Direct Access - одна из самых интересных технологий, которыми мне приходилось пользоваться за последнее время. С помощью нее мой компьютер без использования традиционного VPN подключен в корпоративную сеть Microsoft. Если мой ноутбук с Windows 7 подключен к интернет хоть каким либо способом, то абсолютно прозрачно для меня поверх IPv4 или IPv6 создается защищенное соединение с корпоративной сетью. При смене способа подключения к Интернет подключение к корпоративной сети восстанавливается практически мгновенно.
Никаких настроек для этого делать мне не пришлось и в составе ОС нет никаких сторонних программ. Все делается с помощью стандартного функционала Direct Access. Таким образом, налицо облегчение жизни мобильному пользователю, но в тоже время сделано это не в ущерб безопасности. Перед тем, как моей машине будет разрешено подключиться в корпоративную сеть, она должна пройти проверку с помощью NAP, а я должен авторизоваться с помощью смарт карты. Трафик между моей машиной и удаленными серверами в Microsoft абсолютно прозрачно для меня шифруется с помощью IPsec или https. Раньше у меня при поездках по разным городам бывали проблемы с присоединением к корпоративному VPN. Происходило это из-за того, что некоторые одаренные провайдеры запрещали прохождение пакетов IPsec. Теперь же проблем нет вовсе. В общем с точки зрения конечного пользователя благодать да и только.
Казалось бы, экая невидаль – прозрачный VPN. Но на самом деле это первые признаки полной смены того, как мы строим свои сети. Представьте себе, насколько проще станет жизнь администратора, если мобильные пользователи всегда подключены в сеть. Нет нужны поддерживать vpn сервера и клиентов сторонних производителей. С точки зрения безопасности и управляемости тоже получаем солидные плюсы. Если моя система всегда в сети, то ее проще обновлять, мониторить и удаленно управлять ею.
Еще одно изменение, о котором стоит задуматься состоит в том, что теперь межсетевой экран на внешнем периметре сети в его стандартном понимании становится бесполезен, т.к само понятие периметра размывается. Получается, что у вашей сети нет периметра как такового, а значит все сетевые соединения становятся не доверенными. Подробно об этом писал Олег Ржевский в свое заметке “Время корпоративных брандмауэров заканчивается”.
Так же есть хороший обзор технологии Direct Access от Тараса Злонова и подробное техническое описание Direct Access от Михаила Шмакова. Плюс к этому доступна демонстрация того как работает Direct Access и как он выглядит с точки зрения пользователя. Здесь есть двух страничный документ Direct Access Datasheet описывающий, что необходимо иметь для внедрения, более подробные сведения можно почерпнуть из документа Using DirectAccess to Provide Secure Access to Corporate Resources from Anywhere. Ну а в документе Next Generation Remote Access with DirectAccess and VPNs рассказывается, какие варианты внедрения существуют и как Direct Access может быть совмещен с традиционными VPN. Разобраться, как это работает с точки зрения ИТ специалиста можно, прочитав Technical Overview of DirectAccess in Windows 7 and Windows Server 2008 R2.
После ознакомления с этими документами у вас наверняка появится вопрос. Что нужно для того, чтобы попробовать это пресловутый Direct Access и где взять дополнительную документацию. Нет ничего проще, вот вам пошаговая инструкция Step By Step Guide: Demonstrate DirectAccess in a Test Lab
Я надеюсь, что вы так же как и я по достоинству оцените все преимущества предоставляемые Direct Access. И с нетерпением будете ждать выхода Windows Server 2008 R2 и Windows 7 используя которые можно будет приобщиться к этому чуду. Ждать осталось совсем не долго.
В ближайшее время мы собираемся записать подробный доклад о Direct Access для Techdays.ru, так что следите за нашими новостями.
Обновление:
Сравнение DirectAccess и традиционного VPN
Вышли подробные русские статьи о том как работает DirectAccess и какие механизмы обеспечивают его функционирование.
Введение в DirectAccess (Часть 1)
Введение в DirecAccess (Часть 2)
VPN как VPN - ничего нового.
Автор лукавит немного программа то в любом случае есть, просто она предустановлена или часть функционала ос.
Проблемы как правило не в установке программы (хотя и тут есть), а в ее эксплуатации и настройке сервера - тут админы и огребают по полной и разницы нет устанавливал программу ктото изначально или она встроенная.
"Нет нужны поддерживать vpn сервера и клиентов." - это как само настроится чтоли :))))))))))
Алекс читайте внимательно перед тем как писать комментарии и играть в капитана очевидность.
Я написал "Никаких настроек для этого делать мне не пришлось и в составе ОС нет никаких сторонних программ. Все делается с помощью стандартного функционала Direct Access."
Именно в этом я вижу одно из огромных преимуществ. Нет никакой возни со сторонними утилитами. Не нужно ничего устанавливать, обновления функциона будут происходить прозрачно.
Про разрыве соединения оно восстанавливается само.
Какой из сторонних производителей такое предлагает?
То что сервер Direct Access нужно будет настраивать так это понятно даже ребенку. Сам по себе сервер DirectAccess схему доступа и настройки авторизации вам не сделает.
И где тут лукавство?
Juniper network connect, вот вам ответ. Прозрачно, реконнектитса, нет никакой возни.
