CC BY
11УДК 004.77 Технические науки
Бондаренко Е.С., Мешкова Е.В., Митрошина Е.В, студентки 5 курса электротехнического факультета, Пермский национальный исследовательский политехнический университет
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОГО ПОДКЛЮСЕНИЯ К РЕСУРСАМ КОРПОРАТИВНОЙ СЕТИ В DIRECT A^ESS С ПОМОЩЬЮ
ТЕХНОЛОГИИ IPSEC
Аннотация. В статье рассматривается предназначение компонента DirectAccess реализованного в операционных системах Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2, а также технология IPSeс осуществляющая аутентификацию пользователя.
Ключевые слова: DirectAccess, виртуальная частная есть (VPN), протокол IPSe^ проверка подлинности, корпоративная сеть, сквозная защита End-to-End, полная защита End-to-Edge.
Abstract. This article describes the designation of DirectAccess component, which is realized in the operation system (OS) Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2. Also it describes the IPSec technology, realizing the user's authentication.
Keywords: DirectAccess, Virtual Private Network (VPN), IPSec protocol, authentication, enterprise network, End-to-End protection, End-to-Edge protection.
Несмотря на возрастающую популярность к ОС Windows 10, большинство предприятий продолжают использовать на своих корпоративных компьютерах ОС Windows 7. Это обусловлено тем, что данная ОС вполне отвечает требованиям по безопасности информации. ОС Windows 7 содержит такие механизмы обеспечения безопасности, как: BitLocker, AppLocker, Active Directory, антивирусное средство Microsoft Security Essentials и др. Однако,одним из наиболее интересных механизмов является DirectAccess.
DirectAccess является важным компонентом в операционных системах Windows 7 Ultimate, Windows 7 Enterprise, Windows Server 2008 R2, который предоставляет возможности удаленной работы пользователей, аналогичные работе в офисе. Благодаря данному компоненту, удаленный пользователь имеет возможность без подключения к виртуальной частной сети (VPN) получить доступ к общим ресурсам корпоративной сети.
В отличие от большинства традиционных соединений к виртуальной частной сети, которые должны запускаться и прерываться с помощью действий пользователя, компонент DirectAccess устанавливает двухстороннее подключение к корпоративной сети автоматически при каждом подключении компьютера к Интернету, на котором работает данный пользователь, без необходимости ввода логина и пароля, а также без запуска сторонних приложений. Однако, проверка подлинности компьютера и пользователя при таком подключении осуществляется с помощью протокола IPSe^
DirectAccess обладает рядом преимуществ по сравнению с другими технологиями, а именно:
1. Простота подключения. Компонент DirectAccess доступен всегда при наличии подключения к Интернету, благодаря к чему пользователи могут получать доступ к интрасети из любого места, находясь в командировке, в кафе или дома.
2. Удаленное управление. Администраторы могут подключаться напрямую к клиентским компьютерам DirectAccess для наблюдения за их состоянием,
3. Повышенная безопасность. Компонент DirectAccess использует протокол IPsec для проверки подлинности и шифрования [1].
Для осуществления передачи трафика IPv6, клиенту необходимо установить туннель IPSeс на сервер DirectAccess. Данный туннель будет выступать посредством шлюза с корпоративной сетью. Существует два туннеля IPSe^
1. Туннель IPsec ESP с использованием сертификата компьютера.
Данный туннель позволяет обеспечить доступ к DNS-серверу и контроллеру домена в интрасети, что позволяет загружать на компьютер объекты групповой политики и запрашивать проверку подлинности от имени пользователя [2].
2. Туннель IPsec ESP с использованием сертификата компьютера и учетных данных пользователя. Данный туннель позволяет обеспечить аутентификацию пользователя, а также предоставить доступ к общим ресурсам корпоративной сети и серверам приложений.
Безопасность подключения клиентов DirectAccess к ресурсам корпоративной сети осуществляется с помощью двух типов защиты IPsec: end-to-end и end-to-edge.
End-to-End - сквозная защита.
Сквозная защита end-to-end повышает безопасность и снижает административные расходы, если в корпоративной сети используется IPsec-шифрование. Данная защита также может предусматривать дополнительные расходы, которые заключаются в приобретения различного аппаратного обеспечения IPsec. Следовательно, прежде чем разворачивать IPsec для любого частного случая, нужно внимательно изучит потенциальные угрозы, от которых может избавить политика IPsec.
Защита end-to-end устанавливает безопасность и доверие от источника IP-адреса на адрес назначения IP-адреса. Эту возможность IPSec можно использовать при обеспечении серверных сценариев, где разрешается доступ к серверу только для доверенных компьютеров. Также IPSec можно использовать в сценариях, защищающих сервер, для контроля доступа ко всем службам и приложениям, запущенных на сервере. Далее либо шифровать данные, либо разрешать аутентификацию всего трафика для приложений, используемых по сети.
При использовании такого типа защиты клиенты DirectAccess устанавливают сеанс IPsec через сервер DirectAccess с каждым доступным сервером приложений. При этом обеспечивается максимальный уровень
безопасности, поскольку в этом случае можно настроить управление доступом к серверу DirectAccess [3].
End-to-Edge - полная защита.
Данная модель позволяет клиентам DirectAccess подключаться ко всем ресурсам частной сети Интранет. Это можно организовать при помощи основных политик IPsec, требующих аутентификации и шифрования, при этом превращая IPsec-сессию в IPsec-шлюз. При использовании такого типа защиты клиенты DirectAccess устанавливают сеанс IPsec с сервером шлюза IPsec, в качестве которого по умолчанию используется компьютер, являющийся сервером DirectAccess. Сервер шлюза IPsec пересылает незащищенный трафик на серверы приложений в интрасети. Такая архитектура не требует поддержки протокола IPsec в интрасети и работает с любыми серверами приложений, поддерживающими протокол IPv6 [3].
Эту модель полного доступа к внутренней сети также можно разделить на две частные модели, такие как: Full Intranet Access и Selected Server Access.
1) Full Intranet Access (End-to-Edge). В данной модели зашифрованный трафик передается от клиента к серверу по IPsec. А сервер DirectAccess расшифровывает трафик и уже в открытом виде передает пакеты во внутреннюю сеть.
2) Selected Server Access (Modified End-to-Edge). В этой модели трафик также шифруется только до сервера DirectAccess, а во внутренней сети уже используется только аутентификация. Используя такой подход, можно обеспечить доступ только определенных клиентов к определенным серверам и приложениям в корпоративной сети.
Подводя итог, можно добавить, что большинство современных предприятий реализуют механизм по удаленной работе своих сотрудников, например, из дома, с данными, находящимися на серверах предприятия. В этой статье было доказано, что технология DirectAccess является надежной и эффективной, а это значит, что если оно используется на предприятии, значит можно с уверенностью утверждать, что удаленное подключение защищено.
Библиографический список
1. Microsoft TechNet [Электронный ресурс] //Технический обзор DirectAccess. URL: https://technet.microsoft.com/ru-ru/library/dd637814(v=ws.10).aspx (дата обращения 29.10.2016).
2. Microsoft TechNet [Электронный ресурс] // Подключения DirectAccess. URL: https://technet.microsoft.com/ru-ru/library/dd637767(v=ws.10).aspx (дата обращения 28.10.2016).
3. Microsoft TechNet [Электронный ресурс] // Введение в DirectAccess (Часть 1). URL: https://technet.microsoft.com/ru-ru/library/ee942785.aspx (дата обращения 28.10.2016).
