Zanesljiv in varen dostop do internih aplikacij podjetja Predavatelj: Gregor Šuster – MCSE, MCITP, MCTS, MCT, ITIL Podjetje: Microsoft Slovenija
Agenda Različni vidiki omogočanja dostopa do internih aplikacij Dostop do aplikacij s pomočjo Forefront UAG 2010 Dostop do aplikacij preko spletnega portala Nadzor nad pretokom informacij (avtentikacija, avtorizacija) SSL VPN dostop (SSTP) ali klasični VPN dostop DirectAccess Kaj je DirectAccess tehnologija? Kako deluje in kako jo vpeljemo v organizacijo? Zakaj DirectAccess z UAG 2010? Novosti v SP1
Varen dostop do informacij EXTERNAL (trusted) EXTERNAL (un-trusted) ON-PREMISES TRUSTED Direct Access Web / SSL VPN Enostaven dostop od koderkoli Integracija z Aktivnim imenikom Portal, na katerem so objavljene vse aplikacije ali načini dostopa do informacij Dostop do informacij glede na Poznavanje delovne postaje Konfiguracijo delovne postaje Avtorizacijo uporabnika Politiko dostopa Več možnih tipov avtentikacij
Arhitektura Forefront UAG 2010 rešitve DirectAccess HTTPS (443) Layer3 VPN Poslovni partnerji AD, ADFS, RADIUS, LDAP…. Domači računalnik / Kiosk Računalniki podjetja Mobilne naprave Ostale aplikacije HTTPS / HTTP Exchange CRM SharePoint IIS aplikacije IBM, SAP, Oracle NPS, FIM Terminal/Remote Desktop Services Internet Situation Understanding the solution architecture of Unified Access Gateway. Slide objective Explain the solution architecture of UAG. Talking Points UAG provides services to four types of audiences UAG functionality pillars UAG application support. From left to right: UAG provides services to four types of audiences (from bottom up): Employees that are roamed with their laptops and need access. There are few reasons why they need UAG and not traditional VPN: Behind firewall most IPSec VPNs doesn’t work because they are UDP. Having the portal as one entry point for all corporate resources. No need to install and configure VPN client. Strong authentication (see next slides) Business partners / sub-contractors: today companies either provide them full VPN access which is almost irresponsible thing to do or just collaborate with them over e-mail. See the study in the end-point health slides for example about the risk of open the network for partners. ©2009 Microsoft Corporation. All Rights Reserved.
Objava aplikacij preko spletnega portala
Postavitev v omrežje Forefront UAG 2010 postavimo na rob internega omrežja Strežnik z dvema mrežnima adapterjema NIC1 – interno omrežje (kjer se nahajajo aplikacije) NIC2 – eksterno omrežje (kjer se nahajajo uporabniki) Varnostni vidik Pri nameščanju UAG 2010 se namesti tudi TMG 2010 TMG 2010 je namenjen internim potrebam UAG 2010 - (samostojno konfiguriranje ni podprto razen v specifičnih primerih) Komunikacija s portalom poteka preko HTTPS protokola (TCP 80/443) Po potrebi omogočena še SSTP/VPN komunikacija
UAG 2010 Portal Portal je osnovna aplikacija, preko katere uporabnik dostopa do informacij Na nivoju portala določimo Tip avtentikacije na portal Časovne omejitve seje Omejitve skladnosti delovne postaje Različne URL filtre, ipd. Na portalu objavimo aplikacije, ki jih lahko specifično konfiguriramo Izgled portala (in tudi del delovanja) lahko skoraj v celoti prilagajamo s spreminjanjem kode!