> Juniper network connect, вот вам ответ. Прозрачно, реконнектитса, нет никакой возни.
А клиента ставить в систему Juniper не нужно? И обновляется он из WSUS?
И чем же это отличается от VPN ?
VPN-gateway, туннель - все составляющие налицо. Мало того, такая клиентская станция еще и наестся вирусов из окружающего интернета обязательно, поэтому DA-сервер надо будет обязательно зафильтровать по туннельным интерфейсам (если, конечно, будет такая возможность).
В одной из статей же, на которую ссылается автор, вообще перл за перлом: другой оратор декларирует, что, оказывается, в ipv6 реализована некая магическая маршрутизация, когда клиентскую станцию можно будет таскать по сетям разных ISP без изменения ее адреса. Какая чума ! Наверное M$ реализовал в windows 7 автоматический запрос as/pi с блоком /32 ! И на основании этого делает заключение: пакетные фильтры не нужны, так как разница между городом и деревней, то есть, извините, inside и outside полностью стирается !
Мозг, мне кажется, ему больше не нужен. Его заменяют рекламные брошюры от M$.
В общем, очередная мегареволюция, на деле оказывающейся очередным улучшением vpn - в части того, что теперь не надо будет париться с галкой "Использовать шлюз в удаленной сети" и рисовать маршрут до извечных 192.168/16. Ну, улучшение, конечно, налицо, так как в ipcp не предусмотрели передачу маршрутной информации. Но никакой Америки не открыто, просто все полили кипяченой мочой, как это у них там, в маркетинге, принято.
Т.е. вся новизна в том, что не нужно ставить отдельного клиента (но нужен новый сервер) и в отличии от старых встроенных оно научилось переподключаться?
Перелестно! Перелестно!
Для ветеран WoW.
Вероятность заражения клиентской станции можно свести практически к нулю если поставить на ее антивирус.
Обновления антивируса и самой ОС и приложений можно контролировать на этапе подключения с помощью NAP. Если клиентская система подключается к сети и не соответствует политикам безопасности она попадает в карантин. Там не нее автоматически устанавливаются требуемые обновления компонентов ОС, антивируса.
И только после этого она может быть подключена во внутренюю сеть.
Еще один реальный плюс DirectAccess состоит в том что он пробует строить туннели несколькими способами. Например если недоступен ipsec то он будет использовать https.
Какой из подуктов конкурентов это может?
Очень рекомендую ознакомиться
www.techdays.ru/.../1547.html
www.techdays.ru/.../1544.html
Здравствуйте, Андрей!
Есть вопрос по групповым политикам пользователей на DA клиентах.
Как будет работать logon скрипт, если интернет сессию инициализирует сам пользователь? Т.е. допустим пользователь логинится на своем лэптопе в общедоступном месте, в аэропорте например.
Спасибо.
Андрей, вы всего лишь пешка в маркетинге Майкрософта. А все последние разработки майкрософта расчитаны на тотальных кретинов и ит-идиотов, которым "впадлу" нажать 2 кнопки в предыдущей версии майрософтского ПО, расчитанного на олигофренов :DDDDDDDDDD
Поднять VPN за 2 минуты и подконнектить к нему своих друзей может любой школьник, который вместо MS выбрал объектом изучения UNIX/Linux.
А вы до конца жизни будете восхищаться технологиями MS и получать за это дырку от бублика и подобные комментарии.
Убейте себя, жертва маркетинга M$.
Согласен с предыдущим оратором на все сто! Майкрософт гамно и никуда от него не скрыться. Перевод компании на линукс, когда она уже несколько лет отработала на мелкософте, очень и очень сложен и практически невозможен. Потому проще пользоваться майкрософтским гамном, пока оно не стало бить по карману руководителю. Как только придут с первой проверочкой, ваше гомно полетит к чертям и будет везде линукс и полное счастье. Так думаю у многих, так что не долго осталось до революции ПО в России. Потому мелкософт и не прижимает сильно, понимают, что если зажмут, никто их херней пользоваться не будет. Каждый день новые дыры!
Первое впечатление: шо такое и почему не знаю? Потом читаю что вариант ВПН с автоконнектом и новым типом сервера. Мозго**ство с WSUS покруче чем линух о_О
Николай.
Что то я не вижу огромного количества VPN поднятых школьниками на Linux. Очередные мифические внедрения?
Судя по вашему комментарию смысл статьи от вас ускользнул и технологию вы так и не поняли.
для Ди.
Ваш изысканный стиль меня очень порадовал. Проверки продолжают приходить в разные компании но что то роста Linux на рабочих станциях так и не видно. Доля рынка Linux так и колеблется в районе 1%. Видимо платный Microsoft выгоднее чем переход на Linux.
Linux революция идет уже не первый десяток лет, а результатов что то так и не видно. Вы хотите своей революцией сначала разрушить все до основания а потом....
Только потом не наступает. Работа компании остановлена но это революционерам уже не интересно. Налаживать они ничего не хотят это ведь тяжкий труд.
Подскажите возможна ли работа DA сервера через NAT (т.е. без использования 2х реальных IP)
с использованием межсетевого экрана
Для работы DA нужно иметь 2 последовательных белых ipv4 адреса. Так что через NAT не получится.