Presentation is loading. Please wait.

Presentation is loading. Please wait.

Zanesljiv in varen dostop do internih aplikacij podjetja

Published byBatur Kaldırım Modified over 6 years ago

Similar presentations

Presentation on theme: "Zanesljiv in varen dostop do internih aplikacij podjetja"— Presentation transcript:

1 Zanesljiv in varen dostop do internih aplikacij podjetja
Predavatelj: Gregor Šuster – MCSE, MCITP, MCTS, MCT, ITIL Podjetje: Microsoft Slovenija

2 Agenda Različni vidiki omogočanja dostopa do internih aplikacij
Dostop do aplikacij s pomočjo Forefront UAG 2010 Dostop do aplikacij preko spletnega portala Nadzor nad pretokom informacij (avtentikacija, avtorizacija) SSL VPN dostop (SSTP) ali klasični VPN dostop DirectAccess Kaj je DirectAccess tehnologija? Kako deluje in kako jo vpeljemo v organizacijo? Zakaj DirectAccess z UAG 2010? Novosti v SP1

3 Varen dostop do informacij
EXTERNAL (trusted) EXTERNAL (un-trusted) ON-PREMISES TRUSTED Direct Access Web / SSL VPN Enostaven dostop od koderkoli Integracija z Aktivnim imenikom Portal, na katerem so objavljene vse aplikacije ali načini dostopa do informacij Dostop do informacij glede na Poznavanje delovne postaje Konfiguracijo delovne postaje Avtorizacijo uporabnika Politiko dostopa Več možnih tipov avtentikacij

4 Arhitektura Forefront UAG 2010 rešitve
DirectAccess HTTPS (443) Layer3 VPN Poslovni partnerji AD, ADFS, RADIUS, LDAP…. Domači računalnik / Kiosk Računalniki podjetja Mobilne naprave Ostale aplikacije HTTPS / HTTP Exchange CRM SharePoint IIS aplikacije IBM, SAP, Oracle NPS, FIM Terminal/Remote Desktop Services Internet Situation Understanding the solution architecture of Unified Access Gateway. Slide objective Explain the solution architecture of UAG. Talking Points UAG provides services to four types of audiences UAG functionality pillars UAG application support. From left to right: UAG provides services to four types of audiences (from bottom up): Employees that are roamed with their laptops and need access. There are few reasons why they need UAG and not traditional VPN: Behind firewall most IPSec VPNs doesn’t work because they are UDP. Having the portal as one entry point for all corporate resources. No need to install and configure VPN client. Strong authentication (see next slides) Business partners / sub-contractors: today companies either provide them full VPN access which is almost irresponsible thing to do or just collaborate with them over . See the study in the end-point health slides for example about the risk of open the network for partners. ©2009 Microsoft Corporation.  All Rights Reserved.

5 Objava aplikacij preko spletnega portala

6 Postavitev v omrežje Forefront UAG 2010 postavimo na rob internega omrežja Strežnik z dvema mrežnima adapterjema NIC1 – interno omrežje (kjer se nahajajo aplikacije) NIC2 – eksterno omrežje (kjer se nahajajo uporabniki) Varnostni vidik Pri nameščanju UAG 2010 se namesti tudi TMG 2010 TMG 2010 je namenjen internim potrebam UAG (samostojno konfiguriranje ni podprto razen v specifičnih primerih) Komunikacija s portalom poteka preko HTTPS protokola (TCP 80/443) Po potrebi omogočena še SSTP/VPN komunikacija

7 UAG 2010 Portal Portal je osnovna aplikacija, preko katere uporabnik dostopa do informacij Na nivoju portala določimo Tip avtentikacije na portal Časovne omejitve seje Omejitve skladnosti delovne postaje Različne URL filtre, ipd. Na portalu objavimo aplikacije, ki jih lahko specifično konfiguriramo Izgled portala (in tudi del delovanja) lahko skoraj v celoti prilagajamo s spreminjanjem kode!

