Rambler's Top100
Статьи
Дмитрий КОСТРОВ  27 ноября 2024

«Удаленка». Технические аспекты

Рассмотрим, как организации, которая продолжает использовать программные продукты Microsoft, целесообразнее обеспечивать непрерывный и безопасный удаленный доступ к своим информационным ресурсам, чтобы в дальнейшем уменьшить проблемы, возникающие в процессе импортозамещения.

Написать данное эссе (будем так называть этот материал) меня побудили приближение 1 января 2025 г. и Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» – документ, который вводит строгие требования по укреплению информационной безопасности для целого ряда организаций. 

Многие обеспокоены тем, что с 1 января 2025 г., согласно п. 6 этого указа, в силу вступает запрет на использование средств защиты информации, разработанных в недружественных странах, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними. С перечнем недружественных стран можно ознакомиться в Распоряжении Правительства РФ от 05.03.2022 № 430-р. Но тут-то как раз все понятно.

Здесь же хочу рассмотреть вопрос гарантии непрерывного доступа, включая удаленный, ко всем информационным ресурсам, которыми владеет или которые использует организация, в том числе обладающая объектами критической информационной инфраструктуры (КИИ), которые не подлежат категорированию либо отнесены к незначимым (это объекты КИИ, при категорировании которых было принято решение об отсутствии необходимости присвоения им одной из категорий значимости, либо объекты КИИ, не участвующие в автоматизации критических процессов и соответственно не подлежащие категорированию). Это касается тех ресурсов, доступ к которым осуществляется через сеть интернет и необходим для проведения мониторинга в соответствии с п. 5 Указа № 250, т.е. Федеральной службе безопасности Российской Федерации:

«б) определить переходный период, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах органов (организаций) на основании заключенных с Федеральной службой безопасности Российской Федерации (Национальным координационным центром по компьютерным инцидентам) соглашений о сотрудничестве (взаимодействии) в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

в) определить порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих органам (организациям) либо используемых ими, и осуществлять такой мониторинг».

В настоящее время многие компании до сих пор эксплуатируют экосистему от компании Microsoft и для удаленного доступа используют:
  • Direct Access (DA);
  • Always On VPN;
  • VPN c «терминацией» на межсетевом экране (МЭ) и даже на пограничном маршрутизаторе.
Беглый обзор DirectAccess

DirectAccess много лет назад представлялся как легкий метод подключения клиентов к корпоративным сетям без установки VPN (Virtual private network). С тех пор Microsoft разработала новые сетевые возможности для улучшения работы пользователей и предлагает заменить DirectAccess на более современное решение. Согласно официальной документации, Microsoft рекомендует перейти с DirectAccess на Always On VPN: «DirectAccess устарел и будет удален в будущих выпусках Windows. Мы рекомендуем переходить с DirectAccess на Always On VPN».

С момента появления Windows Server 2012 в сентябре 2012 г. в DirectAccess не было добавлено никаких новых функций или возможностей. В Windows Server 2016 единственным реальным изменением, помимо исправления ошибок DirectAccess, является удаление поддержки интеграции Network Access Protection (NAP). Очевидно, что Microsoft больше не инвестирует в DirectAccess. Новые функции, представленные в Windows 10 Anniversary Update, позволяют ИТ-администраторам настраивать автоматические профили VPN-подключений. Это Always On VPN, который, подобно DirectAccess, обеспечивает поддержку протоколов VPN удаленного доступа, таких как IKEv2, SSTP и L2TP/IPsec. 

Тем не менее многие компании продолжают использовать DA. Рассмотрим кратко, как он работает.

DA не требует от удаленного клиента пользователя никаких дополнительных действий. Туннель между клиентом и сервером DirectAccess устанавливается автоматически. По сути, устанавливаются два туннеля: один – для аутентификации компьютера, второй – для аутентификации пользователя. 

