Где должен находиться TS Gateway?

 

В Windows Server 2008 появилась новая роль – TS Gateway предназначенная для организации доступа к ресурсам корпоративной сети по протоколу RDP over HTTPS. До появления этой роли защитить RDP трафик передаваемый по общедоступным каналам Интернета было не просто. Настройка публикации внутренних терминальных серверов требовала понимания сути вопроса http://www.isaserver.org/tutorials/Publishing-Remote-Desktop-Web-Connection-Sites-ISA-Firewall-Part1.html и не решала вопрос безопасности. Самый надежный вариант – настроить IPSec и пропустить трафик через него – в настройке и сопровождении был далеко не самым простым. (Пример http://system-administrators.info/?p=2094 )Наиболее доступным вариантом было настроить удаленный доступ через VPN, а RDP пропускать уже внутри него.

Появление TS Gateway сильно упростило задачу: пользователь подключается к TS Gateway обычным браузером, а RDP трафик инкапсулируется и передается по протоколу HTTPS в зашифрованном виде.

Теперь администратору нужно только решить как наилушим образом расположить сервер TS Gateway, который с одной стороны должен быть доступен извне корпоративной сети, а с другой иметь доступ к ресурсам корпоративной сети (домен контроллеры, терминальные серверы и т.д.).

Вариант 1. Классический вариант – расположить TS Gateway в DMZ.

Условия. У вас есть DMZ и есть внутренний и внешний корпоративные фаэволы.

Достоинства. При правильной настройке и применении активных средств фильтрации трафика обеспечивает наибольшую безопасность.

Недостатки. Сложная архитектура требующая настройки целого ряда устройств. Ошибка в настройке или баг в любом звене приводит к отказу сервиса.

Применение. Имеет смысл использовать в крупных корпоративных сетях, когда есть средства предотвращения атак, активной фильтрации трафика на вирусы и т.п., средства мониторинга и контроля – без всего этого DMZ превращается в формальность.

Вариант 2. Расположить TS Gateway за одним фаэрволом

Условия. Фаэрвол должен быть и должен уметь обеспечивать доступ к внутренним серверам (публикация).

Достоинства. Простота реализации. Архитектура соответствует построению сети во многих малых и средних предприятиях.

Недостатки. При компрометации сервера TS Gateway вся сеть оказывается под ударом.

Применение. Учитывая чрезвычайно узкую дорожку к TS Gateway – только порт 443 – можно считать этот вариант наиболее практичным – достаточно безопасным, простым и удобным для большинства внедрений. При аккуратной настройке фаэрвола, сервера TS Gateway и защите его антивирусом (системой безопасности) – безопасность решения значительно возрастает при небольших затратах ресурсов.

Вариант 3. Расположить TS Gateway за фаэрволом ISA или TMG

Условия. Наличие ISA или TMG.

Достоинства. Простота реализации. Архитектура соответствует построению сети во многих малых и средних предприятиях. Полное централизованное управление.

Недостатки. При компрометации сервера TS Gateway вся сеть оказывается под ударом. ISA имеет некоторые ограничения (снятые в TMG).

Применение. Это частный случай предыдущего варианта, поэтому его можно считать также наиболее практичным – достаточно безопасным и удобным для большинства внедрений. С учетом того, что TMG имеет возможности по активной фильтрации трафика, его применение значительно повышает безопасность .

Вариант 4. Использовать TS Gateway с двумя интерфейсами и встроенным фаэрволом

Условия. На сервере должно быть две сетевые карты, включен и настроен встроенный фаэрвол. Выделенный внешний адрес для сервера TS Gateway.

Достоинства. Простота реализации. Независимость от других фаэрволов в сети. Полное централизованное управление.

Недостатки. При компрометации сервера TS Gateway вся сеть оказывается под ударом.