8 Avtentikacija na portal
Podpora različnim načinom avtentikacije Uporabniško ime in geslo (osnovna konfiguracija) Uporabniški certifikat Pametna kartica (uporabniški certifikat) Podpora različnim avtentikacijskim strežnikom Različne načine avtentikacije lahko uporabimo tako, da spremenimo kodo, ki se izvede ob sami avtentikaciji

9 Preverjanje skladnosti
Dva načina preverjanja skladnosti Endpoint Policies – interne, nastavljive UAG 2010 politike Network Access Protection tehnologija Pri dostopu do aplikacij se lahko uporabita oba načina Viri podatkov Varnostno neskladna delovna postaja Varnostno skladna delovna postaja Onemogočen Dovoljen

10 Preverjanje skladnosti
Kaj so Endpoint Policies? S pomočjo spremenljivk, ki jih UAG 2010 pozna, definiramo skladno delovno postajo Spremenljivke povežemo v logične izraze na podlagi katerih UAG 2010 po ovrednotenju omogoči ali pa ne omogoči dostopa

11 Objava aplikacij Objava aplikacij se vrši preko pripravljenih predlog
Web aplikacije Clinet/Server aplikacije Browser embedded aplikacije RDS (Remote Desktop Services) aplikacije

12 Demo: Objava aplikacij

13 Kaj potrebuje delovna postaja?
ActiveX komponente (UAG Endpoint Components) se namestijo ob prvem dostopu do portala Uporabnik mora imeti pravico nameščanja teh komponent Komponente lahko namestimo tudi vnaprej – MSI paketi Različni paketi: Basic - Endpoint Session Cleanup, Client Trace Utility, Endpoint Detection, SSL Application Tunneling ActiveX NetworkConnector – Basic + SSL Network Tunneling SocketForwarder – Basic + Socket Forwarding komponenta All NetworkConnectorOnly – Samo SSL Network Tunneling (Network Connector)

14 DirectAccess (DA)

15 Kaj je DirectAccess? Tehnologija, ki omogoča za uporabnika popolnoma transparenten dostop do internega okolja podjetja Uporabnik s konfigurirano DA delovno postajo Ima dostop do internega omrežja takoj in vedno, ko ima dostop do interneta (implementacija DA lahko to delovanje tudi spremeni) Vzdrževanje delovne postaje (GPO, popravki, menjave gesel, ipd) je omogočeno, kot bi bil uporabnik v internem omrežju Povezava med DA delovno postajo in internimi viri podatkov je varno (komunikacija je avtenticirana in kriptirana) „Allways ON“ tehnologija!

16 Komponente, o katerih moramo razmisliti
IPv6/IPv4 komunikacija – kako DA izkorišča translacijske tehnologije Mrežna infrastruktura – kaj potrebujemo? IPSec tunela – zakaj potrebujemo dva? DNS – Kakšno je razreševanje imen? NLS – Network Location Service PKI – kakšne certifikate potrebujemo? Active Directory – mestno za konfiguracijo DA okolja

17 IPv6 translacijske tehnologije
Infrastrukturni tunel Internet Intranet IPv6 tranzicijske tehnologije: 6to4, Teredo, IP-HTTPS Intranet tunel DC, DNS, NPS, Management IPv4 via NAT64 IPv6 Native ISATAP Delovna postaja IPv4 via NAT64 IPv6 Native ISATAP Ostali strežniki

18 Dva IPSec zaščitena tunela
DA vzpostavi dva IPSec tunela Infrastrukturni tunel Vzpostavljen takoj, ko je uporabnik prižge računalnik (pred prijavo) Potrebna avtentikacija - Computer Cert & NTLMv2 (Computer account) Intranet tunel – potreben za dostop do aplikacij Vzpostavljen po prijavi Potrebna avtentikacija - Computer Cert & Kerberos, OTP, SmartCard, ipd. Pri konfiguraciji DA se nam generirajo IPSec pravila glede na želeno konfiguracijo

19 Dva IPSec zaščitena tunela

20 Mrežna infrastruktura
Požarna pregrada 1 Požarna pregrada 2 6to4 IP protokol 41 (in, out) Teredo UDP dest (in), UDP source 3544 (out) IP-HTTPS TCP dest. 443 (in), TCP source 443 (out) Native IPv6 ali NAT64 Vsi IPv4 in IPv6 protokoli iz UAG DA strežnika ISATAP IP protokol 41 (in, out)

21 DNS strežniki Name Resolution Policy Table
Zakaj jo potrebujemo? Kako je upravljamo? Zahteve za interni DNS strežnik Podpora tudi AAAA zapisom za IPv6 naslove Podpora dinamičnim posodobitvam ISATAP Zapis zaščiten, potrebno ga je odstraniti iz Global Query Block List-e ISATAP zapis kaže na interni naslov UAG 2010 strežnika (DA strežnika) Spremembe v javnem DNS strežniku IP-HTTPS zapis za strežnik Javno dostopen CRL za IP-HTTPS certifikate

