• 發行項

安全性監控安全地隨處存取

John Morello

連線和行動工作力日益增加,是現今科技發展不容否認的趨勢。許多公司的工作人員,不是坐陣在遙遠的辦公室,就是使用電腦在家工作,再不然就是經常外出拜訪客戶。如果能夠讓這些使用者更方便的存取應用程式和資料,不受地點限制,應該可以提高他們的

產能。不過,在不久前,一般人還是認為所謂安全的遠端存取,是安裝用戶端軟體、輸入 arcane 命令,以及長時間的連線。

過去數年來的確發展出幾種方便遠端存取的方法。Outlook® Web Access (OWA) 就是其中一種,它不像完整的第 3 層 VPN 這麼複雜,使用者只要使用它所提供的瀏覽器,就能存取電子郵件、行事曆和連絡人資訊。這類技術對於「隨處存取」解決方案的確有相當大的助益,不過企業大多擁有許多重要的應用程式,無法容許這種整合式瀏覽器。遇到這種情況,可以派上用場的就是終端機服務這一類的解決方案,一樣可以讓使用者隨處有效存取自己的應用程式。

Microsoft 在 Windows Server® 2008 大大加強了終端機服務的「系統內附」功能組合。現在,終端機服務納入了使用流暢的視窗、稱為 RemoteApp 的應用程式專屬發佈功能、EasyPrint 所附的通用列印驅動程式功能,以及稱為 TS Web Access 的瀏覽器入口網站。另外,Windows Server 2008 還附隨 TS 閘道元件,這個元件所提供 SSL 封裝,透過它,遠端桌面通訊協定 (RDP) 能夠更方便而安全地周遊在防火牆和網路位址轉譯 (NAT) 裝置之間,這一點對於隨處存取案例相當重要。TS 閘道功能還也整合了 Windows Server 2008 的另一項新技術 — 網路存取保護 (NAP),用於端點用戶端的健康檢查。當這些元件全部結合起來時,就賦予公司建立解決方案的能力,幫助使用者更方便且更安全的從任何地方存取他們的應用程式和資料。

本專欄將側重隨處存取解決方案的網路和安全性設計,有關管理終端機服務元件等細節則暫不討論。本文將透過 Windows Server 2008 的幾項技術,說明建立這類解決方案的方法和最佳作法。

第 3 層虛擬私人網路有哪些問題?

不管是哪一種新技術,都必須透過與當前方法比較,瞭解優勢,看出新技術的價值。以傳統的第 3 層 VPN 為例,它有兩個主要問題需要解決:安全性與方便性。

把當前許多第 3 層 VPN 的安全性視為問題,似乎自相矛盾。VPN 不就是在提供網際網路的安全通道嗎?為了瞭解這一點,讓我們把視界提高,想想看有哪些是 VPN 威脅。我並不是暗示通過這些 VPN 的資料有攔截或篡改的風險,其實現今大部分第 3 層 VPN 所提供的資料流加密技術都相當優秀。我只是要提醒您來自遠端機器的威脅,這些遠端機器對於貴公司的網路具有完整的「全連接埠、全通訊協定」存取權。問題並不在於由第 3 層 VPN 加密且藉由網路傳送的資料流,而在於透過這些通道連線的遠端用戶端,它們對您的內部網路已經造成日益重大的威脅。您可以回想一下,大部分遭到 Slammer 或 Blaster 等惡意程式碼染指的公司,都不是被內部網路機器感染,也不是被周遊於防火牆的駭客攻擊,而是受到透過 VPN、從受感染的機器連線到公司網路的遠端工作者所拖累。這些 VPN 一旦建立完全路由的第 3 層連線時,遠端機器就握有相當於資料中心機器對於內部資料的存取權了 (不分好壞)。

