Upload
vivian
View
38
Download
0
Tags:
Embed Size (px)
DESCRIPTION
6ártalanul Forefront UAG + DirectAccess. Gál Tamás [email protected] IT üzemeltetési szakértő Microsoft Magyarország. Mi is a DirectAccess ?. Folyamatos , biztonságos, IPSec és IPv6 alapú kapcsolat Előnyök – üzemeltetői oldal - PowerPoint PPT Presentation
Citation preview
6ártalanulForefront UAG + DirectAccess
Gál Tamá[email protected] üzemeltetési szakértőMicrosoft Magyarország
Mi is a DirectAccess?Folyamatos, biztonságos, IPSec és IPv6 alapú kapcsolatElőnyök – üzemeltetői oldal
Rugalmas, (akár) teljes hozzáférés a kliensek felé is - mindigGranuláris szabályzás alkalmazás/szerver szinten
Előnyök - felhasználói oldal: A „megszokott” hozzáférés – bárhonnan, interaktivitás nélkül, maximális UXSzimultán kapcsolat (Internet / céges hálózat)
Kliensoldal: zéró teendő / szerveroldal: számos
Mi is a DirectAccess?A világ változik:
„A hálózatunk nem ott van, ahol az épületünk, hanem ahol a felhasználók és az eszközök.”
vs.Iroda Otthon / mobilIroda Otthon / mobil
DirectAccess - technikai pillérek
Kapcsolat: IPv6
Biztonság/adatvédelem : IPsec
Névfeloldás:DNS és NRPT
IPv6 eszközök IPv4 eszközök
DirectAccessServer
Windows 7kliens
Natív IPv6 + IPSec
IPv6 / IPv4 átalakítás
DA: transzparens, biztonságos kapcsolat
VPN nélkül
IPSec titkosítás és hitelesítés
Közvetlen kapcsolat a belső IPv6
erőforrásokkal
IPv4 támogatás (pl. 6to4, NAT-PT, NAT64)IT desktop
felügyelet
Group Policy, NAP, WSUS
Internet
Lehetővé teszi a DirectAccess kliensek
felügyeletét
DirectAccess – egy teljes rendszer
• Felügyelt és nem felügyelt gépekről, munkatársaktól a partnerekig
• Böngészőktől a mobil eszközökig• Beépített SSL VPN és teljes körű DirectAcces használat, extrákkal
Elérés bárhonnan
• Nagyon részletes elérési szabályok és nagyon alapos végponti vizsgálat
• Active Directory integráció• Information Leakage Prevention
Szigorú biztonsági elvek
• Webes portál a felhasználóknak• Az egyéb kapcsolódás (SSL VPN, RD, DA) egyszerű és
automatikus• 1 db MMC + 1 böngésző az üzemeltetőknek
Egyszerű használat és felügyelet
Mi is az a Forefront UAG?
Az erőforrások elérése az UAG-gal
DirectAccess
HTTPS (443)
Layer3 VPN
Belső hálózat / Perimeter / Adatközpont
Partnerek, beszállítók, stb.
AD, ADFS, RADIUS, LDAP….
Otthon, máshol, publikus helyen
Felügyelt gépek (alkalmazottak)
Mobil
ExchangeCRMSharePointIIS basedIBM, SAP, Oracle
Terminal / Remote Desktop Services / VDI
Non-web, fájlszerver
HTTPS / HTTP
NPS, FIM
Internet
SydneySharepoint 2010
IbizaUAG 2010
DirectAccessDenverDC+CA
KioskNem felügyelt
kliens (W7)
Demókörnyezet
RomeFelügyelt
kliens (W7)
Forefront UAG
demó
UAG és DirectAccess – együtt finomabbAmit a Forefront UAG ad a „Windows” DirectAccess-hez, az nem kevés:
Egyszerűbb tervezés és telepítésEgy helyen a két termék
Magasabb rendelkezésre állás:Tömbök és terheléselosztás – több DirectAccess kiszolgálóvalFailover – a DirectAccess kiszolgálók között
NAT64 támogatás - DA kliensek és a natív IPv4 erőforrások közöttVégponti „egészségi szint” ellenőrzés – NAP is
UAG DirectAccess komponensek (7 in 1)1.IPv6/IPv4 kapcsolódás2.Hálózati infrastruktúra3.IPSec csatornák4.DNS5.Network Location Server6.Public Key Infrastructure7.Active Directory
IPv6 kapcsolódás – részletekKülső IPv6 kapcsolódás
6to4 relay – publikus IPv4 címekrőlTeredo – NAT eszközök mögülIP-HTTPS – tűzfalak és proxy-k mögül
Belső IPv6 kapcsolódásISATAP router – IPv6 kapcsolódás IPv4 „felett” az intraneten
Az ISATAP router egy szeparált kiszolgálón is lehetNAT64/DNS64 – IPv6 kapcsolódás az intranetes natív IPv4 erőforrásokhoz
A legjobb módszer, a külső IPv6-os kliens generálja a csatlakozást
Hálózati infrastruktúra
IPv4 InternetA B
UAG DA Server
Intranet
Firewall
C
UDP destination port 3544 inbound and UDP source port 3544 outbound
Teredo
IP Protocol 41 Inbound and Outbound6to4
TCP destination port 443 inbound and TCP source port 443 outbound
IP-HTTPS
No NATRoute Only
Two consecutive public IPv4 addresses on external
interface
D
Firewall
IP Protocol 41 Inbound and OutboundISATAP
All IPv4 and IPv6 traffic to and from the Forefront UAG DirectAccess server
Native IPv6Or
NAT64
Egy mellékszálTényleg egy TMG van az UAG alatt?
