.png "Microsoft Server 2008")
Security Watch Bezpieczny dostęp w dowolnym miejscu .png "Udostępnij na: Facebook")
Opublikowano: 14 kwietnia 2008
Jednym z niewątpliwych trendów współczesnej technologii jest wciąż zwiększająca się mobilność oraz łączność z Internetem siły roboczej. Wiele przedsiębiorstw zatrudnia personel, który wykonuje operacje z odległych biur, pracuje zdalnie za pośrednictwem telekomunikacji, lub często podróżuje na spotkania z klientami. Dzięki ułatwieniu takim użytkownikom dostępu do aplikacji i danych, bez względu na lokalizację, pracują oni bardziej wydajnie. Jednak, jeszcze do niedawna, umożliwienie bezpiecznego dostępu zdalnego wiązało się często z instalowaniem oprogramowania klienckiego, wprowadzaniem tajemniczych poleceń oraz z długim czasem połączenia.
W ostatnich latach pojawiło się wiele rozwiązań, dzięki którym zdalny dostęp miał stać się prostszą i bardziej dostępną technologią. Na przykład, program Outlook® Web Access (OWA) zapewnia użytkownikom prosty, oparty na wyszukiwarce sposób uzyskiwania dostępu do poczty elektronicznej, kalendarza oraz kontaktów bez korzystania ze zbędnej złożoności pełnej Wirtualnej sieci prywatnej VPN, opartej na powłoce Layer 3. Technologie, takie jak OWA stanowią znaczącą część rozwiązania dotyczącego dostępu w dowolnym miejscu, jednak większość przedsiębiorstw posiada wiele kluczowych aplikacji, które nie zezwalają na korzystanie z możliwości zintegrowanej przeglądarki. W tym przypadku, rozwiązania, takie jak usługi terminalowe zapewniają efektywną metodę umożliwiania użytkownikom dostępu do aplikacji gdziekolwiek się znajdują.
Zawartość strony
.gif){kind=icon} |
Wstęp |
|
Jakie problemy wiążą się z sieciami VPN opartymi na powłoce Layer 3? |
|
Rozwiązywanie problemów związanych z usługami terminalowymi |
|
Możliwości wyboru architektury sieci |
|
Integracja ochrony dostępu do sieci (NAP) |
|
Podsumowanie |
Wstęp
W systemie Windows Server® 2008 firma Microsoft znacznie ulepszyła dostępną w wersji podstawowej systemu funkcję zbioru usług terminalowych. Usługi terminalowe zawierają obecnie proste okno, funkcję publikowania dla oddzielnych aplikacji o nazwie RemoteApp, uniwersalne możliwości sterowania drukarkami w programie EasyPrint oraz oparty na przeglądarce portal o nazwie Dostęp w sieci Web do usług terminalowych. Ponadto, najważniejszym elementem scenariusza dotyczącego dostępu w dowolnym miejscu jest fakt, iż system Windows Server 2008 zawiera również bramę usług terminalowych, która jest składnikiem zapewniającym kapsułkowanie SSL dla protokołu pulpitu zdalnego (RDP), pozwalając na bezpieczne przesyłanie go przez zapory oraz urządzenia tłumaczące adresy sieciowe (NAT). Funkcja bramy usług terminalowych zintegrowana jest również z nową technologią w systemie Windows Server 2008 o nazwie Ochrona dostępu do sieci (NAP), aby zapewnić badanie kondycji końcowych urządzeń klienckich. Dzięki połączeniu wszystkich wymienionych składników, przedsiębiorstwa mają możliwość utworzenia rozwiązań dających użytkownikom prosty i bezpieczny dostęp do aplikacji oraz danych z dowolnego miejsca.
Niniejszy artykuł opisuje aspekty tworzenia sieci i bezpieczeństwa rozwiązania dotyczącego dostępu z dowolnego miejsca, ale nie omawia szczegółów zarządzania składnikami usług terminalowych. Opisuje metody oraz najlepsze praktyki dotyczące tworzenia takiego rozwiązania, opartego na technologii zawartej w systemie Windows Server 2008.
.gif){kind=icon}
Do początku strony
Jakie problemy wiążą się z sieciami VPN opartymi na powłoce Layer 3?
