Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Смерть VPN Актуальные базы 2GIS в форматах CSV,Excel,SQL
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Смерть VPN

07.08.2010

Технология VPN (virtual private network) в свое время была восхитительно инновационной для удаленной сетевой работы; эта технология позволяет пользователям удаленно подключаться к частной локальной сети через Интернет вместо того, чтобы напрямую подключаться к серверу удаленного доступа. Создавая зашифрованный туннель, VPN обеспечивала способ удаленного взаимодействия с публичной сетью. Однако у традиционной VPN есть несколько недостатков: она может работать довольно медленно и неравномерно для пользователей, а в некоторых сетях (например, в сетях отелей) вообще блокируется VPN-трафик.

DirectAccess - новая технология в Windows Server 2008 R2 и в клиенте Windows 7, служащая тем же целям, что и VPN, но без недостатков, часто вмешивавшихся в настройку и пользование VPN-соединениями. DirectAccess отказывается от использования VPN протоколов - PPTP и L2TP. Она использует IPsec/IPv6 для создания защищенного прямого соединения между удаленным компьютером и локальной сетью организации. В нашей статье мы поближе познакомимся с этой восхитительной сетевой технологией: как она работает, что вам нужно для ее использования и в чем ее преимущества для вашей организации.
Как она работает

DirectAccess опирается на два проявивших себя интернетовских стандарта: IPv6 и IPsec. IPsec используется для аутентификации и пользователя, и компьютера. Таким образом обеспечивается дополнительная надежность, а также позволяет управлять компьютером, даже если пользователь не вошел в систему. IPsec также шифрует данные, отправляемые по DirectAccess соединению, используя AES или 3DES. Если вы знакомы с IPSeс, вы знаете, что он может работать в двух режимах: в транспортном (от узла к узлу) и в туннельном. Туннельный режим IPSec давно стал альтернативой созданию VPN. В туннельном режиме данные и IP-заголовки шифруются и инкапсулируются в новый IP-пакет с новым заголовком.

Однако в прошлом использование IPSec для VPN вызывало кое-какие проблемы, как с точки зрения пользователя, так и с точки зрения управляемости. Работа с ним не была простой для пользователя, а администраторы не могли управлять компьютером, пока пользователь не подключиться вручную к VPN шлюзу.

В DirectAccess туннели IPSec создаются между клиентом и сервером. И хотя трафик в туннеле использует IPv6, он может перемещаться и по Интернету с IPv4. Затем DirectAccess сервер дает клиенту доступ к корпоративной локальной сети. В действительности устанавливается два туннеля, причем оба используют протокол Encapsulating Security Payload (ESP): один из туннелей работает только с сертификатом компьютера, а второй работает и с сертификатом компьютера, и с авторизационными данными пользователя. Первый туннель предоставляет клиентскому компьютеру доступ к DNS-серверу и контроллеру домена. Второй аутентифицирует пользователя и дает ему доступ к серверам приложений, например, Exchange, и к другим ресурсам локальной сети. Сервер DirectAccess работает как шлюз IPSec или как конечная точка туннельного режима.
Что вам потребуется

Для установки DirectAccess в вашей сети должны присутствовать:
Сервер DirectAccess под Windows Server 2008 R2
Сервер DirectAccess, который должен иметь как минимум две сетевые карты: одна должна быть подключена к Интернету и иметь как минимум два последовательных IPv4-адреса, и одна должна быть подключена к внутренней сети
Контроллер домена и сервер DNS под Windows Server 2008 SP2 или R2
Клиентские компьютеры под Windows 7 (Enterprise edition или Ultimate edition)
Public Key Infrastructure (PKI) с центром сертификации для издания сертификатов

Вам также нужно будет воспользоваться специальными технологиями (например, Teredo и 6to4) на сервере DirectAccess, чтобы позволить пакетам IPv6 перемещаться по IPv4-сетям.

