direct access
DESCRIPTION
DIRECT ACCESS. CONCEPTO. Es una característica de Windows 7 y Windows Server 2008 R2, que permite a los usuarios remotos que se encuentren conectados a internet, acceder de forma segura a los recursos de la intranet sin necesidad de conectarse a una VPN. CARACTERISTICAS. - PowerPoint PPT PresentationTRANSCRIPT
DIRECT ACCESS
CONCEPTO
• Es una característica de Windows 7 y Windows Server 2008 R2, que permite a los usuarios remotos que se encuentren conectados a internet, acceder de forma segura a los recursos de la intranet sin necesidad de conectarse a una VPN.
CARACTERISTICAS
• Está diseñado para conectarse automáticamente cuando el equipo se conecta a internet.
• Establece conectividad bidireccional con la red de la empresa al usuario cuya portátil este conectada al internet incluso antes de que el usuario inicie la sesión.
• Proporciona a los usuarios la misma experiencia de trabajo de forma remota como cuando se trabaja en la oficina.
CARACTERISTICAS
• Los usuarios remotos pueden acceder a recursos compartidos de archivos corporativos, sitios web y aplicaciones sin necesidad de conectarse a una VPN.
• DirectAccess soluciona las limitaciones que presentan las redes privadas virtuales (VPN) al establecer automáticamente una conexión bidireccional entre los equipos cliente y la red corporativa.
REQUERIMIENTOS
• Uno a más servidores de DirectAccess que ejecuten Windows Server 2008 R2 con dos adaptadores de red: uno conectado directamente a Internet y otro conectado a la Intranet.
• Los servidores de DirectAccess deben ser miembros de un dominio de AD DS
• En el servidor de DirectAccess, al menos dos direcciones IPv4 públicas consecutivas deben ser asignadas al adaptador de red que está conectado a Internet.
REQUERIMIENTOS
• Equipos cliente de DirectAccess que ejecuten Windows 7 Enterprise o Ultimate
• Los clientes de DirectAccess deben ser miembros de un dominio de AD DS.
• Al menos un controlador de dominio y un servidor DNS que ejecute Windows Server 2008 R2.
FUNCIONALIDAD
FUNCIONALIDAD
• Conexiones directas• Proceso de conexión• Separados de trafico• Autenticación.
CONEXIONES DIRECTAS• DirectAccess soluciona las limitaciones que presentan las redes
privadas virtuales (VPN) al establecer automáticamente una conexión bidireccional entre los equipos cliente y la red corporativa. DirectAccess surge de la combinación de dos tecnologías basadas en estándares de eficacia probada: el protocolo de seguridad de Internet (IPsec) y el protocolo de Internet versión 6 (IPv6).
• DirectAccess usa IPsec para autenticar el equipo y el usuario, lo cual permite que el personal de TI administre el equipo antes de que el usuario inicie sesión. De manera opcional, puede hacer que sea necesaria una tarjeta inteligente para la autenticación del usuario.
CONEXIONES DIRECTAS
• DirectAccess también usa IPsec para proporcionar cifrado para las comunicaciones que se establecen por Internet. Puede usar los distintos métodos de cifrado de IPsec, como 3DES (Triple Data Encryption Standard) y el Estándar de cifrado avanzado (AES).
• Los clientes establecen un túnel IPsec para el tráfico IPv6 hacia el servidor de DirectAccess, que actúa como puerta de enlace a la intranet.
PROCESO DE CONEXION
1. El equipo cliente de DirectAccess con Windows 7 Enterprise o Ultimate detecta que está conectado a una red.
2. El equipo cliente de DirectAccess determina si está conectado a la intranet. Si lo está, no se usa DirectAccess. En caso contrario, sí se usa.
3. El equipo cliente de DirectAccess se conecta al servidor de DirectAccess mediante IPv6 e IPsec. Si no hay una red IPv6 nativa, el cliente usa 6to4 o Teredo para enviar tráfico IPv6 encapsulado en IPv4.
PROCESO DE CONEXION
4. Si un firewall o servidor proxy impide que el equipo cliente que usa 6to4 o Teredo obtenga acceso al servidor de DirectAccess, el cliente intenta conectarse automáticamente mediante el protocolo de Internet sobre protocolo seguro de transferencia de hipertexto (IP-HTTPS), el cual usa una conexión de Capa de sockets seguros (SSL) para encapsular el tráfico IPv6.
PROCESO DE CONEXION5. Como parte del proceso para establecer la
sesión de IPsec de forma que el túnel obtenga acceso al controlador de dominio y al servidor DNS de la intranet, el cliente y el servidor de DirectAccess se autentican mutuamente mediante certificados de equipo.
PROCESO DE CONEXION6. Si la Protección de acceso a redes (NAP) está habilitada y
configurada para la validación del mantenimiento, el cliente de DirectAccess obtiene el certificado de mantenimiento de una Autoridad de registro de mantenimiento (HRA) de Internet antes de conectarse al servidor de DirectAccess. La HRA reenvía la información sobre el estado de mantenimiento del cliente de DirectAccess a un servidor de directivas de mantenimiento NAP. Este servidor procesa las directivas definidas en el Servidor de directivas de redes (NPS) y determina si el cliente cumple los requisitos de mantenimiento del sistema. En caso afirmativo, la HRA obtiene un certificado de mantenimiento para el cliente de DirectAccess. Cuando el cliente de DirectAccess se conecta al servidor de DirectAccess, envía el certificado de mantenimiento para que se autentique.
PROCESO DE CONEXION
7. Cuando el usuario inicia sesión, el cliente de DirectAccess establece el segundo túnel IPsec para tener acceso a los recursos de la intranet. El cliente y el servidor de DirectAccess se autentican mutuamente mediante una combinación de credenciales de equipo y usuario.
8. El servidor de DirectAccess reenvía el tráfico entre el cliente de DirectAccess y los recursos de la intranet a los que se ha concedido acceso al usuario.
SEPARADOR DE TRAFICO
SEPARADOR DE TRAFICO
• DirectAccess puede separar el tráfico de intranet que se dirige a la intranet del tráfico de Internet, ya que así se reduce el tráfico innecesario en la red corporativa. La mayoría de las redes privadas virtuales (VPN) envía todo el tráfico (incluso el de Internet) a través de la VPN, lo cual puede disminuir la velocidad de acceso a la intranet y a Internet. Dado que las comunicaciones con Internet no pasan por la red corporativa y de vuelta a Internet, DirectAccess no disminuye la velocidad de acceso a Internet.
SEPARADOR DE TRAFICOSi los administradores de TI combinan esta opción con Firewall de Windowscon seguridad avanzada, tendrán control total sobre las aplicaciones que pueden enviar tráfico y las subredes a las que los equipos cliente pueden llegar. Por ejemplo, los administradores de TI pueden usar reglas de salida del Firewall de Windows para:
• Permitir a los equipos cliente conectarse a cualquier sitio de Internet, pero solo a una subred específica de la intranet.
• Permitir a los equipos cliente conectarse directamente a Internet por medio de Internet Explorer®, pero enviar el tráfico de todas las demás aplicaciones a través de la intranet.
• Impedir que las aplicaciones de la intranet envíen comunicaciones a Internet, para lo cual se restringen a servidores específicos en la intranet.
AUTENTICACION
• DirectAccess autentica el equipo antes de que el usuario inicie sesión. Por lo general, la autenticación de equipo concede acceso exclusivamente a los controladores de dominio y servidores DNS. Después de que el usuario haya iniciado sesión, DirectAccess lo autentica, de forma que le será posible conectarse y obtener acceso a cualquier recurso para el que esté autorizado.
AUTENTICACION
• DirectAccess admite la autenticación de usuario estándar a través de un nombre de usuario y una contraseña. Si desea una mayor seguridad, puede implementar una autenticación en dos fases con tarjetas inteligentes. Este tipo de configuración permite que los usuarios obtengan acceso a los recursos de Internet sin sus tarjetas inteligentes, pero requiere una para que los usuarios o equipos se puedan conectar a los recursos de la intranet.
AUTENTICACION
• Esto requiere que el usuario inserte una tarjeta inteligente además de especificar sus credenciales de usuario. La autenticación mediante tarjeta inteligente evita que un atacante que ha conseguido la contraseña de un usuario (pero no la tarjeta inteligente) se conecte a la intranet. De igual modo, un atacante que obtiene la tarjeta inteligente, pero desconoce la contraseña del usuario, no podrá autenticarse.
VENTAJAS SOBRE VPN
• Para conectarse a una VPN deben realizarse varios pasos, y el usuario debe esperar la autenticación. En el caso de las organizaciones que comprueban el mantenimiento de un equipo antes de permitir la conexión, el establecimiento de una conexión VPN puede demorar varios minutos.
VENTAJAS SOBRE VPN
• Cada vez que los usuarios pierden la conexión a Internet, deben restablecer la conexión VPN.
• Las conexiones VPN pueden ser problemáticas en algunos entornos que filtran el tráfico VPN.
• La velocidad de Internet disminuye si tanto el tráfico de Internet como el de la intranet pasan por la conexión VPN.
INSTALACION• Ingresamos al Server Manager
• Escogemos la opción Active Directory Domain Services
INSTALACION
• Creamos un grupo de usuarios
INSTALACION
• Agregamos los usuarios al grupo creado.
INSTALACION
• Configuramos la red interna y externa
INSTALACION
• Ingresamos a Microsoft Forefront
INSTALACION• Configuramos los parámetros de nuestra red
INSTALACION• Configuramos los parámetros de nuestra red
INSTALACION• Finalizamos la configuración
RESUMEN
• Mayor seguridad. DirectAccess usa IPsec para autenticación y cifrado. De forma opcional, se pueden requerir tarjetas inteligentes para la autenticación de los usuarios
• Administración remota. Los administradores de TI se pueden conectar directamente a los equipos cliente de DirectAccess para supervisarlos, administrarlos e implementar en ellos actualizaciones, incluso aunque el usuario no haya iniciado una sesión.
RESUMEN
• Conectividad perfecta. Siempre que el usuario tiene una conexión a Internet, DirectAccess está activado y ofrece a los usuarios acceso a los recursos de la intranet tanto si está de viaje, en una cafetería local o en casa.