VPN (англ. Virtual Private Network «виртуальная частная сеть») — это распространенный способ предоставить безопасный доступ к ресурсам пользователям, которые находятся за периметром вашей рабочей сети. И поскольку все больше сотрудников переводят на работу из дома, организации должны предоставлять эффективный, но безопасный удаленный доступ.
Microsoft Windows и Windows Server поддерживают различные технологии VPN. Наиболее продвинутыми являются DirectAccess и Windows 10 Always On VPN. В этой статье рассматриваются преимущества Always On VPN по сравнению с DirectAccess и инфраструктура, необходимая для развертывания Always On VPN.
Windows 10 «Always On VPN» приходит на замену Microsoft DirectAccess
Microsoft DirectAccess — это технология, подобная VPN, которая без проблем работает для конечных пользователей. Это гарантирует, что клиентские компьютеры всегда подключены к корпоративной сети. Но в отличие от традиционных VPN, пользователям не нужно устанавливать соединение с сервером с помощью клиента.
DirectAccess впервые появился в Windows Server 2008 R2 для Windows 7 и Windows 8 Enterprise SKU. Microsoft не взял на себя обязательство расширять поддержку DirectAccess по окончанию жизненного цикла Windows Server 2019, и говорит, что Windows 10 «Always On VPN» следует использовать в качестве замены DirectAccess.
Windows 10 «Always On VPN»
«Always On VPN» обладает всеми функциями DirectAccess, но легче во внедрении, управлении и значительно безопаснее. «Always On VPN» поддерживает такие функции, как условный доступ и проверки работоспособности системы с использованием Network Policy Server (NPS). Существует интеграция с Windows Hello for Business и Azure Multifactor Authentication и многое другое.
Как работает Windows 10 «Always On VPN»?
Always On VPN — это технология только для Windows 10. Требуется Windows 10 Anniversary Update (версия 1607) или новее. Но в отличие от DirectAccess, Always On VPN поддерживается в Pro, Enterprise и других SKU Windows 10. Устройства Windows 10 не нужно подключать к Windows Server Active Directory (AD), но чтобы в полной мере использовать расширенные функции Always-ON VPN, устройства должны быть подключены к Azure AD.
Независимая инфраструктура
Отличительной особенностью Always On VPN является то, что она не использует Windows Server в качестве устройства VPN. Организации могут использовать Windows Server Routing and Remote Access (RRAS) или стороннее решение VPN. Обязанности аутентификации могут управляться сервером политики сети Windows Server (NPS) или сторонним продуктом RADIUS.
Устройство VPN, будь то Windows Server RRAS или сторонний продукт, должно поддерживать маршрутизацию IKEv2 и LAN. Как следует из названия, Always On VPN может поддерживать постоянное соединение между клиентами и корпоративной сетью. IKEv2 может автоматически восстанавливать соединение, если происходит прерывание сетевого соединения. Но недостатком IKEv2 является то, что он может быть заблокирован брандмауэрами. Клиентам VPN требуется исходящий доступ через порты 500 и 4500 UDP.
Резерв SSTP
Always On VPN предназначен для работы с IKEv2. Но протокол защищенного туннелирования сокетов (SSTP) может быть настроен как резервный протокол в случаях, когда клиенты не могут подключиться к устройству VPN с использованием IKEv2. SSTP передает протокол «Point-to-Point» (PPP) через защищенный канал, используя порт TCP 433. Это тот же порт, который используется для HTTPS, поэтому он всегда открыт для исходящих сообщений на брандмауэрах.
Но на практике использование SSTP в качестве резервного протокола с Always On VPN работает не очень хорошо. SSTP не так безопасен, как IKEv2. И Always On VPN не поддерживает Device Tunnel при использовании с SSTP. Кроме того, стандартным поведением, когда VPN-клиенты настроены на автоматический выбор протокола VPN, является использование SSTP.
Управление
Always On VPN разработан для управления с помощью Mobile Device Management (MDM), в частности Microsoft Intune. Но можно использовать сторонние платформы MDM или Microsoft Endpoint Configuration Manager, ранее известный как System Center Configuration Manager (SCCM). Невозможно управлять Always On VPN с помощью групповой политики Active Directory.
Расширенные возможности
Есть некоторые дополнительные расширенные функции, которые вы можете использовать с Always On VPN.
- Фильтрация трафика
- VPN, запускаемый приложением
- Условный доступ и соответствие устройств
VPN Traffic Filters определяют, какие приложения Windows 10 clients могут получать доступ с помощью Always On VPN. Политики маршрутизации являются детальными и позволяют организациям контролировать каким образом бизнес-приложения подключаются к корпоративной сети. IPv4 и IPv6 оба поддерживаются. Нет особой зависимости от IPv6, которая была бы требованием для Microsoft DirectAccess. VPN Traffic Filters включают правила для приложений и трафика.
VPN, запускаемый приложениями, использует профили VPN для запуска соединения только при запуске определенных приложений или типов приложений. Условный доступ и соответствие устройств могут быть развернуты для того, чтобы требовать от устройств, управляемые вашей организацией, соответствия определенным требованиям. Для условного доступа требуется Azure Active Directory Premium.
Есть много и других улучшений, включающие обнаружение доверенной сети и туннель устройства. Обнаружение доверенной сети предотвращает подключение VPN, если устройство находится в доверенной корпоративной сети. Туннель устройства позволяет Windows 10 устанавливать VPN-соединение до входа пользователя. Туннель пользователя и туннель устройства настраиваются с использованием независимых профилей VPN и могут быть подключены одновременно.
Полный список улучшений в Windows 10 Always On VPN можно найти на веб-сайте Microsoft здесь .
Windows 10 Always On VPN идеально подходит для работы из дома
Always On VPN — хороший вариант для организаций, которые хотят, чтобы их сотрудники работали дома. Он более безопасен, чем устаревшие решения VPN, не требует от пользователей «устанавливать» соединения вручную, им легче управлять, чем DirectAccess, и он более надежен при плохих сетевых подключениях. Организации также могут использовать Always On VPN со сторонним VPN-устройством, если оно соответствует некоторым основным требованиям.
Но если вы хотите, чтобы пользователи могли работать из любого места, например, из кафе или гостиничного номера, то резервный вариант SSTP далеко не идеален. Надеемся, что Microsoft решит некоторые проблемы с Always On VPN в будущих версиях Windows 10. Но сейчас, прежде чем принимать решение, тщательно продумайте свои цели и сработает ли использование двух протоколов Always On VPN для вашей организации.