Что может дать DirectAccess пользователям Windows 7? Опции

[NewsBot]

Удаленную схему работы можно считать одним из современных трендов. Достаточно часто специалисты, которые немного приболели, не вызывают врача и не берут больничный, а остаются на пару дней работать дома. Кроме того, многие менеджеры, находясь в командировке, тем не менее, должны читать корпоративную почту, писать отчеты и пр. Помимо всего прочего, некоторые компании по тем или иным причинам...

Читать статью на CNews

Работает со всеми фаерволами + -

С помощью DirectAccess устанавливается защищенное двунаправленное соединение с использованием протоколов IPv6 и IPSec.

Хм... как-то одно с другим не вяжется.. да и IPv6 с IPSec это, вроде как, немножко из разных опер (даже OSI layer разный)

Гостовское шифрование не поддерживается, оси, отличные от W7/2008, -- тоже. Можно закапывать.

Гостовское шифрование не поддерживается

И хорошо... Шифрование - не тушонка, я как слышу про "соответствие - так и настораживаюсь... Меньше всего на свете государство заинтересовано в неприкосновенности моей информации.

Гостовское шифрование не поддерживается

И хорошо... Шифрование - не тушонка, я как слышу про "соответствие - так и настораживаюсь... Меньше всего на свете государство заинтересовано в неприкосновенности моей информации.

По ГОСТ все-же лучше, чем по ТУ. :D

И все-таки государство выбирает стандарт шифрования, не для того что-бы было легче его читать, а прямо с противоположными целями.

anushri государство устанавливает ГОСТЫ не для себя, а для нас... И решает при этом совсем не задачу защиты своей инфы, а как раз таки задачу доступа к нашей. Оно правильно делает - мало ли что мы задумаем. Но и мы правильно действуем - мало ли что ему хочется. Мораль автономна - правда у каждого своя.

anushri государство устанавливает ГОСТЫ не для себя, а для нас... И решает при этом совсем не задачу защиты своей инфы, а как раз таки задачу доступа к нашей. Оно правильно делает - мало ли что мы задумаем. Но и мы правильно действуем - мало ли что ему хочется. Мораль автономна - правда у каждого своя.

Совершенно неправы... Мы в отличие от государства можем выбирать, как шифровать свою информацию... Хоть по ГОСТ РФ, хоть по US, а можно по любому другому, алгоритмы многих хорошо описаны и давно реализованы.

Мы в отличие от государства можем выбирать, как шифровать свою информацию... Хоть по ГОСТ РФ, хоть по US

Это только до тех пор, пока мы шифруем как физичекские лица - и как частные корпорации для внутрикорпоративных нужд. А как только начинается коммерческая коммуникация с потребителями или даже просто передача личных данных - тут-то мы и попали на ГОСТ, будь он неладен.

Правда, формально ограничение обходится двойной защитй: сначала шифруем по ГОСТу, затем - дополнительно для надёжности нестандартно шифруемся от самого государства, или наоборот. Для Закона нестандартно защищённая инфа - просто незащищённая, а защищённая стандартно - защищённая, даже если предварительно защищена нестандартно.

Ага. Обматываем причинный орган изолентой, а свеху надеваем презерватив по ГОСТ-у. Государство меж тем блокирует поставки девайсов типа Cisco ASA с приличным шифрованием...

Ага. Обматываем причинный орган изолентой, а свеху надеваем презерватив по ГОСТ-у. Государство меж тем блокирует поставки девайсов типа Cisco ASA с приличным шифрованием...

В чём проблема?! Откроет сиська, как МС, исходники IOS для сертификации -- будут сиськи работать. Или там таки есть что скрывать?

К тому же, если Вы знаете сиськинские роадмапы, Вы понимаете, что как магистральные маршрутизаторы они уже не нужны, и фирма по сути дела меняет профиль деятельности...

А приличное шифрование и ко вьятте привинитим, и всё будет чики-пуки... (Правда, документация у вьятты -- это такоооое говнооооооо... )

не забываем про получение лицензии на обслуживание оборудования с шифрованием, либо заключение договора, на обслуживание этого оборудования, с конторой, у которой есть лицензия.

