Научная статья на тему 'Обеспечение безопасного подклюсения к ресурсам корпоративной сети в direct aссess с помощью технологии IPsec'

Обеспечение безопасного подклюсения к ресурсам корпоративной сети в direct aссess с помощью технологии IPsec Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
61
12
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
DIRECTACCESS / VIRTUAL PRIVATE NETWORK (VPN) / IPSEC PROTOCOL / AUTHENTICATION / ENTERPRISE NETWORK / END-TO-END PROTECTION / END-TO-EDGE PROTECTION

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Бондаренко Е. С., Мешкова Е. В., Митрошина Е. В.

В статье рассматривается предназначение компонента DirectAccess реализованного в операционных системах Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2, а также технология IPSeс осуществляющая аутентификацию пользователя.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Обеспечение безопасного подклюсения к ресурсам корпоративной сети в direct aссess с помощью технологии IPsec»

УДК 004.77 Технические науки

Бондаренко Е.С., Мешкова Е.В., Митрошина Е.В, студентки 5 курса электротехнического факультета, Пермский национальный исследовательский политехнический университет

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОГО ПОДКЛЮСЕНИЯ К РЕСУРСАМ КОРПОРАТИВНОЙ СЕТИ В DIRECT A^ESS С ПОМОЩЬЮ

ТЕХНОЛОГИИ IPSEC

Аннотация. В статье рассматривается предназначение компонента DirectAccess реализованного в операционных системах Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2, а также технология IPSeс осуществляющая аутентификацию пользователя.

Ключевые слова: DirectAccess, виртуальная частная есть (VPN), протокол IPSe^ проверка подлинности, корпоративная сеть, сквозная защита End-to-End, полная защита End-to-Edge.

Abstract. This article describes the designation of DirectAccess component, which is realized in the operation system (OS) Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2. Also it describes the IPSec technology, realizing the user's authentication.

Keywords: DirectAccess, Virtual Private Network (VPN), IPSec protocol, authentication, enterprise network, End-to-End protection, End-to-Edge protection.

Несмотря на возрастающую популярность к ОС Windows 10, большинство предприятий продолжают использовать на своих корпоративных компьютерах ОС Windows 7. Это обусловлено тем, что данная ОС вполне отвечает требованиям по безопасности информации. ОС Windows 7 содержит такие механизмы обеспечения безопасности, как: BitLocker, AppLocker, Active Directory, антивирусное средство Microsoft Security Essentials и др. Однако,одним из наиболее интересных механизмов является DirectAccess.

DirectAccess является важным компонентом в операционных системах Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2, который предоставляет возможности удаленной работы пользователей, аналогичные работе в офисе. Благодаря данному компоненту, удаленный пользователь имеет возможность без подключения к виртуальной частной сети (VPN) получить доступ к общим ресурсам корпоративной сети.

В отличие от большинства традиционных соединений к виртуальной частной сети, которые должны запускаться и прерываться с помощью действий пользователя, компонент DirectAccess устанавливает двухстороннее подключение к корпоративной сети автоматически при каждом подключении компьютера к Интернету, на котором работает данный пользователь, без необходимости ввода логина и пароля, а также без запуска сторонних приложений. Однако, проверка подлинности компьютера и пользователя при таком подключении осуществляется с помощью протокола IPSe^

DirectAccess обладает рядом преимуществ по сравнению с другими технологиями, а именно:

1. Простота подключения. Компонент DirectAccess доступен всегда при наличии подключения к Интернету, благодаря к чему пользователи могут получать доступ к интрасети из любого места, находясь в командировке, в кафе или дома.

2. Удаленное управление. Администраторы могут подключаться напрямую к клиентским компьютерам DirectAccess для наблюдения за их состоянием,

3. Повышенная безопасность. Компонент DirectAccess использует протокол IPsec для проверки подлинности и шифрования [1].

Для осуществления передачи трафика IPv6, клиенту необходимо установить туннель IPSeс на сервер DirectAccess. Данный туннель будет выступать посредством шлюза с корпоративной сетью. Существует два туннеля IPSe^

1. Туннель IPsec ESP с использованием сертификата компьютера.

