6ártalanulForefront UAG + DirectAccess

Gál Tamásv-tagal@microsoft.comIT üzemeltetési szakértőMicrosoft Magyarország

Mi is a DirectAccess?Folyamatos, biztonságos, IPSec és IPv6 alapú kapcsolatElőnyök – üzemeltetői oldal

Rugalmas, (akár) teljes hozzáférés a kliensek felé is - mindigGranuláris szabályzás alkalmazás/szerver szinten

Előnyök - felhasználói oldal: A „megszokott” hozzáférés – bárhonnan, interaktivitás nélkül, maximális UXSzimultán kapcsolat (Internet / céges hálózat)

Kliensoldal: zéró teendő / szerveroldal: számos

Mi is a DirectAccess?A világ változik:

„A hálózatunk nem ott van, ahol az épületünk, hanem ahol a felhasználók és az eszközök.”

vs.Iroda Otthon / mobilIroda Otthon / mobil

DirectAccess - technikai pillérek

Kapcsolat: IPv6

Biztonság/adatvédelem : IPsec

Névfeloldás:DNS és NRPT

IPv6 eszközök IPv4 eszközök

DirectAccessServer

Windows 7kliens

Natív IPv6 + IPSec

IPv6 / IPv4 átalakítás

DA: transzparens, biztonságos kapcsolat

VPN nélkül

IPSec titkosítás és hitelesítés

Közvetlen kapcsolat a belső IPv6

erőforrásokkal

IPv4 támogatás (pl. 6to4, NAT-PT, NAT64)IT desktop

felügyelet

Group Policy, NAP, WSUS

Internet

Lehetővé teszi a DirectAccess kliensek

felügyeletét

DirectAccess – egy teljes rendszer

• Felügyelt és nem felügyelt gépekről, munkatársaktól a partnerekig

• Böngészőktől a mobil eszközökig• Beépített SSL VPN és teljes körű DirectAcces használat, extrákkal

Elérés bárhonnan

• Nagyon részletes elérési szabályok és nagyon alapos végponti vizsgálat

• Active Directory integráció• Information Leakage Prevention

Szigorú biztonsági elvek

• Webes portál a felhasználóknak• Az egyéb kapcsolódás (SSL VPN, RD, DA) egyszerű és

automatikus• 1 db MMC + 1 böngésző az üzemeltetőknek

Egyszerű használat és felügyelet

Mi is az a Forefront UAG?

Az erőforrások elérése az UAG-gal

DirectAccess

HTTPS (443)

Layer3 VPN

Belső hálózat / Perimeter / Adatközpont

Partnerek, beszállítók, stb.

AD, ADFS, RADIUS, LDAP….

Otthon, máshol, publikus helyen

Felügyelt gépek (alkalmazottak)

Mobil

ExchangeCRMSharePointIIS basedIBM, SAP, Oracle

Terminal / Remote Desktop Services / VDI

Non-web, fájlszerver

HTTPS / HTTP

NPS, FIM

Internet

SydneySharepoint 2010

IbizaUAG 2010

DirectAccessDenverDC+CA

KioskNem felügyelt

kliens (W7)

Demókörnyezet

RomeFelügyelt

kliens (W7)

Forefront UAG

demó

UAG és DirectAccess – együtt finomabbAmit a Forefront UAG ad a „Windows” DirectAccess-hez, az nem kevés:

Egyszerűbb tervezés és telepítésEgy helyen a két termék

Magasabb rendelkezésre állás:Tömbök és terheléselosztás – több DirectAccess kiszolgálóvalFailover – a DirectAccess kiszolgálók között

NAT64 támogatás - DA kliensek és a natív IPv4 erőforrások közöttVégponti „egészségi szint” ellenőrzés – NAP is

UAG DirectAccess komponensek (7 in 1)1.IPv6/IPv4 kapcsolódás2.Hálózati infrastruktúra3.IPSec csatornák4.DNS5.Network Location Server6.Public Key Infrastructure7.Active Directory

IPv6 kapcsolódás – részletekKülső IPv6 kapcsolódás

6to4 relay – publikus IPv4 címekrőlTeredo – NAT eszközök mögülIP-HTTPS – tűzfalak és proxy-k mögül

Belső IPv6 kapcsolódásISATAP router – IPv6 kapcsolódás IPv4 „felett” az intraneten

