAccess вузьким місцем буде швидше не обсяг ОЗУ, а потужність процесора.
Що стосується клієнтів, то DirectAccess може встановлюватися лише на комп'ютерах, які працюють під керуванням Windows 7 Enterprise або Ultimate. Далі ці ПК повинні бути включені в домен, оскільки сервіс видачі сертифікатів і групова політика відіграють важливу роль у встановленні віддаленого з'єднання.
DirectAccess не працюватиме ні з Windows 7 Professional (незважаючи на те, що SKU має функції Domain Join), ні з іншими версіями цієї ОС для споживчого ринку.
Також не буде працювати DirectAccess з комп'ютерами під керуванням Windows Vista або Windows XP та іншими версіями Windows, що вийшли до XP. Адміністраторам доведеться підтримувати наявні рішення для забезпечення віддаленого доступу до таких ПК або замінити свої технології ідентичними сервісами, які надає Forefront UAG 2010. Співробітники Microsoft не виключають, що в застарілих клієнтських ОС буде забезпечена підтримка DirectAccess. Але я припускаю, що це стосуватиметься лише версії Vista.
Як змусити все це працювати
Я тестував DirectAccess у віртуальній мережі, організованій за допомогою VSphere 4 компанії VMware. Було створено чотири віртуальні сервери на основі Windows Server 2008 R2 Enterprise і один 32-розрядний клієнт на базі Windows 7 Ultimate. Апаратурою служив сервер HP DL380 G6 із процесором Intel Nehalem та 12 Гб ОЗУ. Під кожну віртуальну машину виділяли 2 Гб оперативної пам'яті. Крім того, до тестової конфігурації я додав другий клієнт, який працює під керуванням 32-розрядної Windows 7 Enterprise наноутбук Dell XPS M1330. Цей ноутбук був налаштований для доступу до тестового домену через Інтернет та брандмауер з функцією NAT.
Перший віртуальний сервер забезпечував основні послуги, виступаючи в ролі контролера домену, DHCP-і DNS-серверів і сервера сертифікатів. Другий, на якому було встановлено веб-сервер IIS 7.0, служив сервером додатків та локалізації мереж. Третій призначався для DirectAccess і виконував функції мосту між Інтернетом та моєю захищеною мережею. Четвертий я налаштував як DNS-сервер інтернет-імен. Він не належить до обов'язкових елементів, але спрощує тестування з використанням Інтернету.
Політика DirectAccess визначається безпосередньо на сервері DirectAccess за допомогою утиліти DAMgmt. У комплекті немає адміністративного пакета або набору інструментів, які можна було б встановити на ПК, щоб керувати з нього DirectAccess. Так що адміністраторам необхідно буде реєструватися на сервері безпосередньо або через віддалений доступ через Remote Desktop, щоб оновити політику налаштувань DirectAccess або скористатися керуючою консоллю.
Помічник DAMgmt перш за все запускає діагностику, щоб визначити придатність сервера для DirectAccess і переконатися в наявності хоча б двох мережевих інтерфейсів (відповідно до інтранету та Інтернету). Якщо система витримає цю перевірку, адміністратори можуть завершити процес встановлення чотири етапи. Необхідно створити групи захищених комп'ютерів, які використовуватимуть DirectAccess; визначити мережеві інтерфейси та сертифікати на сервері DirectAccess; ідентифікувати сервер локалізації мереж та суфікси DNS, виявлені в захищеній мережі; вирішити, чи повинні шифрування та сертифікація підтримуватися лише до зовнішньої межі мережі (тобто досервера DirectAccess) або до сервера програм. Після цього я отримав можливість зберегти свої налаштування DirectAccess та застосувати їх.
У процесі конфігурування DirectAccess я зіткнувся з невеликою проблемою. Помилка я поставив на сервері DirectAccess один і той же суфікс DNS для обох мережевих адаптерів. Така помилка створює труднощі із підключеннями ISATAP. Ви позбавляєтеся можливості завершити перевірки у фоновому режимі, які проводяться на сервері DirectAccess, коли він приводиться у відповідність заданій політиці. Через цю помилку я не зміг використати свою політику. На жаль, помічник попередив мене лише про виникнення “незрозумілої помилки”. Так що мені довелося шукати, в чому вона полягає, переглядаючи лог-файл, що знаходиться на сервері DirectAccess в папці C: Windows Tracing.
Застосування політики DirectAccess автоматично створює в каталозі Active Directory об'єкти групової політики з необхідними параметрами комп'ютерів. Потім ці настройки використовуються в політиці домену за промовчанням. При цьому фільтр безпеки застосовується до захищених груп, створених на першому етапі роботи з програмою-помічником. Як тільки ці клієнти оновлять свою групову політику (це робиться через певні проміжки часу або вручну GPUpdate), DirectAccess буде готовий до роботи.
Запустивши DirectAccess, я виявив, що обидва мої клієнти (один був підключений до Інтернету безпосередньо за протоколом IPv4, а інший захищений брандмауером з функцією NAT) можуть отримати віддалений доступ до веб-сайтів і файлів, що колективно використовуються, розміщених у захищеній мережі. Причому для встановлення з'єднання від користувача не потрібно жодних дій. Я зміг також благополучно передати віддаленим клієнтам свої налаштування групової політики(мапірований диск) і політику, яка видаляла з призначеного для реєстрації екрана останнього користувача, що зареєструвався.
При налаштуванні клієнтів мені потрібно було створити за допомогою групової політики виключення з політик брандмауера, щоб дозволити вхідний та вихідний трафік протоколами ICMPv4 та ICMPv6 Echo. Організаціям, які використовують брандмауери сторонніх виробників для захисту кінцевих точок, також слід дозволити цей трафік під час тестування DirectAccess.