Rozważając wprowadzenie dowolnej nowej technologii, należy zapoznać się z tym, w jaki sposób przewyższa ona bieżące rozwiązania, aby trafnie ocenić wartość nowego modelu. W przypadku klasycznej sieci VPN opartej na powłoce Layer 3 zwykle pojawiają się dwa problemy, bezpieczeństwo i łatwość użycia.
Bezpieczeństwo wymieniane, jako jeden z problemów związanych z wieloma współczesnymi sieciami VPN opartymi na powłoce Layer 3 może wydać się dziwne. Czy głównym zadaniem sieci VPN nie jest przecież zapewnienie bezpiecznego tunelu przez Internet? Aby to zrozumieć, zastanówmy się, jakie są typowe zagrożenia sieci VPN. Nie twierdzę, że przesyłanie danych przez sieci VPN narażone jest na przechwycenie lub naruszenie, gdyż większość nowoczesnych sieci VPN opartych na powłoce Layer 3 zapewnia doskonałe szyfrowanie strumienia danych. Należy zatem, pomyśleć o zagrożeniach spowodowanych przez maszyny zdalne, które posiadają pełen dostęp do wszystkich portów i protokołów w sieci firmowej. Problem nie dotyczy strumieni danych szyfrowanych oraz przenoszonych w sieci przez sieci VPN oparte na powłoce Layer 3, a raczej zdalnych urządzeń klienckich łączących się poprzez te tunele, które stanowią większe zagrożenie dla sieci wewnętrznych. Przypomnijmy, iż większość przedsiębiorstw dotkniętych problemem złośliwego oprogramowania, takiego jak Slammer lub Blaster, nie zostały zainfekowane przez maszyny z sieci wewnętrznej, czy hakerów, którzy przedostali się przez zapory, a przez zdalnych pracowników łączących się z zainfekowanych komputerów z sieciami przez sieci VPN. Kiedy dane sieci VPN tworzą w pełni routowane połączenia, oparte na powłoce Layer 3, komputery zdalne posiadają identyczny dostęp (zarówno dobry, jak i zły) do wewnętrznych zasobów, jak komputery znajdujące się na tym samym piętrze, co centrum danych.
Ponadto, sieci VPN oparte na powłoce Layer 3 są bardzo drogie w obsłudze, ponieważ wymagają instalacji oraz konfiguracji oprogramowania na komputerach, które nie są zarządzane przez zespół IT danego przedsiębiorstwa. Instalacja klienta sieci VPN na komputerze domowym użytkownika może wiązać się, na przykład, z przymusem tworzenia niestandardowych pakietów instalacyjnych, z działaniem zgodnie ze szczegółowymi wskazówkami dotyczącymi instalacji oraz z rozwiązywaniem konfliktów z aplikacjami na komputerze użytkownika. Ponadto, koszty zarządzania będą wysokie, jeśli wymagane jest wdrożenie nowych wersji klienta lub wprowadzenie zmian w konfiguracji danych (takie jak dodanie nowego punktu końcowego sieci VPN). Dla użytkownika praca poprzez sieć VPN często nie jest intuicyjna. Ponieważ zapewnia ona jedynie połączenie oparte na powłoce Layer 3, aplikacje biznesowe oraz dane użytkownika nie są w prosty sposób dostępne i widoczne.
Do początku strony
Rozwiązywanie problemów związanych z usługami terminalowymi
Usługi terminalowe oraz inne o nazwie Layer 7 lub technologie VPN powłoki aplikacji rozwiązują wyżej wspomniane dwa problemy dzięki lepszej kontroli nad tym, do jakich zasobów oraz protokołów użytkownicy mogą uzyskać dostęp oraz dzięki stworzeniu uproszczonych i bardziej niż kiedykolwiek intuicyjnych możliwości zwykłego użytkownika.