Az ISATAP router egy szeparált kiszolgálón is lehetNAT64/DNS64 – IPv6 kapcsolódás az intranetes natív IPv4 erőforrásokhoz

A legjobb módszer, a külső IPv6-os kliens generálja a csatlakozást

Hálózati infrastruktúra

IPv4 InternetA B

UAG DA Server

Intranet

Firewall

C

UDP destination port 3544 inbound and UDP source port 3544 outbound

Teredo

IP Protocol 41 Inbound and Outbound6to4

TCP destination port 443 inbound and TCP source port 443 outbound

IP-HTTPS

No NATRoute Only

Two consecutive public IPv4 addresses on external

interface

D

Firewall

IP Protocol 41 Inbound and OutboundISATAP

All IPv4 and IPv6 traffic to and from the Forefront UAG DirectAccess server

Native IPv6Or

NAT64

Egy mellékszálTényleg egy TMG van az UAG alatt?

Igen, de ez nem egy szokásos TMGElvileg csak az UAG „használja”Pl. a publikálás szabályokat automatikusan konfigurálja

Mire használható ezen kívül?TűzfalkéntReverse proxykéntPublikálásra, de csak: Exchange SMTP/SMTPS, POP3/POP3S, IMAP/IMAPS, Office Communications Server (OCS)Engedélyező tűzfalszabályok, de csak VPN-hezMonitoring

http://technet.microsoft.com/en-us/library/ee522953.aspx

IPSec csatornákA kapcsolódás = IPv6; biztonság = IPSecIPv4 esetén IPv6 tranzíciós technológiák

6to4, Teredo, IP-HTTPSHitelesítés > Infrastructure tunnel: tanúsítvány és NTLMv2, user hitelesítés nem szükségesHitelesítés > Intranet tunnel: tanúsítvány (gép), Kerberos ticket (user + gép)

IPv6 Transition TechnologiesInfrastructure Tunnel

Intranet Tunnel

Internet

Kliens gép

DC-k, DNS, HRA, SC szerverek

A többi gép a belső hálón

UAG

IPv4 via NAT64IPv6 NativeISATAP

IPv4 via NAT64IPv6 NativeISATAP

DNSName Resolution Policy Table (NRPT)Belső DNS kiszolgáló követelmények

AAAA rekordok támogatása Dinamikus frissítés támogásISATAP

UAG DA belső IP vagy egy külön ISATAP routerGlobal Query Block List!

Publikus DNS kiszolgáló követelményekIP-HTTPS Server név (Common Name)CDP (az IP-HTTPS tanúsítványhoz)

Internet és Intranet forgalomA split-tunneling már alap-értelmezésben is elérhető

A statikus, mini DNS szerverünkkel (NRPT)De tiltható is(Force Tunneling)

Network Location Server Hol is vagyunk?Egy állandóan elérhető HTTPS website legyenHTTP GET kérés > 200 OK > ha belül vannak a kliensKívülről nem elérhető

Public Key InfrastructureSzámítógép tanúsítvány (IPSec Auth)Server Authentication tanúsítvány (IP-HTTPS)Online CRL publikálás (IP-HTTPS)Felhasználói tanúsítvány (Smart Card Auth)

Active DirectoryA DA szervert és a klienseket GPO-kon keresztül konfigoljukGPO-k automatikusan készülnek el az UAG DA varázslóval

DirectAccess Connectivity AssistantAz OS alapértelmezés szerint semmit nem árul el a DA kapcsolódásrólDe a letölthető DA CA igen http://technet.microsoft.com/en-us/library/ff384241.aspx Amit látunk benne

A kapcsolat állapotaEgy troubleshooting linkAutomatikus „hibacsomag” készítés

.msi = könnyű tömegesen telepíteni

Csoportházirend konfigurálás

DA CA GP beállításMinimum két opciót be kell állítani

DTE EndpointsPING:2002::/128A DA szerver 2 tunnel végpontjának 6to4 címei

Corporate resourceEgy belső erőforrás definiálásaEgy belső webszerver vagy PINGVagy FILE:\\FS1\SHARE\FILE.TXT

Csoportházirend sablonok a csomagban (.admx, .adml)

UAG DA + DA CA

demó

UAG SP1 – fontos DA újdonságok...Sajnos, nem mondhatok el többet