В DirectAccess информационная безопасность поддерживается через IPsec способами end-to-end и end-to-edge. Способ end-to-end обеспечивает наивысший уровень безопасности, но при этом требует от серверов приложений, чтобы те работали под Windows Server 2008 или 2008 R2. Способ end-to-edge может использоваться с любым сервером приложений, работающим с IPv6.

Замечание: вам также стоит обратить внимание на аппаратные требования, так как шифрование IPSec может оказаться требовательным к ресурсам процессора. Это относится не столько к клиентским компьютерам, сколько к серверам DA, обрабатывающим большое число IPSec-соединений, так что для них вам понадобится высокопроизводительные процессоры и/или какое-нибудь решение вроде сетевых компонентов от Intel, отправляющих вычисления для шифрования на контроллер локальной сети. Распределение IPSec-нагрузки между устройствами может значительно увеличить производительность.
Преимущества DirectAccess

Вам, наверное, интересно, что при текущих требованиях к установке дает DirectAccess, почему вам нужно менять проверенные VPN-решения на него. Вот некоторые преимущества DirectAccess:

Дружественность к пользователю: когда пользователи подключаются к VPN, они должны предпринять некоторые шаги для установления соединения, затем дождаться аутентификации, проверки состояния и т.д. Если подключение к Интернету срывается, для переустановки соединения требуется снова проходить все эти процедуры. С DirectAccess установка соединения намного более проста. Это «постоянно включенное» соединение, устанавливаемое автоматически при соединении с Интернетом. Пользователи могут подключаться, даже находясь за брандмауэром. Пользовательская конфигурация обеспечивается через групповую политику, поэтому отдельно взятому пользователю не нужно заботиться об установке и настройке.


Простота в управлении: сетевые администраторы могут управлять клиентами DA даже в случае, если пользователь не зашел в систему, пока компьютер подключен к Интернету. Вы можете контролировать удаленные компьютеры, устанавливать обновления и т.д. Установка на серверах DA очень проста при использовании мастера DirectAccess.


Надежность: IPSec-аутентификация и шифрование обеспечивают надежность соединения, а для еще большего увеличен6ия надежности DA поддерживает аутентификацию с помощью смарт-карт и интегрируется с функцией Network Access Protection (NAP), так что вы можете быть уверены в том, что все клиенты, подключенные к серверу DA, будут удовлетворять политике организации в области надежности (антивирусы, обновления и т.д.). Сервер DA может предоставлять как полный доступ к внутренней сети, так и накладывать ограничения на использование серверов и приложений пользователями.


Скорость: при использовании DirectAccess пользователям не нужно ждать установки VPN, что могло бы занимать от нескольких секунд до нескольких минут, и производительность работы в Интернете не падает, как в случае с VPN, когда трафик и внутренней сети, и Интернет-трафик шли через VPN.
Опора на политики: Политики DirectAccess для пользователей, серверов приложений, контроллеров доменов, серверов DNS и для IPSec-шлюза настраиваются с помощью мастера DirectAccess. Все эти политики могут изменяться в соответствии с необходимостью.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Прочее
Опубликовал: superhacker
Просмотров: 7696
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Самозащита от вируса Petya
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Ищу работу » Re: взлом почты на майле
  • Разное / Ищу работу » Re: Взлом емейлов, вконтакте, одноклассники
  • Разное / Ищу работу » Re: Взлом почты mail.ru, yandex.ru, rambler, gmail
  • Разное / Ищу работу » Re: Качественный подбор паролей к почтам. Работаем с 2011 го...
  • Разное / Ищу работу » Re: Взлом ВКонтакте на заказ. Взлом почты на заказ.
  • Интернет / Разное » SOCKS 4/5, HTTPS прокси сервис - proxybuy
  • Программирование / WEB Design » Уроки по JavaScript для начинающих
  • Разное / Ищу работу » Re: Прогон 7ым XRumerоm по форумам, блогам, гостевым. ru и e...
  • Разное / Ищу работу » Re: взлом почты на майле
  • Разное / Предложения работы » Нужен способ заработка, майнинга

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}