Windows Server 2008 TS Gateway

29 ביולי 2007

3 תגובות
בהמשך לפוסט על מה חדש ב Windows Server 2008 Terminal Server ובהמשך לפוסטים על RemoteApps ו- Session Broker, המשך של סקירת ה feature-ים החדשים לעומק.
 
אז אחרי ה RemoteApps וה Session Broker הגיע זמנו של ה TS Gateway לקבל את הסקירה שלו…
ה TS Gateway הוא למעשה מאין Proxy המאפשר התחברות ב rdp לשרתים בתוך הרשת הארגונית וזאת ע"י גישה בפורט 443 (https) ולא ע"י גישה ב rdp סטנדרטי (3389) מה שמאפשר למעשה למשתמשים להתחבר בצורה מאובטחת ומוצפנת לשרתים ברשת הארגונית מכל מקום בו פתוח אותו הפורט של https (והסיכוי שהוא יהיה פתוח הוא גדול יותר מאשר ש rdp יהיה פתוח) ללא צורך ה vpn client או פתרונות מורכבים אחרים. New Picture (1)
למעשה מי שמכיר את התחום יימצא לוודאי דמיון ל Citrix Secure Gateway אשר עושה את אותו העניין בדיוק, העברת ICA על גבי https.
אז כן, ה TS Gateway לא מביא איזה בשורה וטכנולוגיה מרעישה חדשה, אבל הוא עושה את העבודה שלשמה הוא קיים, העברת rdp על גבי https בצורה חלקה ויותר מזה, הוא כולל בתוכו יכולות נוספות, כמו רשימת המשתמשים שיכולים ליצור connection דרך ה TS Gateway לרשת הארגונית, לאיזה שרתים הם יכולים לגשת, לראות את המשתמשים המחוברים לרשת דרך ה TS Gateway, לוגים לגבי התחברות המשתמשים ועבודה עם NAP (או Network Access Protection) אשר מאפשר להגדיר "דרישות סף" לכניסה לרשת, למשל עדכינותם של עידכוני האבטחה המותקנים על התחנה, תוכנות מסוימות, הגדרות מחשב מיוחדות ועוד.
 
ה TS Gateway הוא role השייך לקבוצת ה Terminal Service Roles אבל זה לא אומר שה TS Gateway יהיה גם Terminal Server, מה שאומר ששרת ה TS Gateway איננו חלק מחוות ה TS של הארגון, לרוב ה TS Gateway יישב בכלל ב DMZ ושרתי ה TS עצמם ב LAN הארגוני.
 
הפעלת ה TS Gateway מורכבת למעשה מחמישה שלבים:
  1. התקנת ה TS Gagteway role על השרת המיועד.
  2. יצירת SSL certificate עבור שרת ה TS Gateway (זאת מכיוון שההצפנה נעשית ע"י TLS 1.0), זה יכול להיות certificate פנימי אשר נוצר ע"י CA מקומי, ceritificate חיצוני (Verisign, Thawte,וכו'), או self-signed certificate אשר ניתן ליצור במהלך התקנת ה TS Gateway role, את ה certificate יש לייצא ולייבא למחשבי המשתמשים.
    חשוב ששם ה certificate יהיה זהה לשם שיוגדר בשדה ה TS Gateway אצל המשתמשים.
  3. יצירת TS CAP, או Terminal Services Connection Authorization Policy, פה מגדירים את רשימת המשתמשים אשר להם תיהיה הרשאה לעבוד עם ה TS Gateway.
  4. יצירת TS RAP, או Terminal Services Resource Authorization Policy, רשימת השרתים אליהם תיהיה גישה דרך ה TS Gateway.
  5. הגדרת מספר ה sessions המקסימלי שיעבדו דרך ה TS Gateway.
 
לאחר סיום הגדרת השרת, נותרו שני דברים להגדרה במחשבים המרוחקים, ייבוא ה certificate והגדרת כתובת ה TS Gateway ב RDP client.
אני לא אתעקב על איך מייבאים certificate, אלה אתמקד בהגדרות ה client (גירסא 6 ומעלה), בהגדרות ה rdp client בוחרים ב advanced ובוחרים את הגדרות ה TS Gateway.
gw1
 
בהגדרות ה TS Gateway ישנם שלוש אפשרויות, לזהות את כתובת ה TS Gateway בצורה אוטומטית (ע"י group policy), הגדרה ידנית של כתובת ה TS Gateway, או לא להשתמש ב TS Gateway בכלל להתחבר ישירות לשרתים/מחשבים.
gw2
כמו שאפשר לראות, תחת ההגדרה הידנית ישנן שתי הגדרות נוספות, צורת ה logon שמאפשר לבחור האם לעשות authentication ע"י שם משתמש וסיסמא או ע"י smart card והאופציה "לדלג" על כתובות פנימיות (סגמנט ה ip הנוכחי), כלומר לא להשתמש ב הגדרות ה TS Gatewayעבור הכתובות הפנימיות ולהתחבר אליהן ישירות. 
 
לאחר כל ההגדרות, נותר רק להתחבר לשרת המרוחק, כאמור הפלוס הגדול של ה TS Gateway שמספיק להחזיק connection אחד אשר יהיה טוב גם מהרשת הפנימית וגם מבחוץ, כלומר, כאשר נתחבר למשל מהבית, נשאיר את הכתובת הפנימית של השרת בכתובת אליה נרצה להתחבר וה TS Gateway יעשה את ההמרה לבד.
שלב ההתחברות מורכב משני שלבים, כאשר נלחץ על connect נתבקש לספק שם משתמש וסיסמא לשרת המרוחק, לאחר מכן נצטרך לספק שם משתמש וסיסמא לעבודה עם ה TS Gateway, אם המשתמש מוגדר ב TS CAP אזי ה connection יווצר ונתחבר ישירות לשרת המרוחק, אם המשתמש לא נמצא ב TS CAP או השרת המרוחק לא נמצא ב TS RAP או שה certificate לא נמצא, ה connection יידחה.
 
אם עברנו את כל המכשולים, נתחבר לשרת המבוקש וע"י בדיקה עם netstat יהיה אפשר לראות שכל התעבורה עוברת דרך ה TS Gateway.
לדוגמא ככה זה נראה אצלי:

TCP    192.168.1.4:51224      ts_gw:https            ESTABLISHED
TCP    192.168.1.4:51225      ts_gw:https            ESTABLISHED

 

אפשר גם לראות את פרטי ה sessions אשר עובדים דרך ה TS Gateway (וגם לנתק אותם אם ממש רוצים) ב Monitoring ב TS Gateway Manager בשרת ה TS Gateway עצמו.
לדוגמא:
gw3
 
 
הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

3 תגובות

  1. Maya S31 ביולי 2007 ב 18:07

    וואו, פוסט מעולה!

    הגב
  2. Moshe L15 באוגוסט 2008 ב 10:22

    מעניין הכלי הזה. היה עוד יותר נחמד אם ניתן היה להגדיר את כל הסיפור הזה גם ללא 2008.

    סתם גישה מרחוק למכונת ויסטה או XP.

    הגב
  3. יוסי14 בספטמבר 2009 ב 10:34

    תודה רבה, עזר לי מאד. כל הכבוד

    הגב