DirectAccess en Windows Server
DirectAccess en Windows Server
Se aplica a: Windows Server 2012 R2, Windows Server 2012 Essentials, Windows Server 2012, Windows Server 2012 R2 Essentials, Windows Storage Server 2012 R2 Essentials
Como un servicio de rol del rol de servidor de acceso remoto, DirectAccess es una característica que permite conectarse a recursos de red de la organización sin la necesidad de conexiones de red privada Virtual (VPN) tradicionales.
Con DirectAccess, los equipos cliente están siempre conectados a su organización, no es necesario para los usuarios remotos iniciar y detener las conexiones, tal como se requiere para las conexiones VPN.
Además, los administradores de TI pueden administrar equipos cliente de DirectAccess siempre que se están ejecutando y conectado Internet.
DirectAccess proporciona únicamente soporte para los clientes Unidos a un dominio que incluyen compatibilidad de sistema operativo para DirectAccess.
Los siguientes sistemas operativos de servidor son compatibles con DirectAccess.
- Puede implementar todas las versiones de Windows Server® 2012 R2como un cliente de DirectAccess o un servidor de DirectAccess.
- Puede implementar todas las versiones de Windows Server® 2012como un cliente de DirectAccess o un servidor de DirectAccess.
- Puede implementar todas las versiones de Windows Server® 2008 R2como un cliente de DirectAccess o un servidor de DirectAccess.
Los siguientes sistemas operativos de cliente son compatibles con DirectAccess.
- Windows 10® Enterprise
- Windows 10® A largo plazo Enterprise 2015 mantenimiento bifurcación (LTSB)
- Windows® 8 Enterprise
- Windows® 7 Ultímate
- Windows® 7 Enterprise
DirectAccess Windows Server 2012
DirectAccess es una implementación muy útil aunque habitualmente difícil de implementar, tanto por los requerimientos de infraestructura como por los conocimientos necesarios para su implementación.
Sin entrar en detalles, DirectAccess permite que los clientes remotos estén conectados automáticamente a la red empresarial automáticamente en cuanto disponen de Internet; sin necesidad de crear y conectar VPNs.
En Windows Server 2008 R2, los requerimientos son realmente complejos para una pequeña empresa (Conectividad IPv6, Autoridad Certificadora, dos direcciones contiguas IPv4 en Interner, etc. etc.) pero a partir de Windows Server 2012, además de la configuración para la “gran empresa” podemos hacer una implementación realmente sencilla y fácil, sin tantos requerimientos: una dirección IPv4 fija de Internet, no haber deshabilitado IPv6 en nuestra red, y realmente poco más.
Se necesita:
La infraestructura necesaria es poca:
- Un Controlador de Dominio (DC1)
- Un servidor miembro que oficiará de NLS (SRV1)
Tiene una carpeta compartida (Shared) para probar el acceso del cliente desde Internet - Un servidor miembro que conectará a “Internet” (VPN)
- Un cliente que se conectará adentro y desde afuera
Pero para simulación deberemos contar además con:
- Un servidor que simule un DNS de Internet (ISP)
- Una estructura auxiliar para poder salir a Internet (NAT y ROUTER)
En mi caso ROUTER, es el real que me conecta a Internet, y NAT es una instalación de un servidor que simplemente ofrece eso, NAT
Atención a esta instalación de NAT, pues la interfaz “interna” tiene dirección pública (mi Internet simulada), y la interfaz “externa” (mi red interna) tiene dirección privada.
Windows Server 2008 R2 Windows 7
- DirectAccess soluciona las limitaciones que presentan las redes privadas virtuales (VPN) al establecer automáticamente una conexión bidireccional entre los equipos cliente y la red corporativa.
- DirectAccess surge de la combinación de dos tecnologías basadas en estándares de eficacia probada: el protocolo de seguridad de Internet (IPsec) y el protocolo de Internet versión 6 (IPv6).
- DirectAccess usa IPsec para autenticar el equipo y el usuario, lo cual permite que el personal de TI administre el equipo antes de que el usuario inicie sesión. De manera opcional, puede hacer que sea necesaria una tarjeta inteligente para la autenticación del usuario.
