Comments 43
UFO just landed and posted this here
По-моему, как-то неконструктивно. Пока речь шла фактически об IPv4 и IPv6, а это все RFC.
В чем смысл вообще заморачиваться с опенвпн если в винде есть искаропки впн? Вот это действительно костыль. А DirectAccess по-моему очень удобная технология хотя бы уже тем, что не надо пациентам рассказывать вот, мол, щелкните сначала вот этот значочек чтоб подключиться к интернету, потом вот этот чтоб подключиться к сети компании, потом введите логин и пароль, причем не свои, а от впн…
UFO just landed and posted this here
Конечно можно. только вот сравни трудозатраты на подключение клиента с впн штатными средствами винды и с помощью опенвпн.
для опенвпн — запустить инсталл, а потом распаковать три файлика.
> да этого нет в коробке винды.
Да ладно? Аутентификацию по сертификатам не проходили еще? Групповыми политиками подключения не создавали? Никогда не настраивали клиентские компьютеры централизованно?
Юзер вообще может не знать, что он подключается к какому-то там VPN. А добиться такой прозрачности с применением DA бесконечно проще — вообще никак не надо настраивать клиентский компьютер. VPN становится не нужен.
Да ладно? Аутентификацию по сертификатам не проходили еще? Групповыми политиками подключения не создавали? Никогда не настраивали клиентские компьютеры централизованно?
Юзер вообще может не знать, что он подключается к какому-то там VPN. А добиться такой прозрачности с применением DA бесконечно проще — вообще никак не надо настраивать клиентский компьютер. VPN становится не нужен.
майкрософт переименовала IPSec. это для них типично.
но почему vpn и маршрутизацию принципиально невозможно настроить?
но почему vpn и маршрутизацию принципиально невозможно настроить?
Майкрософт не переименовывала IPSec, в документации прямо указано что эта технология используется как часть решения DirectAccess. Если для MS типично переименовывать общепринятые протоколы — потрудитесь предоставить примеры, пожалуйста.
Принципиально можно настроить и vpn, и маршрутизацию, и на любой платформе, о чем спор?
Другое дело что тут это делается в несколько кликов, все это тесно интегрируется с уже настроенными NAP. Видно все что открыто и кому из одного места (UAG). За пару минут добавляется мониторинг для новой технологии через OpsMgr.
Никто не спорит что все можно сделать на не-MS. Но насколько удобно это получится и сколько будет затрачено времени?
Принципиально можно настроить и vpn, и маршрутизацию, и на любой платформе, о чем спор?
Другое дело что тут это делается в несколько кликов, все это тесно интегрируется с уже настроенными NAP. Видно все что открыто и кому из одного места (UAG). За пару минут добавляется мониторинг для новой технологии через OpsMgr.
Никто не спорит что все можно сделать на не-MS. Но насколько удобно это получится и сколько будет затрачено времени?
UFO just landed and posted this here
в случае поднятия простейшего интернет-шлюза — windows-server тупо дольше устанавливается (по крайней мере 2003, более поздние версии не ставил). конечно, если вам нужен контроллер домена, то в линуксе вам нужно точно знать, что вы делаете. Не гроворю, что в виндовс не нужно знать ничего, но средневзвешенный админ на винде поднимет контроллер домена, наверное, быстрее.
в случае поднятия простейшего интернет-шлюза — ставится коробка от Cisco и настраивается за 5 минут.
Да если бы только контроллер домена, он ведь ставится для чего-то. Простейший случай — централизованное управление аккаунтами пользователей, администрирование пользовательских рабочих мест, запрет/разрешение пользования разными информационными ресурсами, автоматизация рутины. Я думаю нет сомнения в том, на какой платформе это быстрее реализуется. И дело тут не в квалификации админа, а в том что майкрософт достаточно много внимания уделяет взаимодействию собственных продуктов и их работе «из коробки».
Спор ни о чём. Я просто спросил автора первого коментария, да видать промахнулся кнопкой, коментарий получился верхнего уровня.
Разумеется майкрософт ничего не переименовывала прямо. Майкрософт часто берёт какую-то технологию, заворачивает в новую обёртку и даёт громкое название. Из примеров сейчас вспомнил «Web folders».
Разумеется майкрософт ничего не переименовывала прямо. Майкрософт часто берёт какую-то технологию, заворачивает в новую обёртку и даёт громкое название. Из примеров сейчас вспомнил «Web folders».