Все время, пока есть связь с интернетом и существует туннель, клиентский компьютер доступен для управления со стороны компании, т.е. ИТ-подразделения, что позволяет «рулить клиентом». Обычно при установке VPN-соединения меняется адрес шлюза по умолчанию, и весь трафик направляется на VPN-сервер, а уже оттуда в интернет или в корпоративную сеть. Используются три технологических решения: 
  1. Протокол IPv6 для связи DA-клиента с DA-сервером и компьютерами корпоративной сети. 
  2. Протокол IPSec поверх IPv6 для защищенной передачи данных через интернет / корпоративную сеть.
  3. Таблица политики разрешения имен (Name Resolution Policy Table, NRPT) для корректного разрешения внутренних (корпоративных) и внешних имен. При этом DA требует наличия настроенного протокола IP версии 6 как минимум на DA-клиентах и DA-серверах. 
Достоинства и недостатки Always On VPN

Always On VPN имеет несколько важных преимуществ по сравнению с DirectAccess, но также имеет серьезные ограничения.

Преимущества:
  • поддержка некорпоративных клиентских SKU Windows 10 (Windows 10 Home и Professional);
  • поддержка детального управления сетевым доступом;
  • возможность использовать как IPv4, так и IPv6;
  • независимость от инфраструктуры. Помимо того, что поддерживается Windows RRAS (Routing and Remote Access Service, служба маршрутизации и удаленного доступа — интерфейс программирования приложений и серверное ПО компании Microsoft, которое позволяет создавать приложения, обеспечивающие маршрутизацию в сетях IPv4 и IPv6, а также взаимодействие между удаленными пользователями и сайтами посредством подключений виртуальной частной сети (VPN) или удаленного доступа), есть возможность использовать любое стороннее сетевое устройство, например от Cisco, Checkpoint, Juniper, Palo Alto, SonicWALL, Fortinet и др.
Недостатки:
  • работает только с Windows 10 и выше, не поддерживается для Windows 7;
  • Always On VPN нельзя управлять изначально с помощью Active Directory и групповой политики. Его необходимо настраивать и управлять им с помощью Microsoft Intune (Microsoft Intune — это единое облачное решение для управления конечными точками. Этот инструмент управляет доступом пользователей к ресурсам организации и упрощает управление приложениями и устройствами на многочисленных устройствах, включая мобильные устройства, настольные компьютеры и виртуальные конечные точки). В качестве альтернативы можно использовать Microsoft System Center Configuration Manager (SCCM) или PowerShell.
Сопоставление Always On VPN и DirectAccess

DirectAccess обеспечивает полное сетевое подключение, когда клиент подключен удаленно. У него нет собственных функций для управления доступом на разделяемой, так называемой гранулярной (детализированной) основе. Можно ограничить доступ к внутренним ресурсам, разместив брандмауэр между сервером DirectAccess и локальной сетью, но политика будет применяться ко всем подключенным клиентам. Always On VPN уже может включать поддержку тонкой фильтрации трафика. В то время как DirectAccess обеспечивает доступ ко всем внутренним ресурсам при подключении, Always On VPN позволяет администраторам ограничивать доступ клиентов к внутренним ресурсам различными способами. Кроме того, политики фильтрации трафика могут применяться на уровне пользователя или группы. Например, пользователям из юридического отдела может быть предоставлен доступ только к их серверам. То же самое можно сделать для отделов кадров, финансов, бухгалтерии, ИТ и других.

DirectAccess включает поддержку надежной аутентификации пользователей с помощью смарт-карт и одноразовых паролей (OTP). Однако предоставление доступа на основе конфигурации или работоспособности устройства не предусмотрено, поскольку эта функция была удалена в Windows Server 2016 и Windows 10. Кроме того, DirectAccess требует, чтобы клиенты и серверы были присоединены к домену, поскольку все параметры конфигурации управляются с помощью групповой политики Active Directory. Always On VPN включает поддержку современной аутентификации и управления, что обеспечивает большую безопасность. Клиенты Always On VPN могут быть присоединены к Azure Active Directory, а также может быть включен так называемый условный доступ. Поддерживается современная аутентификация с использованием Azure MFA и Windows Hello для бизнеса. Always On VPN управляется с помощью таких решений Mobile Device Management (MDM), как Microsoft Intune.

DirectAccess использует IPsec с IPv6, который должен быть инкапсулирован в TLS для маршрутизации через общедоступный интернет IPv4. Затем трафик IPv6 транслируется в IPv4 на сервере DirectAccess. Если качество соединения удовлетворительное или плохое, высокие накладные расходы DirectAccess с его несколькими уровнями инкапсуляции и трансляции часто снижают производительность. 