Применение. Еще недавно такой вариант был бы утопией, но роль TS Gateway работает на Windows Server 2008 и Windows Server 2008 R2, которые имеют мощный встроенный фаэрвол. Встроенный фаэрвол можно гибко централизованно настроить через групповые политики или локально на сервере TS Gateway. При необходимости можно выполнить тонкую настройку TCP/IP стека для защиты от DoS-атак. Если удалить с сервера TS Gateway все лишние роли и фичи, следить за установкой обновлений, настроить IIS по руководствам безопасности, защитить сервер антивирусом (системой безопасности) – в общем настроить TS Gateway сервер так как положено грамотному администратору, то этот вариант размещения TS Gateway становится вполне безопасным и практичным.

Вариант 5. Размещение TS Gateway в сети Интернет и использование IPSec для доступа в корпоративную сеть

Условия. Корпоративный фаэрвол должен уметь пропускать IPSec трафик или терминировать его. Корпоративная инфраструктура должна поддерживать IPSec. Выделенный внешний адрес для сервера TS Gateway.

Достоинства. Полное централизованное управление. Возможность удаленного размещения сервера TS Gateway.

Недостатки. Достаточно сложный вариант. При компрометации сервера TS Gateway вся сеть оказывается под ударом.

Применение. Фактически это разновидность предыдущего варианта, пригодная для досточно больших сетей, где внедрен и работает IPSec, возможно даже IPv6, что даже проще. Необходимость туннелирования трафика сводит на нет достоинства – гороздо проще внедрить DirectAccess для клиентов, чем изобретать велосипед. Тем не менее вариант реализуем и работоспособен. Этот вариант позволяет нам разместить сервер TS Gateway удаленно, например, на площадке провайдера, где нет прямого доступа в корпоративную сеть.

Дополнение ко всем вариантам. TS Gateway поддерживает технологию NAP (Network Access Protection). Если NAP внедрен в корпоративной сети, то единственное, что требуется администратору, это включить поддержку NAP на сервере TS Gateway и обеспечить доступ к серверу NAP. Схематически NAP сервер располагается аналогично внутренним терминальным серверам, к которым обеспечивает доступ сервер TS Gateway.

Заключение. В зависимости от вашей конкретной ситуации вы можете подобрать наиболее подходящий вариант размещения сервера TS Gateway из рассмотренных вариантов или их модификаций.

Источник: TS Gateway Step-by-Step Guide

Реклама

SharePoint в SharePoint Designer-е :-)

 

Перед прядущим выходом новой волны продуктов SharePoint 2010 появляются сообщения в блогах разработчиков с описанием новшеств. Ценность каких публикаций в том, что описываются идеи заложенные в новые продукты.Это позволяет точно понимать для чего создан продукт, что он может, а чего в нем нет. Вот перевод такой статьи из блога разработчиков SharePoint Designer 2010 Putting the SharePoint in SharePoint Designer.

_____

Те кто уже давно с нами одной упряжке, знают, что SharePoint Designer (SPD)  берет начало от продукта под названием FrontPage.  Результатом такого происхождения было то, что SPD был целиком ориентирован на редактирование вэб-страниц с добавлением некоторых фич для SharePoint-а.  В SPD 2010 мы значительно расширили интерграцию с SharePoint-ом и  сфокусировались на единообразном предоставлении фичей SharePoint-а продвинутым пользователям и разработчикам. SharePoint всегда служил демократизации вэб-разработки – думайте о SPD как дополнительном шаге к этой цели.

Figure 1 Новый дизайн SPD больше сфокусирован на объектах SharePoint и меньше на файловой структуре и редактировании страниц

 

Когда вы думаете о демократизации, несколько слов приходит в голову: информированность, доступность и полезность. Если вы IT профессионал, то некоторые другие слова могут придти вам в голову:  безопасность, поддержка, унификация и, осмелюсь сказать, управляемость. Когда мы начинали этот проект, то вложили эти слова в наши сердца.  Мы были более успешными в достижении одних целей, чем других, но позвольте внести ясность: мы понимали, что это не очень хорошая идея просто дать каждому Тому, Дику, Джейн простой и мощный инструмент для построения приложений и надеяться, что они будут работать с кучей приложений.