Z punktu widzenia bezpieczeństwa, najważniejsza funkcja różniąca wykorzystanie sieci VPN opartej na powłoce Layer 3 od rozwiązania wykorzystującego usługi terminalowe oraz bramę usług terminalowych, polega na tym, iż połączenie z siecią wewnętrzną nie jest całkowicie otwarte. Podczas gdy rozwiązanie wykorzystujące powłokę Layer 3 na komputerze lokalnym tworzy wirtualny interfejs w pełni routingowany w sieci wewnętrznej, rozwiązanie oparte na bramie usług terminalowych do sieci wewnętrznej pozwala przedostawać się jedynie pakietom opartym na protokole pulpitu zdalnego. Dzięki temu, całkowita powierzchnia narażona na atak została znacznie zredukowana i możliwe jest wprowadzenie bardziej szczegółowych kontroli wewnątrz protokołu pulpitu zdalnego. Jeśli, na przykład, protokół pulpitu zdalnego zapewnia obsługę bezpośrednią przekierowywania dysków, przedsiębiorstwa mogą skonfigurować bramy usług terminalowych tak, aby zintegrować je z ochroną dostępu do sieci (NAP) i nie uruchamiać tej opcji, aż do momentu, w którym komputer zdalny udowodni, że jego oprogramowanie antywirusowe jest zaktualizowane.
Dla zwykłych użytkowników najbardziej oczywistą różnicą między siecią VPN opartą na powłoce Layer 3, a rozwiązaniem wykorzystującym usługi terminalowe, jest znacznie mniej złożony proces instalacji (często, instalacji w ogóle nie ma) oraz łatwiejszy i bardziej intuicyjny dostęp do aplikacji i danych. Ponieważ klient połączenia pulpitu zdalnego (RDC) wbudowany jest w system Windows (i jest aktualizowany poprzez zwykłe technologie serwisujące, takie jak Windows® Update), nie ma potrzeby instalacji oprogramowania klienckiego. Ponadto, dzięki wykorzystaniu dostępu w sieci Web do usług terminalowych, użytkownicy odnajdą wszystkie swoje aplikacje oraz dane po wejściu na pojedynczą stronę internetową. Zwykłe kliknięcie na odpowiednią aplikację uruchamia bezpieczne przesyłanie połączenia przez Internet przy pomocy bramy usług terminalowych, a wybrana aplikacja jest płynnie dostarczana do komputera użytkownika. Innymi słowy, aplikacje będą wyglądały i zachowywały się tak, jakby zostały zainstalowane lokalnie. Będą posiadały m.in. możliwość kopiowania i wklejania oraz minimalizowania do paska zadań. Dzięki łatwiejszemu dostępowi do aplikacji i danych oraz uproszczeniu procesu instalacji, rozwiązanie oparte na usługach terminalowych dotyczące dostępu zdalnego z powodzeniem zwiększa satysfakcję użytkownika oraz pomaga zredukować koszty obsługi.
Do początku strony
Możliwości wyboru architektury sieci
Istnieją dwa sposoby zaprojektowania sieci, dzięki którym serwer bramy usług terminalowych dostępny jest przez Internet. Pierwszy polega na umieszczeniu bramy usług terminalowych w sieci obwodowej między dwiema zaporami Layer 3/4. Drugi polega na umieszczeniu bramy usług terminalowych w sieci wewnętrznej oraz wykorzystaniu zapory opartej na powłoce aplikacji (takiej jak Microsoft® ISA Server, Microsoft Intelligent Application Gateway, lub wiele innych rozwiązań firm trzecich), do pozostania w sieci obwodowej oraz kontrolowania wewnętrznych ram HTTPS. Pakiety są przekazywane do wewnętrznego serwera bramy usług terminalowych, tylko jeśli wewnętrzne sesje zostaną sprawdzone.
Jeśli przedsiębiorstwo posiada jedynie zapory oparte na powłoce Layer 3/4 z podstawową kontrolą pakietów, urządzenie bramy usług terminalowych może zostać umieszczone bezpośrednio w sieci obwodowej, tak jak pokazano na Rysunku 1. W tym projekcie, zapora przed Internetem ogranicza łączność z bramą usług terminalowych zezwalając na dotarcie do niej jedynie przesyłowi HTTPS z Internetu. Zapora jednak nie przeprowadza żadnej kontroli na powłoce aplikacji tego przesyłu, a przekazuje go wprost do bramy usług terminalowych. Następnie serwer bramy usług terminalowych wyodrębnia ramy protokołu pulpitu zdalnego z pakietów HTTPS i przekazuje je na odpowiednie serwery wewnętrzne. Serwery te często oddzielone są od sieci obwodowej drugą zaporą skonfigurowaną tak, aby pozwalała ramom protokołu pulpitu zdalnego z bramy usług terminalowych dotrzeć do odpowiednich serwerów wewnętrznych.
