Мало кто ставит под сомнение тот факт, что одним из основных приоритетов в развитии технологий современных компаний является обеспечение максимальной доступности и мобильности сотрудников. Во многих организациях люди работают из удаленных офисов, из дома или часто ездят в командировки к заказчикам. Обеспечение удобного доступа к приложениям и данным вне зависимости от их местонахождения делает работу таких сотрудников более продуктивной. До недавнего времени безопасный удаленный доступ часто предполагал установку клиентского программного обеспечения, ввод секретных команд и длительную установку соединения.
Но за последние несколько лет появилось несколько новых подходов, позволяющих упростить удаленный доступ. Например, веб-клиент Outlook® Web Access (OWA) предоставляет пользователям удобный доступ к электронной почте, календарю и списку контактов из обозревателя без сложностей, связанных с полноценной виртуальной частной сетью (VPN) уровня 3. Хотя такие технологии, как OWA, позволяют сформировать значительную часть решения для «доступа из любого места», ключевые приложения многих организаций не поддерживают работу с помощью обозревателя. В таких случаях эффективным способом предоставления пользователям удаленного доступа к приложениям становятся решения, подобные службам терминалов.
В Microsoft Windows Server® 2008 стандартный набор функций служб терминалов был заметно расширен. Теперь в службы терминалов включена поддержка удаленных окон, функция RemoteApp, обеспечивающая доступ к отдельным приложениям, универсальный драйвер принтера EasyPrint и веб-портал TS Web Access. Кроме того (и это особенно важно для доступа из любого места), в Windows Server 2008 входит шлюз служб терминалов, выполняющий SSL-инкапсуляцию для протокола удаленного рабочего стола (RDP) и позволяющий легко и безопасно проходить через брандмауэры и устройства трансляции сетевых адресов (NAT). Шлюз служб терминалов интегрируется с еще одной новой технологией Windows Server 2008 — защитой доступа к сети (NAP) — и позволяет выполнять проверку работоспособности конечного клиента. Используя все эти компоненты, организации смогут создавать решения, предоставляющие пользователям простой и безопасный доступ к приложениям и данным из любого места.
Данная статья посвящена различным аспектам проектирования сети и системы безопасности в решениях доступа из любого места, и в ней нет подробного описания управления компонентами служб терминалов. Методы и рекомендации по созданию таких решений будут объясняться на примере технологий Windows Server 2008.
Что нас не устраивает в виртуальных частных сетях уровня 3?
При изучении каких-либо новых технологий очень важно понимать их преимущества в сравнении с текущими подходами, чтобы можно было точно оценить ценность новых моделей. Для классических сетей VPN уровня 3 наиболее характерны две проблемы: недостаточный уровень безопасности и сложность в применении.
Упоминание о безопасности как о проблеме в случае со многими современными VPN уровня 3 может на первый взгляд показаться удивительным. Разве основная идея технологии VPN не заключается в прокладывании безопасного туннеля через Интернет? Чтобы это понять, давайте выясним, что обычно понимают под угрозами VPN. Я не утверждаю, что при передаче данных в сетях VPN возникает опасность перехвата или вмешательства; большинство современных VPN уровня 3 используют отличные методы шифрования потока данных. Но давайте попробуем представить, какую угрозу создают удаленные компьютеры, получающие полный доступ ко всем портам и протоколам сети вашей организации. Проблема не в потоке данных, который VPN уровня 3 шифрует и передает по сети, а в удаленных клиентах, которые подключаются по этим туннелям и увеличивают риски вашей внутренней сети. Вспомните, что большинство организаций, пострадавших от таких вредоносных программ, как Slammer или Blaster, получили их не от компьютеров внутренней сети или хакеров, проникших через брандмауэр. Вирус пришел от удаленных сотрудников, которые подключались к сетям организаций через VPN с помощью зараженных компьютеров. Если такие VPN создают подключения уровня 3 с полноценной маршрутизацией, то удаленные компьютеры получают практически полный доступ к ресурсам компании наравне с внутренними компьютерами организации. И доступ этот может быть равно полезен и опасен.