Данный туннель позволяет обеспечить доступ к DNS-серверу и контроллеру домена в интрасети, что позволяет загружать на компьютер объекты групповой политики и запрашивать проверку подлинности от имени пользователя [2].

2. Туннель IPsec ESP с использованием сертификата компьютера и учетных данных пользователя. Данный туннель позволяет обеспечить аутентификацию пользователя, а также предоставить доступ к общим ресурсам корпоративной сети и серверам приложений.

Безопасность подключения клиентов DirectAccess к ресурсам корпоративной сети осуществляется с помощью двух типов защиты IPsec: end-to-end и end-to-edge.

End-to-End - сквозная защита.

Сквозная защита end-to-end повышает безопасность и снижает административные расходы, если в корпоративной сети используется IPsec-шифрование. Данная защита также может предусматривать дополнительные расходы, которые заключаются в приобретения различного аппаратного обеспечения IPsec. Следовательно, прежде чем разворачивать IPsec для любого частного случая, нужно внимательно изучит потенциальные угрозы, от которых может избавить политика IPsec.

Защита end-to-end устанавливает безопасность и доверие от источника IP-адреса на адрес назначения IP-адреса. Эту возможность IPSec можно использовать при обеспечении серверных сценариев, где разрешается доступ к серверу только для доверенных компьютеров. Также IPSec можно использовать в сценариях, защищающих сервер, для контроля доступа ко всем службам и приложениям, запущенных на сервере. Далее либо шифровать данные, либо разрешать аутентификацию всего трафика для приложений, используемых по сети.

При использовании такого типа защиты клиенты DirectAccess устанавливают сеанс IPsec через сервер DirectAccess с каждым доступным сервером приложений. При этом обеспечивается максимальный уровень

безопасности, поскольку в этом случае можно настроить управление доступом к серверу DirectAccess [3].

End-to-Edge - полная защита.

Данная модель позволяет клиентам DirectAccess подключаться ко всем ресурсам частной сети Интранет. Это можно организовать при помощи основных политик IPsec, требующих аутентификации и шифрования, при этом превращая IPsec-сессию в IPsec-шлюз. При использовании такого типа защиты клиенты DirectAccess устанавливают сеанс IPsec с сервером шлюза IPsec, в качестве которого по умолчанию используется компьютер, являющийся сервером DirectAccess. Сервер шлюза IPsec пересылает незащищенный трафик на серверы приложений в интрасети. Такая архитектура не требует поддержки протокола IPsec в интрасети и работает с любыми серверами приложений, поддерживающими протокол IPv6 [3].

Эту модель полного доступа к внутренней сети также можно разделить на две частные модели, такие как: Full Intranet Access и Selected Server Access.

1) Full Intranet Access (End-to-Edge). В данной модели зашифрованный трафик передается от клиента к серверу по IPsec. А сервер DirectAccess расшифровывает трафик и уже в открытом виде передает пакеты во внутреннюю сеть.

2) Selected Server Access (Modified End-to-Edge). В этой модели трафик также шифруется только до сервера DirectAccess, а во внутренней сети уже используется только аутентификация. Используя такой подход, можно обеспечить доступ только определенных клиентов к определенным серверам и приложениям в корпоративной сети.

Подводя итог, можно добавить, что большинство современных предприятий реализуют механизм по удаленной работе своих сотрудников, например, из дома, с данными, находящимися на серверах предприятия. В этой статье было доказано, что технология DirectAccess является надежной и эффективной, а это значит, что если оно используется на предприятии, значит можно с уверенностью утверждать, что удаленное подключение защищено.

Библиографический список

1. Microsoft TechNet [Электронный ресурс] //Технический обзор DirectAccess. URL: https://technet.microsoft.com/ru-ru/library/dd637814(v=ws.10).aspx (дата обращения 29.10.2016).

2. Microsoft TechNet [Электронный ресурс] // Подключения DirectAccess. URL: https://technet.microsoft.com/ru-ru/library/dd637767(v=ws.10).aspx (дата обращения 28.10.2016).

3. Microsoft TechNet [Электронный ресурс] // Введение в DirectAccess (Часть 1). URL: https://technet.microsoft.com/ru-ru/library/ee942785.aspx (дата обращения 28.10.2016).

i Надоели баннеры? Вы всегда можете отключить рекламу.