Folyamatos kapcsolatban

Biztonságos és rugalmas távoli elérés nélkül nem érdemes modern munkavégzésről beszélni. E cél eléréséhez több szolgáltatást is bevethetünk a Windows 8-ban és a a Windows Server 2012-ben. A felhasználók számára a lehető legkényelmesebb módon biztosíthatunk folyamatos távelérést a DirectAccess használatával, valamint továbbra is lehetőségünk van a klasszikus VPN kapcsolatok kezelésére. A változó felhasználói igényeknek megfelelően a mobil szélessávú kapcsolatok támogatása is megjelent a Windows 8 részeként. Ahogy a felhasználók egyre több eszközről és hálózatból kapcsolódhatnakbe a vállalati rendszerünkbe, a Network Access Protection segítségével megvalósított biztonsági ellenőrzések jelentősége is nő.

DirectAccess

A DirectAccess legnagyobb előnye, hogy a felhasználó beavatkozása nélkül képes folyamatos és biztonságos kapcsolatot biztosítani a vállalati hálózathoz. Az elsőként a Windows 7-ben és a Windows Server 2008 R2-ben megismert szolgáltatás IPv6 és IPSec segítségével – megfelelő kiépítés esetén – bármilyen közegből (publikus helyek, otthon, mobil használat) képes a belső, védett hálózat teljes vagy szabályozott elérését biztosítani.

Nem csak a felhasználó, hanem a számítógépe is eléri a belső hálózatot, azaz rendszer felügyeleti szempontból is jelentősen segít az üzemeltetőknek ez a megoldás, hiszen ha a gép elérhető (azaz bármikor, amikor van Internet-elérés), akkor a Direct Access kapcsolat a különböző felügyeleti megoldások (csoportházirend, WSUS, System Center, stb.) számára is működik.

Az új DirectAccess gyökeresen átalakult, és ez leginkább a szolgáltatás működtetéséhez szükséges szerveroldalt érinti. A korábbi kötöttségek jelentős része megszűnt vagy megváltozott, ezáltal a Windows Server 2012-vel lényegesen egyszerűbbé válik a DirectAccess beüzemelése és karbantartása. Így immár egy kisebb informatikai környezet számára is lehetővé vált egy modern éskényelmes távoli elérési módszer mindennapos használata.
A legfontosabb változások:

  • A DA szerver lehet tűzfal mögött is, tehát NAT képes, vagyis nem kell a 2 db publikus IPv4 cím (de használható továbbra is az Edgeforgatókönyv szerint), illetve egyetlen hálózati interfésszel is lehetséges DA szervert építeni.
  • A csak IPv4-gyel működő belső szerverek elérése is megoldott, tehát nem szükséges a belső hálózatban valamilyen IPv6/v4konverziós megoldás.
  • Nem kötelező a PKI infrastruktúra kiépítése, egy self-signed (önaláírt) tanúsít vánnyal is kiválóan működik a Direct Access – Windows 8 kliensek esetén.
  • Eddig két IPSec csatornával működött a DA – egy kellett a gépnek, egy pedig a felhasználónak –, de innentől egyetlen tunnellel isképes működni.
  • Az interaktív telepítés összesen csak kettő lépést tartalmaz, a többit egy automatikus folyamat végzi el.
  • A telepítési módot tekintve immár van lehetőségünk arra, hogy válasszunk: a kliensek távoli elérést és távoli felügyeletet kapjanak vagy csak távoli felügyeletet.
  • Az új RemoteAccess konzolon rengeteg plusz információt láthatunk, jóval logikusabb elrendezésben, mint korábban. A Dashboardon a szerverek, valamint a kliensek állapota, illetve az aktivitásuk is remekül követhető, míg az Operations status alatt a DA-t alkotó összetevők egészségi állapota látszik. A naplózás mikéntjéről – helyi Windows Internal Database, vagy egy távoli RADIUS szerver – szintén ezen a konzolon dönthetünk. Ez a naplózás tárolja a távoli user adatokat, a statisztikákat, a szerver használatot és a konfiguráció változásokat egyaránt.

Emellett fontos tényező az is, hogy a Windows 8 Enterprise kiadása beépítve tartalmazza a csoportházirenddel vezérelhetőDirectAccess kliens interfészt is, tehát további műveletek nélkül követheti a felhasználó a DA állapotát, illetve a problémaelhárítás és a naplózás eszközei is rendelkezésre állnak.

VPN

A DirectAccess mellett a Windows kliensek számára a klasszikus távelérési megoldás, a Virtual Private Network (VPN) továbbra is rendelkezésre áll.Ezzel a módszerrel a Windows Server 2012 jelenleg négyféle módon adhat hozzáférést a belső, védett hálózathoz.