Более того, использование VPN уровня 3 часто дорого обходится, поскольку предполагает установку и настройку программного обеспечения на компьютерах, которыми не занимается ИТ-группа данной организации. Например, при установке клиента VPN на домашнем компьютере иногда приходится создавать пользовательские пакеты установки, давать пользователю подробные инструкции по установке и устранять конфликты с установленными приложениями. А при возникновении потребности в развертывании новых версий клиента или изменении данных конфигурации (например, при добавлении новой конечной точки VPN) расходы на управление могут еще более увеличиться. Для пользователя работа через VPN тоже редко оказывается удобной и интуитивно понятной. Поскольку предоставляется только подключение уровня 3, бизнес-приложения и данные невозможно сделать легкодоступными и видимыми.
Решение проблем с помощью служб терминалов
Службы терминалов и прочие так называемые технологии VPN уровня 7 (или уровня приложений) устраняют эти две проблемы и позволяют осуществлять более тонкую настройку доступа пользователей к ресурсам и протоколам, а также значительно упрощают работу пользователя и делают ее интуитивно более понятной.
С точки зрения безопасности наиболее заметная разница между VPN уровня 3 и VPN с использованием служб терминалов и шлюза служб терминалов состоит в том, что подключение к внутренней сети не полностью открыто. В частности, если на уровне 3 создается виртуальный интерфейс локального компьютера с полноценной маршрутизацией во внутреннюю сеть, то шлюз служб терминалов пропускает во внутреннюю сеть только пакеты на базе RDP. Таким образом существенно сокращается уязвимая для атак область и появляется возможность более избирательного контроля RDP. Например, протокол RDP поддерживает переадресацию дисков, но организации могут интегрировать шлюз служб терминалов и NAP и заблокировать эту функцию, в случае если антивирусное программное обеспечение удаленного компьютера устарело.
Что касается конечных пользователей, то для них наиболее очевидными преимуществами служб терминалов станут заметно упростившаяся процедура настройки (зачастую настройка вообще не требуется) и облегченный, более интуитивный доступ к приложениям и данным. Поскольку клиент подключения к удаленному рабочему столу встроен в Windows (и обновляется автоматически с помощью обычных служебных технологий, например через центр обновления Windows®), в большинстве случаев клиентское программное обеспечение устанавливать не приходится. Кроме того, благодаря веб-доступу к службам терминалов, пользователи могут ввести один адрес URL и найти там все свои приложения и данные. Достаточно щелкнуть значок соответствующего приложения, и шлюз служб терминалов установит безопасное туннельное соединение через Интернет, а на компьютере пользователя откроется окно с этим приложением. Иными словами, приложение будет выглядеть и работать так, как будто оно установлено локально, вплоть до возможности копировать и вставлять данные или сворачивать окно в панель задач. Благодаря возможностям быстрого доступа к данным и приложениям и простой настройке, удаленный доступ на базе служб терминалов значительно снижает расходы на техническую поддержку, а работа пользователей становится более удобной.
Варианты архитектуры сети
Существует два основных варианта дизайна сети, позволяющих обеспечить доступ к серверу шлюза службы терминалов через Интернет. В первом случае шлюз службы терминала размещается в демилитаризованной зоне между двумя брандмауэрами уровня 3/4. Во втором случае шлюз остается во внутренней сети, а во внешней сети размещается проверяющий входящие фреймы HTTPS брандмауэр (например, Microsoft® ISA Server, Microsoft Intelligent Application Gateway или решение стороннего производителя). Пакеты передаются на внутренний сервер шлюза служб терминалов только после анализа на входе.
Если в организации есть только брандмауэры уровня 3/4 и функция базовой проверки пакетов с отслеживанием состояния, шлюз службы терминалов можно разместить непосредственно в демилитаризованной зоне, как показано на рисунке 1. В таком случае брандмауэр с выходом в Интернет ограничивает возможности подключения к шлюзу и пропускает только внешний трафик HTTPS. При этом брандмауэр не проверяет трафик на уровне приложений — он только передает его шлюзу. После этого сервер шлюза службы терминалов извлекает из пакетов HTTPS фреймы RDP и передает их соответствующему серверу внутри сети. Такие серверы часто отделяет от демилитаризованной зоны второй брандмауэр, пропускающий фреймы RDP, идущие от шлюза службы терминалов к соответствующим внутренним серверам.