Avtentikacija na portal Podpora različnim načinom avtentikacije Uporabniško ime in geslo (osnovna konfiguracija) Uporabniški certifikat Pametna kartica (uporabniški certifikat) Podpora različnim avtentikacijskim strežnikom Različne načine avtentikacije lahko uporabimo tako, da spremenimo kodo, ki se izvede ob sami avtentikaciji
Preverjanje skladnosti Dva načina preverjanja skladnosti Endpoint Policies – interne, nastavljive UAG 2010 politike Network Access Protection tehnologija Pri dostopu do aplikacij se lahko uporabita oba načina Viri podatkov Varnostno neskladna delovna postaja Varnostno skladna delovna postaja Onemogočen Dovoljen
Preverjanje skladnosti Kaj so Endpoint Policies? S pomočjo spremenljivk, ki jih UAG 2010 pozna, definiramo skladno delovno postajo Spremenljivke povežemo v logične izraze na podlagi katerih UAG 2010 po ovrednotenju omogoči ali pa ne omogoči dostopa
Objava aplikacij Objava aplikacij se vrši preko pripravljenih predlog Web aplikacije Clinet/Server aplikacije Browser embedded aplikacije RDS (Remote Desktop Services) aplikacije
Demo: Objava aplikacij
Kaj potrebuje delovna postaja? ActiveX komponente (UAG Endpoint Components) se namestijo ob prvem dostopu do portala Uporabnik mora imeti pravico nameščanja teh komponent Komponente lahko namestimo tudi vnaprej – MSI paketi Različni paketi: Basic - Endpoint Session Cleanup, Client Trace Utility, Endpoint Detection, SSL Application Tunneling ActiveX NetworkConnector – Basic + SSL Network Tunneling SocketForwarder – Basic + Socket Forwarding komponenta All NetworkConnectorOnly – Samo SSL Network Tunneling (Network Connector)
DirectAccess (DA)
Kaj je DirectAccess? Tehnologija, ki omogoča za uporabnika popolnoma transparenten dostop do internega okolja podjetja Uporabnik s konfigurirano DA delovno postajo Ima dostop do internega omrežja takoj in vedno, ko ima dostop do interneta (implementacija DA lahko to delovanje tudi spremeni) Vzdrževanje delovne postaje (GPO, popravki, menjave gesel, ipd) je omogočeno, kot bi bil uporabnik v internem omrežju Povezava med DA delovno postajo in internimi viri podatkov je varno (komunikacija je avtenticirana in kriptirana) „Allways ON“ tehnologija!
Komponente, o katerih moramo razmisliti IPv6/IPv4 komunikacija – kako DA izkorišča translacijske tehnologije Mrežna infrastruktura – kaj potrebujemo? IPSec tunela – zakaj potrebujemo dva? DNS – Kakšno je razreševanje imen? NLS – Network Location Service PKI – kakšne certifikate potrebujemo? Active Directory – mestno za konfiguracijo DA okolja
IPv6 translacijske tehnologije Infrastrukturni tunel Internet Intranet IPv6 tranzicijske tehnologije: 6to4, Teredo, IP-HTTPS Intranet tunel DC, DNS, NPS, Management IPv4 via NAT64 IPv6 Native ISATAP Delovna postaja IPv4 via NAT64 IPv6 Native ISATAP Ostali strežniki
Dva IPSec zaščitena tunela DA vzpostavi dva IPSec tunela Infrastrukturni tunel Vzpostavljen takoj, ko je uporabnik prižge računalnik (pred prijavo) Potrebna avtentikacija - Computer Cert & NTLMv2 (Computer account) Intranet tunel – potreben za dostop do aplikacij Vzpostavljen po prijavi Potrebna avtentikacija - Computer Cert & Kerberos, OTP, SmartCard, ipd. Pri konfiguraciji DA se nam generirajo IPSec pravila glede na želeno konfiguracijo
Dva IPSec zaščitena tunela
Mrežna infrastruktura Požarna pregrada 1 Požarna pregrada 2 6to4 IP protokol 41 (in, out) Teredo UDP dest. 3544 (in), UDP source 3544 (out) IP-HTTPS TCP dest. 443 (in), TCP source 443 (out) Native IPv6 ali NAT64 Vsi IPv4 in IPv6 protokoli iz UAG DA strežnika ISATAP IP protokol 41 (in, out)
DNS strežniki Name Resolution Policy Table Zakaj jo potrebujemo? Kako je upravljamo? Zahteve za interni DNS strežnik Podpora tudi AAAA zapisom za IPv6 naslove Podpora dinamičnim posodobitvam ISATAP Zapis zaščiten, potrebno ga je odstraniti iz Global Query Block List-e ISATAP zapis kaže na interni naslov UAG 2010 strežnika (DA strežnika) Spremembe v javnem DNS strežniku IP-HTTPS zapis za strežnik Javno dostopen CRL za IP-HTTPS certifikate
DNS strežniki
Network Location Service – kje sploh smo? NLS oz. Network Location Server deluje kot detektor internega ali eksternega omrežja za delovno postajo Ideja enostavna HTTPS spletna stran v internem omrežju, brez vsebine Visoko razpoložljiva postavitev! Zahteva HTTP GET <NLS Url> pričakovani rezultat 200 OK Kaj se zgodi, če delovna postaja ne dobi ustreznega odgovora? DA tunel NLS seveda ne sme biti dosegljiv iz eksternega omrežja Za NLS obstaja posebno pravilo v NRPT
Network Location Service – kje sploh smo?