Мы начнем с точки зрения IT:

·         Безопасность. Совместная работа это одна из самых мощных возможностей SharePoint-а, но она часто накладывает ограничения на то, что пользователи могут делать с системой. «Совместная» природа системы означает, что пользователи не могут добавлять мощный код на стороне сервера. В  новой версии мы предлагаем User Solutions – серверный контейнер (server sandbox) позволяющий пользователям загружать свой код или код третьих фирм для выполнения своих сценариев работы, который будет выполняться как изолированный процесс. Более того IT имеют контроль над ресурсами контейнера и его содержимым, создавая приемлемый уровень комфорта при его работе.

·         Поддержка. История показывает, что когда вы передаете SPD пользователям, несмотря на их наилучшие намерения, пользователи что-то да сломают. Как результат это приводит к звонкам в тех.поддержку. Новый SPD сделан безопасным по умолчанию (Safe by Default). Пользователи не могут редактировать главную страницу (master page) или   content place holder  и вывести из строя весь сайт! Эта мощная IT фича, которая требует детального рассмотрения в отдельной статье блога, но ее суть в том, что пользователи не могут просто открыть узел и разрушить его даже не поняв, что они что-то изменили.

·         Унификация. Благодаря тому, что мы ввели блокировку возможностей SPD, IT могут теперь контролировать какие шаблоны, главные страницы и стили могут быть использованы в их организациях. Это позволяет проще добиться соответствия сайтов корпоративным стандартам.

·         Управляемость. В новой версии SPD мы не только улучшили «поддерживаемость» SPD (Safe by Default), но мы дали IT простой, детальный контроль над тем, кто может использовать SPD и в какой части их фермы.

Теперь когда вы знаете, что IT собираются «благословить» использование SPD, давайте рассмотрим аспекты демократизации вэб-разработки для конечного пользователя – информируемость, доступность и полезность.

·         Информируемость. Мы можем реализовать абсолютно все мировые достижения в SPD, но они бесполезны, если пользователи не знают о их существовании. Чтобы решить эту проблему и поднять эффективность работы, мы указали линки на SPD в интерфейсе SharePoint-а. С помощью этих линков  мы значительно уменьшили сложность использования SPD для редактирования конретных аспектов сайтов SharePoint-а. Суть в том, что пользователь просто нажимает кнопку в браузере и в SPD открывается нужное место. В следующих статьях мы рассмотрим все эти линки подробно, а сейчас просто посмотрите как это выглядит на рисунке. Да, эти линки на SPD отображаются только, если пользователь имеет соответствующие права – помните что я сказал в разделе «Управляемость»?

 

Figure 2 Контекстные ссылки появляются в интерфейсе браузера, указывая на SPD. Например, нажатие на Modify in SharePoint Designer  откроет в SPD текущий сайт и страницу для редактирования текущего списка. Теперь проще добавить условное форматирование и т.п.

·         Доступность. Многие из вас не знают, что SPD существует, еще меньшее число знает, чем он может помочь вашей организации имеющей SharePoint. Существуют две основные причины недостаточной информированности: 1. Из-за стоимости SPD многие организации предпочли ограничить его закупки, 2. Многие IT подразделения ограничили использование SPD в их сетях. Мы хорошо поработали над новой версией SPD, чтобы исключить эти факторы ограничивающие доступ пользователей к SPD.

1.       FREE! Да, вы правильно поняли –  теперь SPD абсолютно бесплатен для загрузки!

2.       Safe by Default. Безопасный по умолчанию. В новой версии пользователям очень трудно «подстрелить» себя. В будущих статьях мы рассмотрим это, но сейчас достаточно сказать, что SPD требует явных разрешений на модификацию страниц!