Рис. 1 При наличии брандмауэра уровня 3/4 шлюз служб терминалов размещается в демилитаризованной зоне.
Такой сценарий полностью поддерживается и может быть реализован во многих организациях, но у него есть два основных недостатка. Во-первых, шлюз служб терминалов, получающий трафик непосредственно из Интернета, подвергается довольно большому риску атаки со стороны злоумышленников. Например, они могут попытаться атаковать шлюз с использованием сеанса SSL, а поскольку брандмауэр первого уровня проверяет только заголовки, не анализируя остальные данные, такой трафик достигнет шлюза. Это не означает, что шлюз служб терминалов является уязвимым компонентом; его система безопасности прорабатывалась и тестировалась так же строго, как и остальные элементы Windows Server 2008. Однако относительный уровень риска данной конфигурации достаточно высок просто потому, что в ней происходит обработка нефильтрованного трафика, идущего непосредственно из Интернета. Второй серьезный недостаток такой архитектуры — возможное увеличение трафика между шлюзом и внутренним брандмауэром. При проверке подлинности пользователей шлюзу служб терминалов приходится обмениваться данными со службой каталогов Active Directory®. Для реализации такого взаимодействия необходимо настроить во внутреннем брандмауэре исключения не только для HTTPS, но и для многих других портов и протоколов. Такое увеличение числа исключений также делает такую конфигурацию более уязвимой.
Более удачное решение состоит в том, чтобы использовать брандмауэр уровня 7 (уровня приложения), который будет обрабатывать входящие сеансы HTTPS до того, как они достигнут шлюза ( рисунок 2). В такой конфигурации для формирования демилитаризованной зоны также можно использовать традиционные брандмауэры уровня 3/4. Однако при этом вместо шлюза служб терминалов на периметре будет находиться брандмауэр уровня 7. Внешний брандмауэр отфильтровывает весь входящий трафик за исключением фреймов HTTPS, которые передаются брандмауэру уровня 7. Брандмауэр уровня 7 прерывает сеанс SSL, проверяет нешифрованное содержимое потока, блокирует злонамеренный трафик и переправляет фреймы RDP через внутренний брандмауэр к шлюзу служб терминалов. Обратите внимание, что при желании брандмауэр уровня 7 может заново зашифровать фреймы перед передачей их шлюзу. Возможно, такой подход не пригодится в частных сетях организаций, но он может оказаться очень полезным для центров обработки данных или общих сетей.
Рис. 2 Использование брандмауэра уровня приложений со шлюзом служб терминалов
Такая архитектура устраняет оба недостатка предыдущего решения. Риск атаки из Интернета снижается, шлюз служб терминалов получает трафик от брандмауэра уровня 7. Брандмауэр уровня 7 выполняет фильтрацию пакетов и отправляет шлюзу только чистый, проверенный трафик.
Второе серьезное преимущество этого решения заключается в том, что шлюз расположен во внутренней сети. Поскольку поступающий из Интернета трафик сначала проверяется брандмауэром уровня 7, шлюз можно оставить во внутренней сети и сохранить для него прямой доступ к контроллерам домена (для проверки подлинности) и узлам RDP (для пользовательских сеансов). Кроме того, на внутреннем брандмауэре можно настроить больше запрещающих политик. Вместо того чтобы разрешать RDP-трафик и трафик проверки подлинности через каталог, достаточно разрешить сеансы RDP от брандмауэра уровня 7 к шлюзу служб терминалов. Использование брандмауэра уровня 7 для защиты шлюза служб терминалов является более безопасным решением, которым легче управлять без необходимости изменения архитектуры существующей демилитаризованной зоны.
Интеграция с NAP
Хотя удачная архитектура демилитаризованной зоны является ключевым элементом решения для доступа из любого места, не менее важно обеспечить безопасность и для конечных устройств. Поскольку протокол поддерживает различные типы перенаправления устройств (например, RDP-сеансы или принтеры), крайне важно, чтобы подключающиеся к сети клиенты соответствовали политикам безопасности организации. Например, даже при наличии безопасной топологии сети, созданной с использованием оптимальных методов наподобие тех, которые обсуждались выше, подключение незащищенного компьютера к серверу терминалов может привести к потере конфиденциальных данных и попыткам выложить на сервер терминалов вредные файлы. Несмотря на то, что возможности подключения и потенциальный риск намного меньше, чем при подключении пользователей через VPN уровня 3, очень важно снизить вероятность потери данных и обеспечить выполнение политик компании в области ИТ.