некоторые плюсы и минусы в табличке от МС выглядят не однозначно.

Сообщение отредактировал Grimnir - 26.11.2010, 14:54

DirectAccess vs. VPN
Особенность Direct Access OpenVPN

Компьютер клиента подключается автоматически + + ( легко прописать в автозагрузку)
Работает со всеми фаерволами + + ( кто то запрещает использовать TCP порт 443)
Поддерживает выборочную аутентификацию и шифрование + + ( таб маршрутизации на клиенте в конфиге)
Поддерживает управление клиентскими ПК + - ( в каждой ОС своё уд управление )
Совместим с Windows Vista и более ранними версиями Windows, установленными на клиентских ПК - +
Поддерживает работу с другими ОС - +
Работает с ПК, не связанными с сервером - +
Не требует установки Windows Server 2008 на сервер - +

или OpenVPN и не VPN вовсе ?

Сообщение отредактировал arsis - 29.11.2010, 2:37

Поддерживает управление клиентскими ПК + - ( в каждой ОС своё уд управление )

А какое управление клиентскими ПК VPN не поддерживает? 0о

или OpenVPN и не VPN вовсе ?

Для мелкомягких точно не одно и то же
У них до сих пор нужно жать "Установить соединение", как и 10 лет назад :-:

Гостовское шифрование не поддерживается, оси, отличные от W7/2008, -- тоже. Можно закапывать.

неправда ваша.
или вы этим никогда не занимались и не являетесь экспертом или намеренно вводите в заблуждение всех.
CryptoPro дополнения для ОС Microsoft были всегда, что нормально, поскольку она имеет львиную долю рынка.
Есть и другие компании которые наоборот предоставляют такие алгоритмы, которые непроходили сертификацию в государственных органах.

Далее - встроенную поддержку IPv6 имеет действительно WS 2008. Если системы к которым подключается удалённое устройство с Windows 7 (Корпоративная) другие - они не могут уже адекватно реагировать на запросы на новом для них протоколе (это скорее недостаток их, чем достоинство). Архитектрура решения позволяет обойти эти ограничения и для доступа к серверам WS2003\ Linux использовать к примеру аппаратный гейт IPv4 \ IPv6 или на границе сети ставить Microsoft Unified Access Gateway - в итоге IPv6 нужно будет с устройства только до него прокидывать - внутри сети компании - ничего не изменится. Microsoft UAG также может быть дополнен необходимыми алгоритмами по российскому ГОСТ.

И ещё. Direct Access начинает установку соедениения со своими управляющими серверами ещё до входа пользователей в систему, таким образом настройки заданные для этого ПК или пользователя уже будут применены в момент его регистрации. DA может быть настроен как "включен всегда" - без нажатия каких либо кнопок со стороны пользователя - он вообще прозрачен для него.

неправда ваша.
или вы этим никогда не занимались и не являетесь экспертом или намеренно вводите в заблуждение всех.

Занимаюсь бизкими вещами, сертификацией в частности.

CryptoPro дополнения для ОС Microsoft были всегда, что нормально, поскольку она имеет львиную долю рынка.
Есть и другие компании которые наоборот предоставляют такие алгоритмы, которые непроходили сертификацию в государственных органах.

А КриптоПро к DA привинчивается?

Далее - встроенную поддержку IPv6 имеет действительно WS 2008. Если системы к которым подключается удалённое устройство с Windows 7 (Корпоративная) другие - они не могут уже адекватно реагировать на запросы на новом для них протоколе (это скорее недостаток их, чем достоинство). Архитектрура решения позволяет обойти эти ограничения и для доступа к серверам WS2003\ Linux использовать к примеру аппаратный гейт IPv4 \ IPv6 или на границе сети ставить Microsoft Unified Access Gateway - в итоге IPv6 нужно будет с устройства только до него прокидывать - внутри сети компании - ничего не изменится. Microsoft UAG также может быть дополнен необходимыми алгоритмами по российскому ГОСТ.