дело в том что когда инфраструктура уже работает долгие годы — что-то менять иногда себе дороже. а автоподнятия VPN при появлении связи — например на шлюзе филиала с центральным офисом — у майкрософта не было до этого момента, нужно было писать скрипты или ставить специально обученного человека.
> а автоподнятия VPN при появлении связи у майкрософта не было
Было, есть и будет есть. Обычнейшее on-demand подключение на сервере RRAS. В настройках запрещаем отключаться при простое, пусть остается подключенным вечно. Связь оборвалась — подключение упало. Связь появилась — курим до тех пор, пока подключение не требуется. Как только стало нужно — поднялось. Всё делается в три щелчка, какие еще специально обученные скрипты?
Было, есть и будет есть. Обычнейшее on-demand подключение на сервере RRAS. В настройках запрещаем отключаться при простое, пусть остается подключенным вечно. Связь оборвалась — подключение упало. Связь появилась — курим до тех пор, пока подключение не требуется. Как только стало нужно — поднялось. Всё делается в три щелчка, какие еще специально обученные скрипты?
Как сисадмину мне интересно, как администратор локальной сети может запретить directaccess (как клиентов) с машин своей сети. Достаточно ли для этого запретить Teredo и IPV6 на firewall-e?
DA умеет через HTTPS ходить. Так что…
А зачем вам это делать?
Если вы хотите держать свою сеть под контролем: устанавливайте настройки машин с помощью групповых политик, проверяйте соответствие с помощью NAP.
Если вы хотите обезопаситься от слива информации — отключите интернет, или разрешите обращения лишь к особо определнным сайтам и проверяйте трафик. Туннели есть и такие что в icmp-пингах прячуться.
И вообще, в наше время наивно делать различия в плане безопасности между внутренней и внешней сетью. Большинство угроз сейчас приходит как раз из внутренней сети. Снаружи то что — DMZ, Firewall уровня приложений и пробиваться к вам извне станет уже нецелесообразно. А изнутри: флешки, подкупленные сотрудники (занесшие трояна/слившие инфу), некомпетентные/не соблюдающие политики сотрудники (wi-fi роутер в корп сети, пароль типа 12Октября, клиент для удаленного управления из дома, и т.д.)
Если вы хотите держать свою сеть под контролем: устанавливайте настройки машин с помощью групповых политик, проверяйте соответствие с помощью NAP.
Если вы хотите обезопаситься от слива информации — отключите интернет, или разрешите обращения лишь к особо определнным сайтам и проверяйте трафик. Туннели есть и такие что в icmp-пингах прячуться.
И вообще, в наше время наивно делать различия в плане безопасности между внутренней и внешней сетью. Большинство угроз сейчас приходит как раз из внутренней сети. Снаружи то что — DMZ, Firewall уровня приложений и пробиваться к вам извне станет уже нецелесообразно. А изнутри: флешки, подкупленные сотрудники (занесшие трояна/слившие инфу), некомпетентные/не соблюдающие политики сотрудники (wi-fi роутер в корп сети, пароль типа 12Октября, клиент для удаленного управления из дома, и т.д.)
Могу просто обьяснить: мне не нравится автоматичность этого действия. Излишняя автоматичность небезопасна — пример тому автостарт с флешек. Я ожидаю следующий сценарий: компьютер несведующего в компьютерах специалиста
(например эстрадного певца) устанавливает такое (вообще говоря не нужное ему) соединение с домашней сетью, полной вредносного ПО. ПО получает сетевой канал внутрь управляемой мной сетки.
Вижу такое решение:
— ipv6 запретить
— Teredo запретить
— https требует ручной авторизации на прокси.
(например эстрадного певца) устанавливает такое (вообще говоря не нужное ему) соединение с домашней сетью, полной вредносного ПО. ПО получает сетевой канал внутрь управляемой мной сетки.
Вижу такое решение:
— ipv6 запретить
— Teredo запретить
— https требует ручной авторизации на прокси.
Может вы тогда хотите отключить еще и групповые политики и утилиты командной строки? :)
То что DA можно настроить без ведома пользователя, не значит что он может настроится без ведома администратора. Хотя конечно если в сети каждый пользователь обладает правами администратора, а каждый третий имеет свой домен… но в таком случае у вас уже не в DA проблема :)
Соединение с домашней сетью через DA пользователь не установит — для DA требуется инфраструктура, поднимать которую админам домашних сетей не надо/не хватит квалификации. В частности — AD.