.png)
Rysunek 1 Przy wykorzystaniu zapory opartej na powłoce Layer 3/4 brama usług terminalowych umieszczona zostaje w sieci obwodowej.
Scenariusz ten jest w pełni obsługiwany i okazuje się przydatny dla wielu przedsiębiorstw, jednak posiada dwie wady. Po pierwsze, ponieważ brama usług terminalowych odbiera przesył bezpośrednio z Internetu, narażona jest na stosunkowo wysoki poziom ryzyka ze strony zewnętrznych programów złośliwych. Mogą one atakować bramę poprzez sesję SSL i, ponieważ zapora zewnętrzna sprawdza jedynie nagłówki, a nie ładunek, sesje te mogą przedostawać się do bramy. Nie oznacza to, że brama usług terminalowych jest niezabezpieczonym składnikiem. Podlega ona takiemu samemu rygorystycznemu procesowi projektowania zabezpieczeń oraz testowaniu, jak pozostałe produkty w systemie Windows Server 2008. Ryzyko, na jakie narażona jest brama, jest w tym scenariuszu jednak wyższe, ponieważ przyjmuje ona nieprzefiltrowany przesył bezpośrednio z Internetu. Drugą sporą wadą jest zwiększona ilość przesyłu, na jaką zezwala się między bramą a zaporą wewnętrzną. W celu uwierzytelnienia użytkowników, brama usług terminalowych musi skontaktować się z usługą Active Directory®. Aby zezwolić na tę komunikację, zapora wewnętrzna musi akceptować znacznie szerszy zbiór portów oraz protokołów, niż tylko HTTPS. Z kolei podwyższony poziom dopuszczonej komunikacji zwiększa ryzyko, na jakie narażony jest projekt.
Lepszym rozwiązaniem problemu wystawienia bramy usług terminalowych na Internet jest wykorzystanie zapory powłoki aplikacji (Layer 7) do obsługi wewnętrznych sesji HTTPS zanim dotrą one do bramy (patrz Rysunek 2). W tym projekcie nadal występować mogą zapory oparte na powłoce 3/4 formujące sieć obwodową. Jednak zamiast umieszczania bramy usług terminalowych w sieci obwodowej, umieszcza się tam zaporę opartą na powłoce Layer 7. Kiedy przesył dostaje się do zapory zewnętrznej, przefiltrowuje ona wszystko oprócz ram HTTPS, a następnie przesyła je do zapory opartej na powłoce Layer 7. Powłoka ta kończy sesję SSL, sprawdza niezaszyfrowaną zawartość strumienia, blokuje przesył złośliwy, a następnie przesyła ramy protokołu pulpitu zdalnego przez zaporę wewnętrzną do bramy usług terminalowych. Należy zauważyć, że w razie potrzeby, zapora oparta na powłoce Layer 7 może również ponownie zaszyfrować ramy przed wysłaniem ich do bramy usług terminalowych. Rozwiązanie to nie jest konieczne w prywatnej sieci w przedsiębiorstwie, ale może okazać się bardzo przydatne w przypadku centrów danych oraz sieci udostępnionych.
.png)
Rysunek 2 Wykorzystanie zapory opartej na powłoce aplikacji z bramą usług terminalowych
Niniejszy projekt pozwala uniknąć obu wad poprzedniego rozwiązania. Ponieważ serwer bramy usług terminalowych otrzymuje jedynie przesył sprawdzony przez zaporę opartą na powłoce Layer 7, ryzyko przepuszczenia ataków pochodzących z Internetu jest znacznie mniejsze. Zapora oparta na powłoce Layer 7 powinna przefiltrować takie ataki i do bramy przekazywać jedynie czysty, sprawdzony przesył.