PKI – kakšne certifikate potrebujemo? Za uspešno postavitev potrebujemo vsaj en CA strežnik Potrebujemo naslednje certifikate Computer certifikat za IPSec avtentikacijo Server certifikat za uspešno IP-HTTPS avtentikacijo Server certifikat za NLS spletni strežnik Uporabniški certifikat ob uporabi npr. Smart Card avtentikacije NAP Če želimo integracjo z NAP uporabimo generirane „Health“ certifikate Če želimo avtentikacijo z enkratnim geslom (OTP/SecurID) potrebujemo samostojen „Issuing CA“ samo za OTP certifikate CRL za potrebe IP-HTTPS mora biti dosegljiv iz eksternega omrežja
PKI – kakšne certifikate potrebujemo?
Active Directory Po konfiguraciji UAG so vse DA nastavitve upravljane preko GPO DA čarovnik generira skupinske politike Upravljanje DA odjemalcev Kateri od računalnikov dobijo ustrezne politike kontroliramo s članstvom v varnostnih skupinah (1-3) DirectAccess Connectivity Assistant upravljamo preko GPO
DirectAccess Connectivity Assistant (DCA) Olajša delo uporabnika in skrbnika v primeru težav Omogoča Vizualen prikaz delovanja DA Diagnostiko v primeru nedelovanja Dostop do extranet portala (URL) v primeru težav Upravljanje Namesti se preko GPO, SCCM ali kako drugače Kontrola DCA preko skupinskih politik DirectAccess Connectivity Assistant GP.admx prenesemo v \\domain\sysvol\PolicyDefinitions Različica DCA se spreminja z različico UAG Za delovanje ni potreben, razen Pri uporabi One-Time-Password (OTP)
Zahteve za postavitev OTP integracije Potrebujemo: Dediciran CA za izdajo OTP certifikatov Povezati moramo ACE strežnik z UAG 2010 Na UAG 2010 namestiti SP1 in ga ustrezno konfigurirati Ustrezno konfigurirati CA predloge za izdajo certifikatov Namestiti DirectAccess Connectivity Assistant na DA delovne postaje (verzija 1.5)
Konfiguracija OTP na UAG 2010
Če povzamemo… Možnost dela izven pisarne je vedno bolj zahtevana ali zaželena! UAG 2010 ponuja celo paleto rešitev: DirectAccess za računalnike, ki jih imamo pod kontrolo (in jih želimo obdržati pod kontrolo tudi ko zapustijo pisarno!) Objava aplikacij na portalu za računalnike, ki jih „ne poznamo“ SSL VPN (SSTP) za občasno delo, ko aplikacije ni mogoče „definirati“ „Klasičen“ VPN – če je to res potrebno
Dodatne informacije Knjigi: Splet: Erez Ben Ari: Microsoft Forefront UAG 2010 Administrator's Handbook, Packt Publishing, 2011 Yuri Diogenes, Thomas W. Shinder: Deploying Microsoft® Forefront® Unified Access Gateway 2010, Microsoft Press, 2010 Splet: Technet – Forefront Unified Access Gateway 2010 – http://technet.microsoft.com/en-us/library/ff358694.aspx Ramp Up – Implementing Forefront Unified Access Gateway 2010 - http://technet.microsoft.com/en-us/ff793469.aspx Blog – Microsoft Forefront Unified Access Gateway Product - http://blogs.technet.com/b/edgeaccessblog/ Blog – The Edge Man – http://blogs.technet.com/b/tomshinder/
VPRAŠANJA? Po zaključku predavanja prosim izpolnite vprašalnik. Vprašalniki bodo poslani na vaš e-naslov, dostopni pa bodo tudi preko profila na spletnem portalu konference. www.ntk.si . Z izpolnjevanjem le tega pripomorete k izboljšanju konference. Hvala!