Получается многокомпонентная солянка -- а с помощью дополнительного шлюза можно реализовать практически вообще что угодно в любом варианте решения, так что это не преимущество МС.

Преимущество будет у того решения, в котором МС не стоит голым фейсом к Интернету (так как вменяемому клиенту надо работать, а не заниматься гамма-тестированием микрософтовских комбайнов и не набирать статистику для разработчиков антивирусов). В таком случае придётся пробрасывать DA по OpenVPN или сиське, что по сути делает DA бесмысленным.

А КриптоПро к DA привинчивается?

Некорректный вопрос. Дополнительные модули от КриптоПро ставятся (привинчиваются) на ОС. Поэтому я его перефразирую:
А будет работать DA именно на нужных алгоритмах если система модифицированна надстройками от КриптоПро?
Сам я не пробовал. Думаю будет работать. По крайней мере DA может "заруливать" трафик через TLS, а TLS-то сделать по ГОСТ не проблема.
Поэтому ни вы, ни я на 100% не знаем что DA на ГОСТовых алгоритмах работать не будет.
Собственно ваш однозначный комментарий и побудил меня начать дискуссию.

К слову, я думаю, что КриптоПро - как никто другой заинтересован чтобы DA работал ;)

Получается многокомпонентная солянка -- а с помощью дополнительного шлюза можно реализовать практически вообще что угодно в любом варианте решения, так что это не преимущество МС.
Преимущество будет у того решения, в котором МС не стоит голым фейсом к Интернету (так как вменяемому клиенту надо работать, а не заниматься гамма-тестированием микрософтовских комбайнов и не набирать статистику для разработчиков антивирусов). В таком случае придётся пробрасывать DA по OpenVPN или сиське, что по сути делает DA бесмысленным.

С моей точки зрения MIcrosoft + Open VPN + Cisco + AV software + 3rd party management system и есть "многокомпонентная солянка". Неповоротливый и трудно управляемый (по части интеграции) и дорогой.

Выставлять WS с DA в инет и обслуживать только запросы удалёных Win7 - глупо и малоэффективно. Ибо:
- сотрудники не смогут работать на отличных от доменных Windows 7 ноутов
- в случае выхода его из строя - нарушается ключевое правило DA - "всегда включен"
- сам WS не предназначен для работы "голым фейсом" (мне понравилось выражение) в Инете (хотя может)

Решением этих и других задач и занимается программный шлюз - Microsoft UAG. Он же и рекомендован к использованию в этих конфигурациях как полноценный МЭ с возможностью управления и контроля удалённых устройств.

Идея DA в том что это встроенное решение (за которое уже заплатили в рамках лицензии ОС), которое обеспечивается поддержкой производителя, которое может быть использовано совместно с другими встроенными же компонентами платформы Microsoft (групповые политики, режим NAT, Bitlocker, Advanced Firewall, PowerShell), а управлять им ( и другими компонентами) может тот же Windows Admin.

В "многокомпонентной солянке" о которой говорил я требования к знаниям, квалификации support team ( я уже не говорю об архитекторе который сделает проект или будет придумывать как его изменять потом) совершенно иные, а значит и риски.

Сейчас кстати - очень мало внедрений DA. На мой взляд это связано с тем что
- ИТ-стафф не успевает или не хочет учить матчасть (ибо некогда, ибо лень, ибо вообще не нужно удалённый доступ довать, поскольку в компании нет ноутов, например)
- требуются серьёзные знания IPv6, которыми админы Windows не обладают (и не должны скорее всего). Причем, ладно с внутренней сетью (как я говорил: поставил UAG на входе и внутри оставил IPv4), но прежде всего подключения IPv6 с внешней стороны.

Спасибо за статью. Надо будет постестировать это дело... Имхо, удаленная работа - очень перспективное направление. С уважением, Евгений.

Не стоит нарушать Правила, ссылка приведённая Вами, никакого отношения к обсуждаемой теме не имела.

Сообщение отредактировал julius - 27.2.2011, 9:54