Figure 3 Новая оболочка отображает всю информацию относящуюся к объектам SharePoint. Например, на этой  list settings page для текущего списка отображаются общие настройки, формы, рабочие процессы и т.п. Все это легко редактируется из Ленты.

Дополнительно в новой оболочке мы создали некоторые фичи, которые делают SPD более полезным для IWs (Information workers):

·         Рабочие процессы были очень существенно улучшены в новом редакторе (Figure 4), сделаны повторно используемые Рабочие процессы, добавлены новые мощные предустановленные Рабочие процессы.

Figure 4 Рабочие процессы теперь можно создавать в SPD более легко и гибко. Лента и другие фичи нового интерфейса помогут в этом

·         XSLT list views еще одно значительное новшество. XSLT list views теперь являются представлением списков по умолчанию. Это означает, что разработчики теперь должны изучить единственную технологию для работы со списками! Такая стандартизация позволяет нам предложить несколько замечательных фич, например, Push Button Styles, которая позволяет настраивать стили и условное форматирование нажатием одной кнопки.Конечно мы посвятим одну или две статьи этой теме.

Я надеюсь, вы получили удовольствие, читая о большом наборе новых фич в выходящей версии SPD.  И мы бы хотели, чтобы вы вскоре вернулись и прочитали об этих и других новых фичах более детально. Напоследок позвольте донести до вас такую мысль: в новой версии мы много вложили в IWs , чтобы дополнить  фичи предлагаемые дизайнерам и разработчикам . Еще вы увидите удивительные вещи в предстоящих версиях Visual Studio и  Expressions как то интеграция с SPD и со всеми новшествами в SharePoint. В ближайшие месяцы ищите статьи в блогах на эти темы.

Signing off for now –

Todd Haugen (SPD GPM)

Интересные факты о пиратстве

 

Аccоциация производителей программного обеспечения Business Software Alliance (www.bsa.org) периодически публикует отчеты об использовании пиратского программного обеспечения в мире.

Чтобы объективно оценить цифры отчета и признать их фактами нужно хорошо знать методику оценки и иметь результаты аудита. Ни того не другого мы не имеем. Поэтому приходится «верить на слово» и верить авторитету авторов исследования. Недавние банкроства «столпов» мировой экономики показали, что очень «солидные» дяди надувают мыльные пузыри и дурят своих клиентов. Очивидно, что подобные отчеты неизбежно становятся аргументами в экономических и политических спорах на очень высоком уровне. Более того известно, что кто платит, тот и заказывает музыку. Поэтому наивно ожидать от них полной объективности. Тем не менее интересно почитать и поспорить J

Отчеты за 2008 год можно найти тут http://global.bsa.org/globalpiracy2008/index.html

Интересные факты:

68% программного обеспечения, установленного на персональные компьютеры в России в 2008 году, было нелицензионным, что на 5% ниже, чем в 2007 году. Финансовые потери производителей программного обеспечения в России от использования пиратской продукции выросли на 2%, составив 4.2 миллиарда долларов США.

Такая позитивная тенденция радует. Хотя не секрет, что она достигается в основном за счет крупных компаний, которым (1) есть что терять, у которых (2) есть деньги. В какой-то момент этот ресурс будет исчерпан и центр тяжести перейдет в другую сферу.  Какую?  В отчете прямо указано, что самый высокий уровень пиратства приходится на малые и средние предприятия.  

Другой позитивный фактор снижения пиратства – это появление «цивилизованных» способов распространения программного обеспечения. Прежде всего речь идет о предустановке программного обеспечения на новые компьютеры. Действительно сейчас не часто встретишь  в продаже настольный компьютер без наклейки типа «Windows Home» или «Linux», про ноутбуки и нетбуки и  говорить нечего.