此外,由於第 3 層 VPN 需要在不是由公司 IT 群組管理的機器上進行軟體安裝和設定,因此運作成本都相當昂貴。舉例來說,在使用者的家用電腦安裝 VPN 用戶端,不但要建立自訂安裝套件、提供詳細的安裝指引供使用者參考,還要排解使用者機器上的應用程式衝突等疑難雜症。如果需要部署新版用戶端,或者需要更改設定資料 (如加入新 VPN 端點),管理成本還會往上提高。對使用者來說,透過 VPN 工作往往不太自然,這種作業方式只提供第 3 層連線,使用者無法直覺取用或看見商務應用程式和資料。

解決終端機服務的問題

為了因應這兩個問題,於是出現了終端機服務和其他所謂第 7 層或應用程式層的 VPN 技術,這種技術能夠更精準地操控使用者所能存取的資源和通訊協定,能給予使用者更簡單、更直覺化的操作體驗。

從安全性的觀點來看,「第 3 層 VPN」與「使用終端機服務和 TS 閘道」重要的差別,在於後者與內部網路的連線為非完全開放的管線。更具體的說,第 3 層 VPN 方法會在本機電腦上建立一個在內部網路具備完整路由能力的虛擬介面,相較下 TS 閘道方法只容許 RDP 封包存取內部網路,因而大幅減少整體的攻擊面積,並且在 RDP 具有更細微的控制權。舉個例說,由於 RDP 提供磁碟機重新導向的原始支援,因此公司可以將 TS 閘道設定成與 NAP 整合,而且除非遠端機器能證明持有最新的防毒軟體,否則一律不允許這項功能。

就一般使用者來看,第 3 層 VPN 和終端機服務方法之間最明顯的差異,是後者的設定明顯簡單許多 (通常根本不用設定),而且存取應用程式和資料的方法更加容易且更加直覺化。由於遠端桌面連線用戶端是內建在 Windows,並且透過像 Windows® Update 的一般服務技術隨時更新,因此通常不用安裝用戶端軟體。另外,有了 TS Web Access,使用者只需造訪一個 URL,就可以找到自己所有的應用程式和資料。而且只要按一下適當的應用程式,就可以啟動 TS 閘道為網際網路連線建立穩固的通道,將應用程式順利傳送到使用者的桌面。換句話說,應用程式的外觀和反應 (包括複製、貼上和最小化成工作列等功能) 簡直像是安裝在本機上。終端機伺服器方法因為能幫助使用者輕鬆取用應用程式和資料、設定快速,成功提高了使用者的滿意度,也降低了支援成本。

網路架構選項

將 TS 閘道伺服器應用在網際網路上的基本網路設計方法有兩種。第一種方法是將 TS 閘道置於第 3 層/第 4 層防火牆之間的周邊網路,形成三角架構。第二種方法是把 TS 閘道留在內部網路,改以應用程式層防火牆 (例如,Microsoft® ISA Server、Microsoft Intelligent Application Gateway 或各種協力廠商解決方案) 坐陣周邊網路,審察輸入的 HTTPS 框架。等輸入工作階段分析完畢之後,再將封包轉送到內部 TS 閘道伺服器。

如果公司只有第 3 層/第 4 層防火牆,也具備基本可設定狀態的封包審查功能,不妨將 TS 閘道裝置直接置於周邊網路中,如 [圖 1] 所示。這個設計的網際網路對向防火牆只容許來自網際網路的 HTTPS 資料流到達 TS 閘道。不過,這種防火牆並不會檢查應用程式層的資料流,只是將資料流轉送到 TS 閘道。TS 閘道伺服器會接著將 HTTPS 封包的 RDP 框架解壓縮,然後轉送到適當的後端伺服器。這些後端伺服器通常由第二道防火牆與周邊網路互相區隔,而這道防火牆則容許來自 TS 閘道的 RDP 框架到達適當的內部伺服器。

[圖 1] 採用第 3 層/第 4 層防火牆的 TS 閘道置於周邊網路內

[圖 1]** 採用第 3 層/第 4 層防火牆的 TS 閘道置於周邊網路內 **(按影像可放大)