22 DNS strežniki

23 Network Location Service – kje sploh smo?
NLS oz. Network Location Server deluje kot detektor internega ali eksternega omrežja za delovno postajo Ideja enostavna HTTPS spletna stran v internem omrežju, brez vsebine Visoko razpoložljiva postavitev! Zahteva HTTP GET <NLS Url>  pričakovani rezultat 200 OK Kaj se zgodi, če delovna postaja ne dobi ustreznega odgovora? DA tunel NLS seveda ne sme biti dosegljiv iz eksternega omrežja Za NLS obstaja posebno pravilo v NRPT

24 Network Location Service – kje sploh smo?

25 PKI – kakšne certifikate potrebujemo?
Za uspešno postavitev potrebujemo vsaj en CA strežnik Potrebujemo naslednje certifikate Computer certifikat za IPSec avtentikacijo Server certifikat za uspešno IP-HTTPS avtentikacijo Server certifikat za NLS spletni strežnik Uporabniški certifikat ob uporabi npr. Smart Card avtentikacije NAP Če želimo integracjo z NAP uporabimo generirane „Health“ certifikate Če želimo avtentikacijo z enkratnim geslom (OTP/SecurID) potrebujemo samostojen „Issuing CA“ samo za OTP certifikate CRL za potrebe IP-HTTPS mora biti dosegljiv iz eksternega omrežja

26 PKI – kakšne certifikate potrebujemo?

27 Active Directory Po konfiguraciji UAG so vse DA nastavitve upravljane preko GPO DA čarovnik generira skupinske politike Upravljanje DA odjemalcev Kateri od računalnikov dobijo ustrezne politike kontroliramo s članstvom v varnostnih skupinah (1-3) DirectAccess Connectivity Assistant upravljamo preko GPO

28 DirectAccess Connectivity Assistant (DCA)
Olajša delo uporabnika in skrbnika v primeru težav Omogoča Vizualen prikaz delovanja DA Diagnostiko v primeru nedelovanja Dostop do extranet portala (URL) v primeru težav Upravljanje Namesti se preko GPO, SCCM ali kako drugače Kontrola DCA preko skupinskih politik DirectAccess Connectivity Assistant GP.admx prenesemo v \\domain\sysvol\PolicyDefinitions Različica DCA se spreminja z različico UAG Za delovanje ni potreben, razen Pri uporabi One-Time-Password (OTP)

29 Zahteve za postavitev OTP integracije
Potrebujemo: Dediciran CA za izdajo OTP certifikatov Povezati moramo ACE strežnik z UAG 2010 Na UAG 2010 namestiti SP1 in ga ustrezno konfigurirati Ustrezno konfigurirati CA predloge za izdajo certifikatov Namestiti DirectAccess Connectivity Assistant na DA delovne postaje (verzija 1.5)

30 Konfiguracija OTP na UAG 2010

31 Če povzamemo… Možnost dela izven pisarne je vedno bolj zahtevana ali zaželena! UAG 2010 ponuja celo paleto rešitev: DirectAccess za računalnike, ki jih imamo pod kontrolo (in jih želimo obdržati pod kontrolo tudi ko zapustijo pisarno!) Objava aplikacij na portalu za računalnike, ki jih „ne poznamo“ SSL VPN (SSTP) za občasno delo, ko aplikacije ni mogoče „definirati“ „Klasičen“ VPN – če je to res potrebno

32 Dodatne informacije Knjigi: Splet:
Erez Ben Ari: Microsoft Forefront UAG 2010 Administrator's Handbook, Packt Publishing, 2011 Yuri Diogenes, Thomas W. Shinder: Deploying Microsoft® Forefront® Unified Access Gateway 2010, Microsoft Press, 2010 Splet: Technet – Forefront Unified Access Gateway 2010 – Ramp Up – Implementing Forefront Unified Access Gateway Blog – Microsoft Forefront Unified Access Gateway Product - Blog – The Edge Man –

33 VPRAŠANJA? Po zaključku predavanja prosim izpolnite vprašalnik.
Vprašalniki bodo poslani na vaš e-naslov, dostopni pa bodo tudi preko profila na spletnem portalu konference. . Z izpolnjevanjem le tega pripomorete k izboljšanju konference. Hvala!

Download ppt "Zanesljiv in varen dostop do internih aplikacij podjetja"

Similar presentations

WMS02: Direct Access Always Connected: Death of the VPN

WMS02: Direct Access Always Connected: Death of the VPN
Direct Access 2012 Chad Duffey and Tristan Kington Microsoft Premier Field Engineering WSV333.

