Todos nós sabemos da dificuldade de se prover acesso a rede interna a clientes móveis. Em situações onde se começava um trabalho “dentro” da rede de empresa e precisava-se continuá-lo durante uma viagem, sempre pensávamos em VPN`s como solução.
Vamos conhecer um pouco do DirectAccess da Microsoft que promete mudar esse cenário.
Entendendo…
O DirectAccess é um serviço que permite que um cliente com Windows 7 Enterprise/Ultimate (membro de seu AD DS domain) consiga conectar a sua infra externamente, ou seja, sem configurar nenhuma VPN o cliente consegue acessar, a partir da Internet, todos os compartilhamentos, sites internos (Intranet`s e webapp`s), aplicações corporativas e etc. Após conectado o cliente também pode receber conexões remotas administrativas.
Fazendo o uso de IPv6 e IPSec, unido a uma infra-estrutura de chave publica (PKI) a segurança é parte fundamental desse serviço. Até por que ninguém quer suas informações “disponíveis” por ai.
Resumindo: O cliente é capaz de se conectar endereçado pelo IPv6, criptografado pelo IPSec, e autenticado pelos certificados obtidos junto a Autoridade Certificadora de seu domínio.
Pré-requisitos
Para começar, seguindo a “filosofia” de “Melhores juntos”….o principal quesito para esse ambiente é o par Windows Server 2008 R2 + Windows 7. O Active Directory, o IPv6 e uma PKI completam a lista.
Se uma estrutura IPv6 não estiver disponível, o cliente terá que estabelecer um túnel IPv6 sobre IPv4. Os seguintes protocolos são suportados para esse caso: Teredo, 6to4 ou Intra-Site Automatic Tunnel Addressing Protocol (ISATAP), IP-HTTPS (firewall friendly)
O equipamento que hospedará o serviço DirectAccess deverá possuir duas interfaces de redes. Uma ligada normalmente a rede local e outra ligada diretamente a Internet. Lembrando que esse é um cenário sugerido, pois é possível você protege-lo ainda mais utilizando o UAG na borda.
Instalação
Com uma forma bem interativa, a instalação segue um passo-a-passo até sua conclusão. Após atendidos os pré-requisitos, esse passo-a-passo solicitará a lista de clientes que poderão se conectar ao DirectAccess server, as politicas de segurança para o acesso (reconhecimento dos certificados utilizados para criptografia e autenticação), uma lista de servidores de infra-estrutura que os clientes poderão acessar e por fim uma lista de servidores de aplicação que irão aceitar conexões seguras (ipsec) dos clientes.
Na parte do cliente todas as configurações acabam sendo feitas de maneira “automática” pois o passo-a-passo trata de configurar tudo que é necessário a partir da alteração de politicas de grupo . Aqui tudo fica pronto, a politica de resolução de nomes e as de atribuições de certificados feitas diretamente no domínio evitam qualquer configuração direta no cliente.
Ainda sob a perspectiva do cliente tudo acontece de maneira transparente durante a conexão. Quando conectado a Internet, automaticamente ele também será conectado a rede Interna através do DirectAccess. Esse é o grande diferencial do DirectAccess para uma VPN: o ato de conectar, reconectar em caso de queda da conexão com a Internet, tudo é transparente com DirectAccess
Resumindo
O DirectAccess é uma tecnologia capaz de levar a rede Interna ao cliente onde quer que ele esteja e de maneira totalmente segura e transparente.
Com configuração simples e fazendo uso do IPv6, a única dificuldade talvez seja a adaptação necessária em sua rede, caso ainda não seja nesse padrão e é claro, traduzir tudo isso para a Internet que ainda é baseada em IPv4.
Essa, sem dúvida, promete ser a melhor forma de prover acesso a recursos internos a seus clientes com o mínimo de trabalho e o máximo de transparência possível.
Mais informações em:
http://technet.microsoft.com/en-us/library/dd637827(WS.10).aspx
É isso ai, deixe seu comentário…..
1 abraço…