雖然這是一個完全支援的案例,對許多公司來說可能也相當有用,但它有兩個重大缺點。第一,由於 TS 閘道是直接接收來自網際網路的資料流,因此遭到外部惡徒入侵的風險相對地高。這些心懷不軌的傢伙可能會透過 SSL 工作階段趁機攻擊閘道,而且由於前端防火牆只檢查標頭而不檢查裝載部分,因此這些工作階段可以直達閘道。我並非質疑 TS 閘道防禦薄弱,畢竟它也和 Windows Server 2008 產品的其他元件一起通過同樣嚴苛的安全設計和測試。但是,正由於它面對的是直接來自網際網路、未經篩檢的資料流,風險也相對提高。第二個重大缺點是,由於閘道和後端防火牆之間的資料流日益增加,為了驗證使用者,TS 閘道需要藉由 Active Directory® 進行通訊。因此後端防火牆就必須網開一面,接受 HTTPS 以外的連接埠和通訊協定。通訊量增加,相對也代表風險的增加。

防治 TS 閘道暴露於網際網路的因應之策,就是在輸入 HTTPS 工作階段到達閘道之前,先由應用程式層 (第 7 層) 防火牆加以處理 (見 [圖 2])。這個設計仍由傳統的第 3層/第 4 層防火牆形成周邊網路,只是將周邊網路中的 TS 閘道換成第 7 層防火牆。當資料流到達外部式防火牆時,該防火牆會刷掉 HTTPS 框架以外的資料流,再將框架轉送到第 7 層防火牆。接著第 7 層防火牆會終止 SSL 工作階段、檢查未經加密的資料流內容、封鎖惡意資料流,然後再將 RDP 框架經由後端防火牆傳到 TS 閘道。請注意,必要時,第 7 層防火牆也可以將框架重新加密之後,再傳到 TS 閘道。這個方法在公司私人網路上也許派不上用場,但是在代管的資料中心或共用網路上就很有用。

[圖 2] 將應用程式層防火牆搭配使用 TS 閘道裝置

[圖 2]** 將應用程式層防火牆搭配使用 TS 閘道裝置 **(按影像可放大)

這個設計沒有前一個解決方案的兩大缺點。TS 閘道伺服器只接受經過第 7 層防火牆檢查的資料流,因此沒有直接來自網際網路的攻擊風險。第 7 層防火牆應該會刷掉這些攻擊,只保留經過檢查的乾淨資料流,將它們傳回閘道。

另外,這個設計的閘道位置是根據內部網路來安排,這是第二個重要優點。由於來自網際網路的資料流在到達閘道之前,會先經過第 7 層防火牆檢查,因此它可以留在內部網路,並且對於接受驗證的網域控制站以及使用者工作階段所用的 RDP 主機,具有直接存取權。此外,後端防火牆的原則限制更加嚴苛,它只讓經過第 7 層防火牆檢查的 RDP 工作階段到達 TS 閘道,連 RDP 和目錄驗證資料流都過不了關。把第 7 層防火牆作為 TS 閘道部署的前端,可以提供更安全的解決方案,而且管理容易,不必將現有的周邊網路重新設計。

NAP 整合

終端機服務資源

雖說好的周邊設計是隨處存取解決方案的重要元素,但是確保端點裝置的合格性與安全性也一樣重要。RDP 是一個完整的通訊協定,它可以接受多種像 RDP 工作階段和印表機等裝置重新導向,因此,連接您解決方案的用戶端,必須符合貴公司的安全性原則才行。舉個例說,即使公司具備以前述最佳作法為基礎的安全網路拓樸,但是從不安全的機器連接到終端機伺服器的一般使用者,仍有可能遺失機密資料,或者將惡意檔案置於終端機伺服器上。即使 RDP 的連線數量和毀損可能性,遠低於透過第 3 層 VPN 連線的方法,但仍然必須管理遺失資料的風險,而且必須遵守您的 IT 原則。