Igen, de ez nem egy szokásos TMGElvileg csak az UAG „használja”Pl. a publikálás szabályokat automatikusan konfigurálja
Mire használható ezen kívül?TűzfalkéntReverse proxykéntPublikálásra, de csak: Exchange SMTP/SMTPS, POP3/POP3S, IMAP/IMAPS, Office Communications Server (OCS)Engedélyező tűzfalszabályok, de csak VPN-hezMonitoring
http://technet.microsoft.com/en-us/library/ee522953.aspx
IPSec csatornákA kapcsolódás = IPv6; biztonság = IPSecIPv4 esetén IPv6 tranzíciós technológiák
6to4, Teredo, IP-HTTPSHitelesítés > Infrastructure tunnel: tanúsítvány és NTLMv2, user hitelesítés nem szükségesHitelesítés > Intranet tunnel: tanúsítvány (gép), Kerberos ticket (user + gép)
IPv6 Transition TechnologiesInfrastructure Tunnel
Intranet Tunnel
Internet
Kliens gép
DC-k, DNS, HRA, SC szerverek
A többi gép a belső hálón
UAG
IPv4 via NAT64IPv6 NativeISATAP
IPv4 via NAT64IPv6 NativeISATAP
DNSName Resolution Policy Table (NRPT)Belső DNS kiszolgáló követelmények
AAAA rekordok támogatása Dinamikus frissítés támogásISATAP
UAG DA belső IP vagy egy külön ISATAP routerGlobal Query Block List!
Publikus DNS kiszolgáló követelményekIP-HTTPS Server név (Common Name)CDP (az IP-HTTPS tanúsítványhoz)
Internet és Intranet forgalomA split-tunneling már alap-értelmezésben is elérhető
A statikus, mini DNS szerverünkkel (NRPT)De tiltható is(Force Tunneling)
Network Location Server Hol is vagyunk?Egy állandóan elérhető HTTPS website legyenHTTP GET kérés > 200 OK > ha belül vannak a kliensKívülről nem elérhető
Public Key InfrastructureSzámítógép tanúsítvány (IPSec Auth)Server Authentication tanúsítvány (IP-HTTPS)Online CRL publikálás (IP-HTTPS)Felhasználói tanúsítvány (Smart Card Auth)
Active DirectoryA DA szervert és a klienseket GPO-kon keresztül konfigoljukGPO-k automatikusan készülnek el az UAG DA varázslóval
DirectAccess Connectivity AssistantAz OS alapértelmezés szerint semmit nem árul el a DA kapcsolódásrólDe a letölthető DA CA igen http://technet.microsoft.com/en-us/library/ff384241.aspx Amit látunk benne
A kapcsolat állapotaEgy troubleshooting linkAutomatikus „hibacsomag” készítés
.msi = könnyű tömegesen telepíteni
Csoportházirend konfigurálás
DA CA GP beállításMinimum két opciót be kell állítani
DTE EndpointsPING:2002::/128A DA szerver 2 tunnel végpontjának 6to4 címei
Corporate resourceEgy belső erőforrás definiálásaEgy belső webszerver vagy PINGVagy FILE:\\FS1\SHARE\FILE.TXT
Csoportházirend sablonok a csomagban (.admx, .adml)
UAG DA + DA CA
demó
UAG SP1 – fontos DA újdonságok...Sajnos, nem mondhatok el többet