- DirectAccess también usa IPsec para proporcionar cifrado para las comunicaciones que se establecen por Internet. Puede usar los distintos métodos de cifrado de IPsec, como 3DES (Triple Data Encryption Standard) y el Estándar de cifrado avanzado (AES).
Los clientes establecen un túnel IPsec para el tráfico IPv6 hacia el servidor de DirectAccess, que actúa como puerta de enlace a la intranet.
La figura 1 muestra un cliente de DirectAccess que se conecta a un servidor de DirectAccess a través de Internet IPv4 público. Los clientes se podrán conectar aunque se encuentren protegidos por un firewall.
Clientes de DirectAccess que obtienen acceso a la intranet por medio de IPv6 e IPsec
El cliente de DirectAccess establece dos túneles IPsec:
- Túnel de Carga de seguridad encapsuladora (ESP) de IPsec por medio de un certificado de equipo.
Este túnel proporciona acceso a un controlador de dominio y un servidor de Sistema de nombres de dominio (DNS) de la intranet, de modo que el equipo puede descargar objetos de directiva de grupo y solicitar autenticación por parte del usuario.
- Túnel ESP de IPsec por medio de un certificado de equipo y credenciales de usuario.
Este túnel autentica al usuario y proporciona acceso a los servidores de aplicaciones y recursos de la intranet. Por ejemplo, este túnel se debería establecer antes de que Microsoft Outlook descargue el correo electrónico de Microsoft Exchange Server de la intranet.
Cuando se hayan establecido los túneles hacia servidor de DirectAccess, el cliente podrá enviar tráfico a la intranet a través de ellos.
El servidor de DirectAccess se puede configurar de manera que controle las aplicaciones que los usuarios remotos pueden ejecutar y los recursos de la intranet a los que pueden obtener acceso.
Los clientes de DirectAccess pueden conectarse a los recursos de la intranet mediante dos tipos de protección de IPsec: de un extremo a otro y de extremo a perímetro.
Protección de un extremo a otro
Como se muestra en la figura 2, la protección de un extremo a otro permite que los clientes de DirectAccess establezcan una sesión de IPsec (en verde) a través del servidor de DirectAccess en cada servidor de aplicaciones al que se conecten.
Esto reporta el máximo nivel de seguridad, ya que se puede configurar el control de acceso en el servidor de DirectAccess. Sin embargo, esta arquitectura requiere que los servidores de aplicaciones ejecuten Windows Server 2008 o Windows Server 2008 R2 y, asimismo, que usen tanto IPv6 como IPsec.
Protección de un extremo a otro
Protección de extremo a perímetro
Como se muestra en la ilustración 3, la protección de extremo a perímetro permite que los clientes de DirectAccess establezcan una sesión de IPsec en un servidor de puerta de enlace de IPsec (que, de forma predeterminada, es el mismo equipo que el servidor de DirectAccess).
A continuación, el servidor de puerta de enlace de IPsec reenvía el tráfico no protegido (en rojo) a los servidores de aplicaciones en la intranet.
Esta arquitectura no requiere IPsec en la intranet y funciona con cualquier servidor de aplicaciones compatible con IPv6.
Para obtener información acerca de la conexión a servidores de aplicaciones compatibles solo con IPv4, vea Usar IPv6 más adelante en este documento.
Protección de extremo a perímetro
Para disfrutar del máximo nivel de seguridad, implemente IPv6 e IPsec en toda la organización, actualice los servidores de aplicaciones a Windows Server 2008 o Windows Server 2008 R2 y use la protección de un extremo a otro.
Esto permite la autenticación y, de manera opcional, el cifrado desde el cliente de DirectAccess a los recursos de la intranet.
Otra alternativa consiste en usar la protección de extremo a perímetro cuando desee evitar la implementación de IPv6 e IPsec en toda la red de la empresa.
La protección de extremo a perímetro se asemeja mucho a las VPN y, como tal, puede ser más fácil de implementar.
Espero que os sea de ayuda.