Защита доступа к сети (NAP) — это новая технология в составе Windows Server 2008, позволяющая определить не только то, кто может подключаться к сети, но и с каких типов систем можно подключаться. Например, с помощью NAP можно разрешить подключение к сети только с компьютеров с работающими брандмауэрами и обновленной антивирусной программой. NAP — это расширяемое решение, которое можно распространить не только на внутреннюю сеть организации, но и на удаленных пользователей, которые подключаются через VPN уровня 3 или шлюз служб терминалов. Интеграция NAP в архитектуру шлюза служб терминалов дает возможность разрешить подключение только системам, которые соответствуют принятым в компании политикам безопасности. Дополнительные сведения о NAP см. в моей колонке «На страже безопасности» в выпуске журнала TechNet за май 2007 г., который можно найти по адресу technetmagazine.com/issues/2007/05/SecurityWatch.
Включение NAP в процессе развертывания шлюза служб терминалов представляет собой достаточно простую процедуру, предусматривающую добавление всего одной службы. Эту службу, сервер сетевых политик, можно установить на самом сервере шлюза служб терминалов или в отдельном экземпляре операционной системы. После этого с помощью консоли управления MMC шлюза следует создать политики авторизации подключений, определяющие допустимые функции RDP в заданном состоянии. При попытке установления нового подключения сервер шлюза служб терминалов сверяется с сервером сетевых политик и состояние работоспособности подключения этому серверу. Сервер сетевых политик сравнивает состояние работоспособности со своими политиками и сообщает шлюзу, можно ли разрешить подключение. Решение принимается на основе текущего состояния клиента.
Как видно из рисунка 3, если система не использует центр обновления Windows, а политика организации требует наличия автоматического обновления, то при попытке подключиться к шлюзу она создается и отправляется сообщение о состоянии работоспособности. Оно будет выглядеть примерно так: «Мой брандмауэр и антивирусные программы обновлены, но автоматическое обновление отключено». Шлюз службы терминалов просто передаст это сообщение серверу сетевых политик (в шлюзе не предусмотрено механизмов, позволяющих самостоятельно расшифровать такое сообщение), а сервер сетевых политик сравнит его с политиками, установленными администратором. Поскольку автоматические обновления отключены, сервер сетевых политик определит, что подключение не отвечает критериям политики, и проинформирует шлюз, что подключение разрешать не следует. Шлюз прервет подключение и сообщит пользователю о том, что его компьютер не соответствует политикам безопасности организации. После этого пользователь может принять соответствующие меры (например, просто включить автоматическое обновление) и повторить попытку. Будет создано новое сообщение о состоянии работоспособности, сервер сетевых политик определит, что компьютер соответствует политикам, и шлюз службы терминалов позволит установить соединение.
Рис. 3 Подключаться могут только системы, удовлетворяющие политикам безопасности компании
Заключение
В Windows Server 2008 входят ключевые элементы для создания безопасного решения доступа из любого места. Шлюз служб терминалов — это безопасный механизм создания туннельного сеанса связи с удаленным компьютером в Интернете, предоставляющий организациям широкий выбор вариантов интеграции в существующие сети. Шлюз служб терминалов можно разместить непосредственно в демилитаризованной зоне или защитить с помощью брандмауэра уровня 7, например сервера ISA Server или Intelligent Application Gateway. К шлюзу служб терминалов можно добавить службу NAP с возможностью проверки состояния конечной точки. Проверка конечной точки позволяет компании убедиться, что удаленные подключения осуществляются пользователями, имеющими достаточные полномочия, с устройств, отвечающих политике безопасности компании. Вместе эти технологии предоставляют организациям более безопасные, эффективные и удобные для конечных пользователей возможности удаленного доступа. Более подробную информацию можно найти на веб-страницах, перечисленных под заголовком «Ресурсы служб терминалов» на боковой панели.
Автор: Джон Морелло (John Morello)
Взято с ноябрьского выпуска TechNet Magazine.