Если у вас пользователи могут устанавливать всё что захотят, вам стоит опасаться не технологий помогающих администратору, а вредоносного ПО. Пользователь скорее установит троян использующий любой доступный порт/прокси для открытия канала к хозяину, чем «ВНЕЗАПНО подхватит DA» :)
То что DA можно настроить без ведома пользователя, не значит что он может настроится без ведома администратора. Хотя конечно если в сети каждый пользователь обладает правами администратора, а каждый третий имеет свой домен… но в таком случае у вас уже не в DA проблема :)
Соединение с домашней сетью через DA пользователь не установит — для DA требуется инфраструктура, поднимать которую админам домашних сетей не надо/не хватит квалификации. В частности — AD.
Если у вас пользователи могут устанавливать всё что захотят, вам стоит опасаться не технологий помогающих администратору, а вредоносного ПО. Пользователь скорее установит троян использующий любой доступный порт/прокси для открытия канала к хозяину, чем «ВНЕЗАПНО подхватит DA» :)
Эх…
Вы придумываете совершенно от балды примеры, на которые еесстественно нормального ответа нет.
Теперь по порядку:
а) если вы развертываете DA, значит вам это нужно и вы понимаете КТО и КУДА будет иметь доступ. Можно, конечно, развернуть DA на все машины в домене, но тогда нефиг сомневаться.
б) если вы решили что у человека должен быть доступ к домену через DA, то почему его машина должна быть как решето, что оказавшись в абстрактной «домашней» сети она сразу заразится сто-тыщ мильёнами зловредов? Между прочим DA как поможет с этим бороться, оставляя связь с WSUS и т.п. даже за пределами сети организации.
в) как вам xaegr правильно говорит — NAP.
г) DA можно настроить что стартовать будет только со вставленной смарт-картой, т.е. человек захотел порно посмотреть дома — пожалуйста, захотел поработать — воткнул СК — пожалуйста.
А вообще вы хернёй страдаете, вам предлагают ДА чтобы не надо было устанавливать соединение, так вы хотите наоборот, что бы надо было руками устанавливать соединение.
И да, сервер DA любой юзверь может поднять, ага.
Вы придумываете совершенно от балды примеры, на которые еесстественно нормального ответа нет.
Теперь по порядку:
а) если вы развертываете DA, значит вам это нужно и вы понимаете КТО и КУДА будет иметь доступ. Можно, конечно, развернуть DA на все машины в домене, но тогда нефиг сомневаться.
б) если вы решили что у человека должен быть доступ к домену через DA, то почему его машина должна быть как решето, что оказавшись в абстрактной «домашней» сети она сразу заразится сто-тыщ мильёнами зловредов? Между прочим DA как поможет с этим бороться, оставляя связь с WSUS и т.п. даже за пределами сети организации.
в) как вам xaegr правильно говорит — NAP.
г) DA можно настроить что стартовать будет только со вставленной смарт-картой, т.е. человек захотел порно посмотреть дома — пожалуйста, захотел поработать — воткнул СК — пожалуйста.
А вообще вы хернёй страдаете, вам предлагают ДА чтобы не надо было устанавливать соединение, так вы хотите наоборот, что бы надо было руками устанавливать соединение.
И да, сервер DA любой юзверь может поднять, ага.
>Можно легко столкнуться с программами, которые не работают или криво работают через NAT
а уж сколько программ, которые не работают или криво работают через IPv6, и вообще не говорить не стоит
а уж сколько программ, которые не работают или криво работают через IPv6, и вообще не говорить не стоит
Если у меня ноут с виндой, не введённой в домен, смогу я на нём настроить доступ через DA? Если да — то каким образом происходит аутентификация? Если ноут украдут и снимут пароль какой-нить тулзой, и включат, то подключится ли он автоматически к корпоративной сети?
Что делает в корпоративной сети компьютер не введенный в домен?
DA разумеется не будет работать без AD, это как вы заметели было бы совершенно небезопасно. technet.microsoft.com/ru-ru/library/ee382305(WS.10).aspx
DA разумеется не будет работать без AD, это как вы заметели было бы совершенно небезопасно. technet.microsoft.com/ru-ru/library/ee382305(WS.10).aspx
Sign up to leave a comment.
DirectAccess в Windows 7. Часть1