Direct Access 2012 Chad Duffey and Tristan Kington Microsoft Premier Field Engineering WSV333.
Ondřej Ševeček | GOPAS a.s. | MCM: Directory Services | MVP: Enterprise Security | | |

Ondřej Ševeček | GOPAS a.s. | MCM: Directory Services | MVP: Enterprise Security | | |
DirectAccess Infrastructure Planning and Design Published: October 2009 Updated: November 2011.

DirectAccess Infrastructure Planning and Design Published: October 2009 Updated: November 2011.
Scott Roberts Lead Program Manager Microsoft Session Code: WSV320.

Scott Roberts Lead Program Manager Microsoft Session Code: WSV320.
Extending ForeFront beyond the limit www.AGATSolutions.com TMGUAG ISAIAG AG Security Suite.

Extending ForeFront beyond the limit TMGUAG ISAIAG AG Security Suite.
Direct Access, Do’s and Don’ts

Direct Access, Do’s and Don’ts
Adwait JoshiJim Harrison Sr. Product ManagerProgram Manager Microsoft Corporation SESSION CODE: SIA308.

Adwait JoshiJim Harrison Sr. Product ManagerProgram Manager Microsoft Corporation SESSION CODE: SIA308.
SIM403. Claims Provider Trust Relying Party x Relying Party Trust Claims Provider Trust Your ADFS STS Partner ADFS STS & IP Relying Party Trust Partner.

SIM403. Claims Provider Trust Relying Party x Relying Party Trust Claims Provider Trust Your ADFS STS Partner ADFS STS & IP Relying Party Trust Partner.
1 SharePoint Momentum 17K+ Customers, 100M Licenses Leader in Gartner ® Magic Quadrants, Forrester Wave TM Continued Platform and Application Innovation.

1 SharePoint Momentum 17K+ Customers, 100M Licenses Leader in Gartner ® Magic Quadrants, Forrester Wave TM Continued Platform and Application Innovation.
Threat Management Gateway 2010 Questo sconosciuto? …ancora per poco! Manuela Polcaro Security Advisor.

Threat Management Gateway 2010 Questo sconosciuto? …ancora per poco! Manuela Polcaro Security Advisor.
Server 2008 Terminal Services and Remote Desktop Services Basic application access is possible without Citrix, and Server 2008 R2 adds on some key features.

Server 2008 Terminal Services and Remote Desktop Services Basic application access is possible without Citrix, and Server 2008 R2 adds on some key features.
Working remote: what to consider, technology evolution.

Working remote: what to consider, technology evolution.
Getting to know UAG Tom Decaluwé

Getting to know UAG Tom Decaluwé
WSV404 DirectAccess Server (Server 2008 R2) DirectAccess Client (Windows 7) Internet Native IPv6 6to4 Teredo IP-HTTPS Tunnel over IPv4 UDP, HTTPS,

WSV404 DirectAccess Server (Server 2008 R2) DirectAccess Client (Windows 7) Internet Native IPv6 6to4 Teredo IP-HTTPS Tunnel over IPv4 UDP, HTTPS,
Ing. Ondřej Ševeček | GOPAS a.s. | MCM: Directory Services | MVP: Enterprise Security | Certified Ethical Hacker | |

Ing. Ondřej Ševeček | GOPAS a.s. | MCM: Directory Services | MVP: Enterprise Security | Certified Ethical Hacker | |
Gavin Carius Architect Microsoft Services SVR311.

Gavin Carius Architect Microsoft Services SVR311.
70-284 MCSE Guide to Microsoft Exchange Server 2003 Administration Chapter Four Configuring Outlook and Outlook Web Access.

MCSE Guide to Microsoft Exchange Server 2003 Administration Chapter Four Configuring Outlook and Outlook Web Access.
Federation and Federated Identity: Part 2 Building Federated Identity Solutions with Forefront Unified Access Gateway (UAG) and ADFS v2 John Craddock Infrastructure.

Federation and Federated Identity: Part 2 Building Federated Identity Solutions with Forefront Unified Access Gateway (UAG) and ADFS v2 John Craddock Infrastructure.
Miha Pihler MCSA, MCSE, MCT, CISSP, Microsoft MVP

Miha Pihler MCSA, MCSE, MCT, CISSP, Microsoft MVP

Similar presentations

Ads by Google