Про влияние мирового кризиса на уровень пиратства ничего толком не сказано – ждите отчета за 2009 год. Упомянуто лишь, что существуют факторы, которые могут привести как к увеличению пиратства, так и к его снижению. Собственно если учесть что мировой кризис случился для всех кроме России, которая из кризиса не вылезает уже лет 25, то  у меня есть основания надеяться, что положительная тенденция по снижению пиратства в России сохранится и в этом году.

Вернемся к малому бизнесу. Возникает вопрос, что предложат компании производители программного обеспечения и государство мелким и средним предприятиям, для того чтобы способствовать снижению пиратства в этом сегменте. Если крупные предприятия способны переварить переход на лицензионное программное обеспечение под давлением государства  хотя бы по этапам, то мелкие и средние предприятия в большинстве своем не имеют  «финансового жирка», который можно пустить на легализацию программного обеспечения, и при жесткой политике государства сверху начнется «партизанская» война в форме «откатов» снизу. Кто-то сомневается? J

Напрашивается вывод: государство обречено искать другие способы снижения пиратства. В то том числе оказать давление на производителей программного обеспечения. А почему нет? В ЕС такое активно практикуется – защищаются и регулируют рынок!

В отчете упомянуто, что цены не являются основным фактором пиратства. Видимо вывод сделан на основе анализа пиратства в достаточно богатых странах. Для нас ценовой вопрос , я думаю, остается первостепенным: мы все же живем на рубли, а не на евро или доллары, и разница в уровне жизни ощутимая. Так что для нас снижение цен реальный фактор снижения пиратства. (Ну или зеркальное решение: вывод оборотов предприятий малого и среднего бизнеса на европейский уровень и зарплат соответственно тоже J)

Хочется надеятся, что государство будет не только «шашкой махать», а предложит экономические методы по развитию софтверного производства в России и, как следствие, торговли в этой сфере. В это слабо верится, когда у нас никакое производство не развивается, но без собственной индустрии нам «не жить» и не легализовать программное обчеспечение в малом и среднем бизнесе. Получается, что сейчас давление на Россию в вопросе снижения пиратства может дать импульс развитию промышленного производства. Главное, чтобы  «этузиазм» чиновников не зашкалило.

Еще один фактор упомянутый в отчете и  влияющий на распространение пиратства – рост доступности Интернета. В отчете правда нет обоснования этому. С одной стороны чем больше людей подключится к Интернету, тем больше возможностей у них получить пиратское программное обеспечение. Но с другой стороны Интернет наполнен бесплатным программным обеспечением на все случаи жизни: найди, установи и пользуйся совершенно законно.

 

Вот еще интересные факты:

Уровень компьютерного пиратства в Украине в 2008 году вырос на 1% и составил 84%, что соответствует уровню 2006 года.

Страны с самым низким уровнем компьютерного пиратства остались прежними, как и в 2007 году: США (20%), Люксембург (21%), Новая Зеландия (22%), Япония (21%). При этом, несмотря на снижения уровня компьютерного пиратства в США на 1%, потери правообладателей выросли до 9 млрд. долларов.

Если принять что Украина это маленькая «модель» России, то это очень огорчительный факт: и у нас процесс может пойти в обратную сторону. С другой стороны «радует», что хоть тут мы не на первом месте. Впрочем Ураина тоже не на первом J. Кстати значительный уровень пиратства на Украине и Грузии (92%!!! Больше чем в Китае!) не помеха для «сближения» с Западом. Вот вам и политика…

Ну а по 20% пиратского программного обеспечения в США и в Японии это вообще!…  И это «минимум» среди стран с так называемым «цивилизованным» рынком!  — а в других «развитых» странах еще хуже. Как говорится: «А судьи кто?». Кстати по США мне попадались отчеты с гораздо более «пиратскими» процентами.

Заключение. Самый главный вывод, который я сделал для себя: у нас есть хороший потенциал для развития софтверной индустрии, который складывается из пустой ниши собственного производства и позитивного давления из вне.