網路存取保護 (NAP) 是 Windows Server 2008 所提供的一項新技術,這項技術不只能夠讓您控制誰可以連接您的網路,同時還能夠控制他們可以從哪些系統連線。舉個例說,您可以使用 NAP,只容許具有運作防火牆以及最新防毒軟體的機器連接網路。NAP 是一種可以擴充的解決方案,它不只涵蓋公司的內部網路,同時也涵蓋遠端使用者,包括透過第 3 層 VPN 和 TS 閘道連線的使用者皆是。您可以整合 NAP 與 TS 閘道設計,確保只有符合您安全性原則的系統才能與它連線。如需有關 NAP 的詳細資訊,請參閱我在 2007 年 5 月號《TechNet Magazine》的《安全性監控》專欄,網址為 technetmagazine.com/issues/2007/05/SecurityWatch

將 NAP 整合到 TS 閘道部署的程序非常簡單,只要在設計當中多加一個服務即可。這個服務是網路原則伺服器 (NPS),它可以安裝在 TS 閘道伺服器本身,也可以安裝在另一個作業系統執行個體。接著您再使用 TS 閘道 MMC 建立連線授權原則 (CAP),定義目前的健康狀態能夠接受哪些 RDP 功能。只要有新連線想要建立,TS 閘道伺服器就會詢問 NPS,並且將該連線的健康狀態聲明 (SoH) 轉送給 NPS。網路原則伺服器會比對 SoH 及其原則,然後通知 TS 閘道,根據用戶端的健康狀況來看,是否可以接受這個連線。

根據 [圖 3] 所示,如果公司沒有設定讓不合格的系統使用 Windows Update,但是安全性原則又要求啟用自動更新,那麼當使用者想要連接 TS 閘道時,他的機器便會產生和轉送一份 SoH。這份 SoH 的內容大概是「我有開啟防火牆,也有隨時更新防毒軟體,但是沒有啟用自動更新」。TS 閘道會直接將這份 SoH 轉送給 NPS (TS 閘道無法自行將 SoH 解碼),由 NPS 比對 SoH 和管理員所定義的原則。由於自動更新是在停用狀態,因此 NPS 會判斷該連線符合「不合格」原則,然後通知 TS 閘道不接受連線。TS 閘道會中斷連線,通知使用者該機器不符合公司的安全性原則。使用者可以再採取任何必要的更正措施 (在這個案例中,只要啟用自動更新即可),然後重新建立連線。這時候它會產生一份新的 SoH,NPS 會判斷它合格,接著 TS 閘道就讓它過關。

[圖 3] 只有合格的系統才能連線

[圖 3]** 只有合格的系統才能連線 **(按影像可放大)

結論

Windows Server 2008 含有對於安全隨處存取解決方案來說相當重要的建置組塊。TS 閘道提供一個安全的方法,讓您透過網際網路為遠端桌面工作階段建立通道,並且給予公司相當大的彈性,讓它們選擇要如何整合到現有網路。這些選擇包括將 TS 閘道直接置於周邊網路上,或者在它前面安置一個像 ISA Server 或 Intelligent Application Gateway 等的第 7 層防火牆。NAP 可以結合 TS 閘道,將端點健康檢查功能加入解決方案中。端點檢查可以幫助公司確保遠端連線是來自有效的使用者,同時也是來自符合 IT 安全性原則的機器。兩者結合之後,這些技術便能提供更安全、更有效率,並且讓一般使用者享有更佳體驗的遠端存取功能。您可以探索「終端機服務資源」資訊看板所列的網站,尋找更多相關資訊。

John Morello 自 2000 年便任職於 Microsoft。身為資深的顧問,他曾為美國財星前百大 (Fortune 100) 企業及民間和國防部門設計安全解決方案。他目前擔任 Windows Server 小組的資深專案經理,負責開發隨處存取技術。您可以在 blogs.technet.com/WinCAT 閱讀他的小組部落格。

© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.