Drugą ogromną zaletą niniejszego rozwiązania jest miejsce, w którym umieszczona zostaje brama w stosunku do sieci wewnętrznej. Ponieważ przesył pochodzący z Internetu, przed dotarciem do bramy, sprawdzany jest przez zaporę opartą na powłoce Layer 7, może on pozostać w sieci wewnętrznej oraz posiadać bezpośredni dostęp do kontrolerów domeny w celu uwierzytelniania oraz do hostów protokołu pulpitu zdalnego w celu uzyskania sesji użytkownika. Ponadto, zapora wewnętrzna może posiadać znacznie bardziej restrykcyjne zasady. Zamiast zezwalać zarówno na przesył protokołu pulpitu zdalnego, jak i uwierzytelniania katalogów, wystarczy, że zezwoli ona na sesje protokołu pulpitu zdalnego z zapory opartej na powłoce Layer 7 do bramy usług terminalowych. Użycie zapory opartej na powłoce Layer 7, w celu wdrożenia bramy usług terminalowych po zewnętrznej stronie, zapewnia bezpieczniejsze rozwiązanie, którym łatwiej jest zarządzać, bez potrzeby ponownego projektowania istniejącej już sieci obwodowej.
Do początku strony
Integracja ochrony dostępu do sieci (NAP)
Zasoby dotyczące usług terminalowych
- Usługi terminalowe w systemie Windows Server 2008 (j. ang.)
- Forum TechNet dotyczące usług terminalowych w systemie Windows Server 2008 (j. ang.)
- Blog zespołu dotyczący usług terminalowych (j. ang.)
- Microsoft Intelligent Application Gateway 2007 (j. ang.)
- Ochrona dostępu do sieci (NAP) dla systemu Windows Server 2008 (j. ang.)
- Blog zespołu dotyczący ochrony dostępu do sieci (NAP) (j. ang.)
- Instrukcje krok po kroku dla systemu Windows Server 2008 Beta 3 (j. ang.)
Dobry projekt obwodu to główny element rozwiązania problemu dostępu z dowolnego miejsca. Jednak równie ważne jest, aby zapewnić zgodność oraz bezpieczeństwo urządzeń w punkcie końcowym. Ponieważ protokół pulpitu zdalnego jest rozbudowanym protokołem, który zezwala na przekierowywanie wielu typów urządzeń, takich jak sesje protokołu pulpitu zdalnego oraz drukarki, bardzo ważne jest, aby urządzenia klienckie łączące się z danym rozwiązaniem spełniały zasady bezpieczeństwa firmy. Nawet przy bezpiecznej konfiguracji sieci opartej na najlepszych praktykach opisanych wcześniej, zwykły użytkownik łączący się z serwerem terminali z niezabezpieczonego komputera może utracić poufne dane lub próbować umieścić złośliwe pliki na serwerze terminali. Mimo, że ilość połączeń oraz prawdopodobieństwo zniszczeń jest dużo mniejsze niż w przypadku łączenia się przez sieć VPN opartą na powłoce Layer 3, nadal ważne jest zarządzanie ryzykiem utraty danych oraz zapewnienie zgodności z obowiązującymi zasadami IT.
Ochrona dostępu do sieci (NAP) to nowa technologia w systemie Windows Server 2008, która pozwala kontrolować nie tylko kto łączy się z siecią, ale również z jakich systemów. Usługę NAP można, na przykład, wykorzystać, aby z siecią łączyć się mogły wyłącznie komputery z uruchomionymi zaporami oraz zaktualizowanymi programami antywirusowymi. Ochrona dostępu do sieci (NAP) jest elastycznym rozwiązaniem, które obsługuje nie tylko wewnętrzną sieć w firmie, ale również użytkowników zdalnych, zarówno tych, łączących się przez sieć VPN opartą na powłoce Layer 3, jak i tych, łączących się przez bramę usług terminalowych. Dzięki zintegrowaniu ochrony dostępu do sieci (NAP) z projektem bramy usług terminalowych, możemy upewnić się, że łączą się z nią jedynie systemy spełniające zasady bezpieczeństwa. Więcej szczegółów dotyczących ochrony dostępu do sieci (NAP) znajduje się w rubryce Security Watch w numerze z maja 2007 magazynu TechNet Magazine, dostępnego online pod adresem technetmagazine.com/issues/2007/05/SecurityWatch (j. ang.).
