Где должен находиться TS Gateway?


 

В Windows Server 2008 появилась новая роль – TS Gateway предназначенная для организации доступа к ресурсам корпоративной сети по протоколу RDP over HTTPS. До появления этой роли защитить RDP трафик передаваемый по общедоступным каналам Интернета было не просто. Настройка публикации внутренних терминальных серверов требовала понимания сути вопроса http://www.isaserver.org/tutorials/Publishing-Remote-Desktop-Web-Connection-Sites-ISA-Firewall-Part1.html и не решала вопрос безопасности. Самый надежный вариант – настроить IPSec и пропустить трафик через него – в настройке и сопровождении был далеко не самым простым. (Пример http://system-administrators.info/?p=2094 )Наиболее доступным вариантом было настроить удаленный доступ через VPN, а RDP пропускать уже внутри него.

Появление TS Gateway сильно упростило задачу: пользователь подключается к TS Gateway обычным браузером, а RDP трафик инкапсулируется и передается по протоколу HTTPS в зашифрованном виде.

Теперь администратору нужно только решить как наилушим образом расположить сервер TS Gateway, который с одной стороны должен быть доступен извне корпоративной сети, а с другой иметь доступ к ресурсам корпоративной сети (домен контроллеры, терминальные серверы и т.д.).

Вариант 1. Классический вариант – расположить TS Gateway в DMZ.

clip_image002

Условия. У вас есть DMZ и есть внутренний и внешний корпоративные фаэволы.

Достоинства. При правильной настройке и применении активных средств фильтрации трафика обеспечивает наибольшую безопасность.

Недостатки. Сложная архитектура требующая настройки целого ряда устройств. Ошибка в настройке или баг в любом звене приводит к отказу сервиса.

Применение. Имеет смысл использовать в крупных корпоративных сетях, когда есть средства предотвращения атак, активной фильтрации трафика на вирусы и т.п., средства мониторинга и контроля – без всего этого DMZ превращается в формальность.

Вариант 2. Расположить TS Gateway за одним фаэрволом

clip_image004

Условия. Фаэрвол должен быть и должен уметь обеспечивать доступ к внутренним серверам (публикация).

Достоинства. Простота реализации. Архитектура соответствует построению сети во многих малых и средних предприятиях.

Недостатки. При компрометации сервера TS Gateway вся сеть оказывается под ударом.

Применение. Учитывая чрезвычайно узкую дорожку к TS Gateway – только порт 443 – можно считать этот вариант наиболее практичным – достаточно безопасным, простым и удобным для большинства внедрений. При аккуратной настройке фаэрвола, сервера TS Gateway и защите его антивирусом (системой безопасности) – безопасность решения значительно возрастает при небольших затратах ресурсов.

Вариант 3. Расположить TS Gateway за фаэрволом ISA или TMG

clip_image006

Условия. Наличие ISA или TMG.

Достоинства. Простота реализации. Архитектура соответствует построению сети во многих малых и средних предприятиях. Полное централизованное управление.

Недостатки. При компрометации сервера TS Gateway вся сеть оказывается под ударом. ISA имеет некоторые ограничения (снятые в TMG).

Применение. Это частный случай предыдущего варианта, поэтому его можно считать также наиболее практичным – достаточно безопасным и удобным для большинства внедрений. С учетом того, что TMG имеет возможности по активной фильтрации трафика, его применение значительно повышает безопасность .

Вариант 4. Использовать TS Gateway с двумя интерфейсами и встроенным фаэрволом

clip_image008

Условия. На сервере должно быть две сетевые карты, включен и настроен встроенный фаэрвол. Выделенный внешний адрес для сервера TS Gateway.

Достоинства. Простота реализации. Независимость от других фаэрволов в сети. Полное централизованное управление.

Недостатки. При компрометации сервера TS Gateway вся сеть оказывается под ударом.

Применение. Еще недавно такой вариант был бы утопией, но роль TS Gateway работает на Windows Server 2008 и Windows Server 2008 R2, которые имеют мощный встроенный фаэрвол. Встроенный фаэрвол можно гибко централизованно настроить через групповые политики или локально на сервере TS Gateway. При необходимости можно выполнить тонкую настройку TCP/IP стека для защиты от DoS-атак. Если удалить с сервера TS Gateway все лишние роли и фичи, следить за установкой обновлений, настроить IIS по руководствам безопасности, защитить сервер антивирусом (системой безопасности) – в общем настроить TS Gateway сервер так как положено грамотному администратору, то этот вариант размещения TS Gateway становится вполне безопасным и практичным.

Вариант 5. Размещение TS Gateway в сети Интернет и использование IPSec для доступа в корпоративную сеть

clip_image010

Условия. Корпоративный фаэрвол должен уметь пропускать IPSec трафик или терминировать его. Корпоративная инфраструктура должна поддерживать IPSec. Выделенный внешний адрес для сервера TS Gateway.

Достоинства. Полное централизованное управление. Возможность удаленного размещения сервера TS Gateway.

Недостатки. Достаточно сложный вариант. При компрометации сервера TS Gateway вся сеть оказывается под ударом.

Применение. Фактически это разновидность предыдущего варианта, пригодная для досточно больших сетей, где внедрен и работает IPSec, возможно даже IPv6, что даже проще. Необходимость туннелирования трафика сводит на нет достоинства – гороздо проще внедрить DirectAccess для клиентов, чем изобретать велосипед. Тем не менее вариант реализуем и работоспособен. Этот вариант позволяет нам разместить сервер TS Gateway удаленно, например, на площадке провайдера, где нет прямого доступа в корпоративную сеть.

Дополнение ко всем вариантам. TS Gateway поддерживает технологию NAP (Network Access Protection). Если NAP внедрен в корпоративной сети, то единственное, что требуется администратору, это включить поддержку NAP на сервере TS Gateway и обеспечить доступ к серверу NAP. Схематически NAP сервер располагается аналогично внутренним терминальным серверам, к которым обеспечивает доступ сервер TS Gateway.

Заключение. В зависимости от вашей конкретной ситуации вы можете подобрать наиболее подходящий вариант размещения сервера TS Gateway из рассмотренных вариантов или их модификаций.

Источник: TS Gateway Step-by-Step Guide

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: