Op 23 mei 2008 kwam Steve Riley verhalen vertellen bij de NGN. Op die dag hoorde ik voor het eerst over plannen van Microsoft om directe toegang tot datacenters, zonder vpn en zonder corporate firewall, mogelijk te maken. Een doorbraak, want dat was tot op die dag nog een groot geheim. Nu Windows Server 2008 R2 en Windows 7 een stuk dichterbij zijn komt er steeds een beetje meer informatie vrij over DirectAccess.

Op 23 mei 2008 kwam Steve Riley verhalen vertellen bij de NGN. Op die dag hoorde ik voor het eerst over plannen van Microsoft om directe toegang tot datacenters, zonder vpn en zonder corporate firewall, mogelijk te maken. Een doorbraak, want dat was tot op die dag nog een groot geheim. Nu Windows Server 2008 R2 en Windows 7 een stuk dichterbij zijn komt er steeds een beetje meer informatie vrij over DirectAccess.
DirectAccess wordt de nieuwe manier van werken voor gebruikers die overal zitten, behalve op het bedrijfsnetwerk. Zonder dat het nodig is een VPN verbinding op te bouwen kunnen gebruikers direct toegang krijgen tot fileshares, interne websites en andere resources zoals remote desktops en nog veel meer. Direct Access dus.
De grote vraag is natuurlijk: is dat wel veilig? Direct toegang vanaf internet op het bedrijfsnetwerk zonder extra security? Uiteraard is aan de beveiliging gedacht. Direct Access maakt gebruik van twee, reeds beproefde technologien en dat zijn IPv6 en IPSec. Eigenlijk alleen IPv6 dus, want daarin zit IPSec verwerkt. Om het te laten werken moet je wel in het bezit zijn van een Windows Server 2008 R2 machine en een Windows 7 Enterprise Client.
Een overzicht van de werking
DirectAccess zorgt ervoor dat er geen VPN meer nodig is doordat er een bidirectionele verbinding wordt gemaakt vanaf de internet client naar het bedrijfsnetwerk. Deze verbinding loopt over IPv6 met IPSec versleuteling (zoals 3DES en AES). IPSec wordt gebruikt om zowel de gebruiker als de computer te authenticeren voordat de gebruiker inlogt op het bedrijfsnetwerk. Aan de serverzijde wacht een Windows Server 2008 R2 machine met de DirectAccess serverrol geinstalleerd. De DirectAccess serverrol is een gateway naar het intranet. Het maakt niet uit of de client achter een firewall zit of niet, de verbinding kan gemaakt worden, ook over een IPv4 netwerk. Hiervoor kan 6to4, Teredo of ISATAP tunneling gebruikt worden.
DirectAccess
DirectAccess maakt twee IPSec tunnels
  • IPSec met ESP (Encapsulating Security Payload) tunnel dat gebruik maakt van een computer certificaat: Deze tunnel biedt toegang aan interne DNS servers en Domain Controllers, waardoor het bijvoorbeeld mogelijk wordt om Group Policies te downloaden en waarmee de gebruiker kan worden geauthenticeerd.
  • IPSec met ESP tunnel dat gebruik maakt van een computer certificaat EN de gebruikers credentials: Deze tunnel authenticeerd de gebruiker en biedt toegang tot intranet resources en application servers. Een tunnel als deze moet aanwezig zijn voordat een rdp sessie gemaakt kan worden of bijvoorbeeld voordat Oultook mail kan gaan ophalen bij een Exchange Server.
Nadat beide IPSec ESP tunnels zijn gemaakt, kan de gebruiker/client data versturen en ontvangen door deze tunnels. Je kunt DirectAccess zo configureren dat je kunt bepalen welke applicaties en resources voor de gebruiker beschikbaar zijn via DirectAccess. Niet alle fileshares mogen wellicht via DirectAccess worden benaderd.
Twee soorten protectie
DirectAccess kan twee soorten protectie bieden, End-to-End protection en End-to-Edge protection.
  • End-to-end protection
    Met End-to-End protection worden de IPSec tunnels gemaakt vanaf de Windows 7 Enterprise client tot aan het andere eindpunt, de resource of application server.
DirectAccess
  • End-to-Edge protection
    Met End-to-Edge protection worden de IPSec tunnels gemaakt vanaf de Windows 7 Enterprise client tot aan de Windows Server 2008 R2 server met de DirectAccess rol geinstalleerd. Vanaf de DirectAccess Server tot aan de resource of application server is er dan normaal TCP/IP verkeer.
DirectAccess
Erg cool allemaal, toch?
Als je hier zelf mee wilt gaan testen zijn er een aantal zaken waar je testlab aan moet voldoen:
  • Minimaal 1x een Windows Server 2008 R2 server met de DirectAccess rol geinstalleerd. Deze server moet minimaal twee netwerkkaarten hebben, 1x voor de internet- en 1x voor de intranetverbinding.
  • Op de DirectAccess server moet de Internet-netwerkkaart twee opeenvolgende publieke IPv4 adressen hebben (voor de twee tunnels).
  • DirectAccess client (Windows 7 Enterprise).
  • Minimaal 1x een Domain Controller en DNS server die op Windows Server 2008 R2 draait.
  • Een PKI omgeving om Computer-, SmartCard- en NAP Health Cerficaten uit te delen.
  • IPSec policies om op te geven op welke manier het netwerkverkeer protected moet worden.
  • IPv6 Transition Technologies op de DirectAccess Server. Denk hierbij aan ISATAP, Teredo en 6to4.
  • Optioneel kan een 3th party NAT-PT apparaat worden ingeschakeld om ook IPv4 only resources beschikbaar te maken voor DirectAccess clients.
Het resultaat mag er wezen:
  • Seamless connectivity: De gebruiker hoeft niets te doen, Windows 7 maakt de verbinding zodra er een internetverbinding is.
  • Remote Management: De IT’er kan direct toegang krijgen tot de Windows 7 DirectAccess client om updates uit te rollen, remote connections te maken etcetera. De gebruiker hoeft hiervoor dus niet meer naar kantoor te komen.
  • Improved Security: IPSec is het meest veilige op dit moment, veiliger dus dan ouderwetse VPN verbindingen. (jaja, L2TP gebruikt ook IPSec, I know).
Voor de gebruiker is het ook nog prettig dat het (ja HET) gebruik kan maken van Federated Search (Desktop search zoekt ook naar bedrijfsdata), Folder Redirection (my documents op de file server) en Replaceable PC Scnenario’s (data staat op de file server, dus als een computer kapot gaat hoeft de gebruiker alleen maar een andere pc te hebben, maar geen backup plan).
Zodra er meer te vertellen valt over Direct Access, lees je het hier.
Ciao, Alex de Jong
Oh ja, voor een impressie en slides van de NGN dag met Steve Riley klik je hier.