Integracja ochrony dostępu do sieci (NAP) z wdrożeniem bramy usług terminalowych jest prostym procesem, który wprowadza do projektu pojedynczą dodatkową usługę. Usługa ta, czyli serwer zasad bezpieczeństwa (serwer zasad sieciowych), może zostać zainstalowana na serwerze bramy usług terminalowych lub w osobnym systemie operacyjnym. Brama usług terminalowych MMC wykorzystywana jest następnie do tworzenia zasad uwierzytelniania CAP, które określają, które możliwości protokołu pulpitu zdalnego dozwolone są dla danego stanu kondycji. Serwer bramy usług terminalowych skonfigurowany jest tak, aby dokonywał kontroli względem serwera zasad sieciowych, przy każdej próbie połączenia oraz w celu przekazania do serwera zasad sieciowych raportu o kondycji dla danego połączenia. Serwer zasad sieciowych porównuje następnie raport o kondycji z własnymi zasadami i na podstawie kondycji urządzenia klienckiego informuje bramę usług terminalowych, czy połączenie powinno zostać dopuszczone.
Jak pokazuje Rysunek 3, jeśli niezgodny system nie zostanie skonfigurowany do korzystania z usługi Windows Update, a zasady bezpieczeństwa firmy wymagają, aby automatyczne aktualizacje były włączone, gdy użytkownik będzie chciał połączyć się z bramą usług terminalowych, jego komputer wygeneruje i przekaże raport o kondycji. Raport ten będzie zawierał komunikat w rodzaju „Zapora jest włączona, a program antywirusowy jest zaktualizowany, ale usługa automatycznych aktualizacji jest wyłączona”. Brama usług terminalowych przekaże ten raport do serwera zasad sieciowych (brama usług terminalowych nie posiada umiejętności samodzielnego dekodowania raportu o kondycji), a serwer ten porówna raport z zasadami określonymi przez administratora. Ponieważ automatyczne aktualizacje są wyłączone, serwer zasad sieciowych wskaże, że połączenie pasuje do „niezgodnych” zasad oraz poinformuje bramę usług terminalowych, aby nie zezwalała na połączenie. Brama usług terminalowych odrzuci połączenie i powiadomi użytkownika, że jego komputer nie spełnił zasad bezpieczeństwa danego przedsiębiorstwa. Użytkownik może wtedy wykonać dowolne wymagane działania naprawcze (w tym przypadku wystarczy włączyć aktualizacje automatyczne) i ponownie spróbować nawiązać połączenie. W rezultacie wygenerowany zostanie nowy raport o kondycji, serwer zasad sieciowych określi zgodność, a brama usług terminalowych zezwoli na nawiązanie połączenia.
.png)
Rysunek 3 Tylko zgodne systemy mogą się połączyć
Do początku strony
Podsumowanie
System Windows Server 2008 zawiera główne elementy składowe budujące rozwiązanie dotyczące bezpiecznego dostępu z dowolnego miejsca. Brama usług terminalowych zapewnia bezpieczną metodę tunelowania sesji pulpitów zdalnych przez Internet i daje przedsiębiorstwom duży wybór, jeśli chodzi o to, w jaki sposób należy zintegrować ją z istniejącymi sieciami. Możliwe jest zatem umieszczenie bramy usług terminalowych bezpośrednio w sieci obwodowej, lub przed nią, przy użyciu zapory opartej na powłoce Layer 7, takiej jak serwer ISA Server lub brama Intelligent Application Gateway. Ochronę dostępu do sieci (NAP) można połączyć z bramą usług terminalowych, w celu dodania do tego rozwiązania możliwości kontroli kondycji w punkcie końcowym. Kontrole w punkcie końcowym pozwalają upewnić się nie tylko, że zdalne połączenia pochodzą od sprawdzonych użytkowników, ale również że pochodzą one z komputerów zgodnych z zasadami bezpieczeństwa IT. Technologie te w połączeniu ze sobą dają przedsiębiorstwom bezpieczniejsze możliwości dostępu zdalnego, którymi można efektywniej sterować oraz które oferują lepsze możliwości dla zwykłych użytkowników.
| Do początku strony |