  • Point-to-Point Tunneling Protocol (PPTP) VPN kapcsolatok
  • Layer 2 Transport Protocol over IPsec (L2TP/IPsec) VPN kapcsolatok
  • Secure Sockets Layer (SSL) segítségével titkosítot t HTTP VPN kapcsolatok, azaz a Secure Socket Tunneling Protocol (SSTP)
  • VPN Reconnect, amely IPsec Tunnel Mode + IKEv2 alapon nyújt távolielérést, kifejezetten a mobil kapcsolatokat támogatva A Windows szerverek előző verzióiban a távoli elérést biztosító megoldások használata komplex feladat volt, mert például a VPN kapcsolatok létrehozása, kezelése és monitorozása (Routing and Remote Access, RRAS) és a DirectAccess kapcsolatok kezelése csak különböző eszközökkel volt megvalósítható. A Windows Server 2012-ben az új Remote Access szerepkörrel és a hozzá tartozó konzollal mindez összeolvadt, és a DirectAccess mellett a klasszikus VPN kapcsolatokat is ebben a konzolban láthatjuk és kezelhetjük.

Mobile Broadband

Ma már a hordozható számítógépek az internethez - és így a belső hálózathoz - sok esetben egy beépített,vagy USB-s eszközön keresztül, mobil internet megoldással csatlakoznak. Eddig az ilyen kapcsolatok felépítéséhezminden esetben külső eszközmeghajtókra és a kapcsolatot létrehozó kommunikációs szoftverre is szükség volt. A Windows 8-cal a helyzet lényegesen egyszerűbb, ugyanis minden összetevő beépítve is elérhető, mind a Windows RT (ARM) mind az x86-os számítógépek esetében.Ezen kívül az új Windows Connection Manager natív módon felügyeli a mobil kapcsolatokat (a WiFi kapcsolatokat is), a Windows Store-ból letölthető operátor alkalmazással pedig olyan komplex lehetőségeketadhatunk a felhasználók kezébe, mint az eszköz állapotának lekérdezése, a hálózati interfészek sorrendjének szabályozása, a repülési üzemmód beállításai vagy a kapcsolatok adatforgalmazási adatainakmérése és kvótázása.

Network Access Protection

A NAP, azaz a Network Access Protection a Windows szerverek egyik legfontosabb éslegrobusztusabb biztonsággal kapcsolatos komponense. A legfontosabb működésiterülete viszont egyértelműen a kliens oldal, azaz például a Windows 8 bármilyen hálózati hozzáférési igénye (DirectAccess, VPN, WiFi, stb.) esetén az ügyfél operációsrendszer egészségi állapotát vizsgáljuk meg, és az alapján engedjük be, vagy zárjuk ki ahálózati erőforrások eléréséből a NAP segítségével.

A legtöbb szervezet esetében ugyanis jelentős igény mutatkozik egy olyan megoldásra, amely már a fizikai hálózat szintjén elválasztja az alkalmi csatlakozású vagy kevésbé megbízható,illetve kevésbé felügyelhető számítógépeket a belső hálózatba tartozó kliensektől és szerverektől. Viszont a fizikai vagy a távoli hozzáférés szintjén egyáltalán nem rendelkezünk ezekkel az eszközökkel, ugyanakkor sok esetben nem tagadhatjuk meg teljesen a hozzáférést a hálózatra szükségszerűenjogosan kapcsolódó (nem tartományi) gépektől sem.

Erre a láthatóan nehezen megoldható helyzetre nyújt gyógyírt a NAP, ami egy olyan szerver-kliens megoldás, amely a védett hálózatunkban alapértelmezés szerint még az IP-kapcsolatot sem engedi meg, és amely csak egy alapos, az üzemeltetők által részletesen finomhangolható „vizsga” sikeres teljesítése esetén adja meg a hozzáférést a belső hálózathoz kapcsolódni szándékozó gépeknek. De a NAP nem csak az ellenőrzést oldja meg, hanem az elutasított gépek számára karantént is biztosít, amivel az automatikus állapotjavításhoz szükséges folyamatokat is képes kézben tartani.

A NAP célja tehát a Windows Server 2012-ben is az, hogy a routerek, switchek, a vezeték nélküli hozzáférésipontok, a szoft veres és a hardverebe épített célszoftverrendszerek segítségével ér vényesítse a végpontokon a biztonsági elvárásainkat. Mindezt úgy éri el, hogy lekérdezi a hálózatra csatlakozó eszközök egészségi állapotát (bekapcsolt tűzfal, Windows Update kliens, vírus/spyware-ir tó állapota, valamint külső gyártóktól származó sablonok alapján más alkalmazásokatis figyelhet), majd ezt összehasonlítja az általunk előre definiált szabálycsomaggal, és az eredmény alapján dönt a hálózati hozzáférés engedélyezéséről. Ha a folyamat negatív eredménnyel zárul, a kapcsolódni szándékozó kliens nem jut be a védetthálózatba, hanem lehetőséget kap biztonsági állapotának szintre hozására, azaz csatlakozhat a publikus szegmensen működő„patikaszerverekhez”, például egy WSUS-hoz, vagy System Center Configuration Managerhez, vagy a vírusirtó-szignatúrákat tároló szerverhez, majd a szükséges korrekció után (ami lehet automatikus is) a kliens végrehajthat egy újabb kapcsolódási kísérletet.