Протоколом безопасности Always On VPN в Windows 10 является IKEv2 — один из популярных VPN-протоколов, имеющихся в нашем распоряжении. В его основе лежит принцип создания ассоциации безопасности (SA) между двумя частями сети для обеспечения безопасного соединения. Вместе с IKEv2 всегда используется набор протоколов сетевой безопасности IPSec, поэтому более точно его можно называть IKEv2/IPSec, хотя часто название сокращают до просто IKEv2. Он обеспечивает лучшую безопасность и производительность по сравнению с протоколами на основе TLS. Кроме того, Always On VPN не полагается исключительно на IPv6, как DirectAccess. Это исключает множество уровней инкапсуляции и устраняет необходимость в сложных технологиях перехода и трансляции IPv6, что еще больше повышает производительность по сравнению с DirectAccess.

Так как DirectAccess – проприетарное решение Microsoft, оно развертывается с использованием Windows Server и Active Directory. Также требуется сервер сетевого расположения (NLS) для клиентов, чтобы определить, находятся они внутри или снаружи сети. Доступность NLS имеет решающее значение, и обеспечение его постоянной доступности для внутренних клиентов может представлять трудности, особенно в крупных организациях. Инфраструктура поддержки Always On VPN гораздо менее сложна, чем DirectAccess. NLS не требуется, что означает меньшее количество серверов для предоставления, управления и мониторинга. Кроме того, Always On VPN полностью независим от инфраструктуры и может быть развернут с использованием сторонних VPN-серверов таких производителей как Cisco, Checkpoint, SonicWALL, Palo Alto и др.

Always On VPN – это путь в будущее для многих компаний, использующих ПО Microsoft. Он лучше обеспечивает общую безопасность, чем DirectAccess, лучше работает, его проще поддерживать и управлять им. Однако многие отмечают сложность его настройки. Отвечу: набирайте высококлассных ИТ-специалистов, и проблем не будет. 

VPN c терминацией на межсетевом экране

А теперь вспомним «старый добрый» VPN/ВЧС, который терминируется на межсетевых экранах. Терминирование на маршрутизаторах тут рассматривать не будем – это «не секьюрно». Обычно используются две настройки: или в самой ОС настраивается VPN, или устанавливается клиент. 

Для работы или личного использования вы можете подключиться к виртуальной частной сети на компьютере с Windows. Перед подключением к сети VPN необходимо настроить профиль VPN на своем компьютере: добавить имя подключения, имя/адрес сервера, тип VPN (автоматический, IKEv2, SSTP, L2TP/IPsec с сертификатом, L2TP/IPsec с общим ключом, протокол PPTP), тип данных для входа (имя/пароль, смарт-карта, одноразовый пароль, сертификат). L2TP (протокол туннелирования уровня 2) — это протокол туннелирования, используемый при создании VPN-соединений. При этом он обеспечивает только туннелирование, т.е. группирование данных в пакеты для их конфиденциальной передачи через общедоступные сети. Для выполнения функций VPN он использует IPsec с возможностями шифрования и обеспечения конфиденциальности. Протокол PPTP (Point-to-Point Tunneling Protocol, протокол туннелирования «точка – точка») – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol, SSTP) был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами. SSTP использует SSL v.3.

При установке агента для работы с межсетевым экраном все проще. Установите клиента, настройте профиль и укажите сервер, к которому производится подключение. И все. 😊 

На межсетевом экране (не буду приводить его название, но отечественный) в базовых настройках нужно прописать: сеть для VPN-соединения, подключение по PPTP/IKEv2IPsec, домен, (возможно подключение по SSTP или L2TP/IPsec). Также можно подключить двухфакторную аутентификацию (TOTP-токен, SMS Aero и российского провайдера МФА).

С учетом того, что процесс импортозамещения сейчас медленно, но идет, от продуктов компании Microsoft придется каким-то образом избавляться. Поэтому интересным и логичным будет выбор поставщика межсетевого экрана с предоставлением агентов. Это упростит саму связь между удаленными пользователями и решит проблему импортозамещения. И в конце концов решит проблему непрерывного удаленного доступа ко всем информационным ресурсам, которыми владеет или которые использует организация, в том числе обладающая объектами критической информационной инфраструктуры.

Дмитрий Костров, заместитель генерального директора по информационной безопасности, ООО «ИЭК ХОЛДИНГ»
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!