DIRECT ACCESS CONCEPTO Es una caracterstica de Windows

DIRECT ACCESS

CONCEPTO • Es una característica de Windows 7 y Windows Server 2008 R 2, que permite a los usuarios remotos que se encuentren conectados a internet, acceder de forma segura a los recursos de la intranet sin necesidad de conectarse a una VPN.

CARACTERISTICAS • Está diseñado para conectarse automáticamente cuando el equipo se conecta a internet. • Establece conectividad bidireccional con la red de la empresa al usuario cuya portátil este conectada al internet incluso antes de que el usuario inicie la sesión. • Proporciona a los usuarios la misma experiencia de trabajo de forma remota como cuando se trabaja en la oficina.

CARACTERISTICAS • Los usuarios remotos pueden acceder a recursos compartidos de archivos corporativos, sitios web y aplicaciones sin necesidad de conectarse a una VPN. • Direct. Access soluciona las limitaciones que presentan las redes privadas virtuales (VPN) al establecer automáticamente una conexión bidireccional entre los equipos cliente y la red corporativa.

REQUERIMIENTOS • Uno a más servidores de Direct. Access que ejecuten Windows Server 2008 R 2 con dos adaptadores de red: uno conectado directamente a Internet y otro conectado a la Intranet. • Los servidores de Direct. Access deben ser miembros de un dominio de AD DS • En el servidor de Direct. Access, al menos direcciones IPv 4 públicas consecutivas deben ser asignadas al adaptador de red que está conectado a Internet.

REQUERIMIENTOS • Equipos cliente de Direct. Access que ejecuten Windows 7 Enterprise o Ultimate • Los clientes de Direct. Access deben ser miembros de un dominio de AD DS. • Al menos un controlador de dominio y un servidor DNS que ejecute Windows Server 2008 R 2.

FUNCIONALIDAD

FUNCIONALIDAD • • Conexiones directas Proceso de conexión Separados de trafico Autenticación.

CONEXIONES DIRECTAS • Direct. Access soluciona las limitaciones que presentan las redes privadas virtuales (VPN) al establecer automáticamente una conexión bidireccional entre los equipos cliente y la red corporativa. Direct. Access surge de la combinación de dos tecnologías basadas en estándares de eficacia probada: el protocolo de seguridad de Internet (IPsec) y el protocolo de Internet versión 6 (IPv 6). • Direct. Access usa IPsec para autenticar el equipo y el usuario, lo cual permite que el personal de TI administre el equipo antes de que el usuario inicie sesión. De manera opcional, puede hacer que sea necesaria una tarjeta inteligente para la autenticación del usuario.

CONEXIONES DIRECTAS • Direct. Access también usa IPsec para proporcionar cifrado para las comunicaciones que se establecen por Internet. Puede usar los distintos métodos de cifrado de IPsec, como 3 DES (Triple Data Encryption Standard) y el Estándar de cifrado avanzado (AES). • Los clientes establecen un túnel IPsec para el tráfico IPv 6 hacia el servidor de Direct. Access, que actúa como puerta de enlace a la intranet.

PROCESO DE CONEXION 1. El equipo cliente de Direct. Access con Windows 7 Enterprise o Ultimate detecta que está conectado a una red. 2. El equipo cliente de Direct. Access determina si está conectado a la intranet. Si lo está, no se usa Direct. Access. En caso contrario, sí se usa. 3. El equipo cliente de Direct. Access se conecta al servidor de Direct. Access mediante IPv 6 e IPsec. Si no hay una red IPv 6 nativa, el cliente usa 6 to 4 o Teredo para enviar tráfico IPv 6 encapsulado en IPv 4.

PROCESO DE CONEXION 4. Si un firewall o servidor proxy impide que el equipo cliente que usa 6 to 4 o Teredo obtenga acceso al servidor de Direct. Access, el cliente intenta conectarse automáticamente mediante el protocolo de Internet sobre protocolo seguro de transferencia de hipertexto (IP-HTTPS), el cual usa una conexión de Capa de sockets seguros (SSL) para encapsular el tráfico IPv 6.

PROCESO DE CONEXION 5. Como parte del proceso para establecer la sesión de IPsec de forma que el túnel obtenga acceso al controlador de dominio y al servidor DNS de la intranet, el cliente y el servidor de Direct. Access se autentican mutuamente mediante certificados de equipo.

PROCESO DE CONEXION 6. Si la Protección de acceso a redes (NAP) está habilitada y configurada para la validación del mantenimiento, el cliente de Direct. Access obtiene el certificado de mantenimiento de una Autoridad de registro de mantenimiento (HRA) de Internet antes de conectarse al servidor de Direct. Access. La HRA reenvía la información sobre el estado de mantenimiento del cliente de Direct. Access a un servidor de directivas de mantenimiento NAP. Este servidor procesa las directivas definidas en el Servidor de directivas de redes (NPS) y determina si el cliente cumple los requisitos de mantenimiento del sistema. En caso afirmativo, la HRA obtiene un certificado de mantenimiento para el cliente de Direct. Access. Cuando el cliente de Direct. Access se conecta al servidor de Direct. Access, envía el certificado de mantenimiento para que se autentique.

PROCESO DE CONEXION 7. Cuando el usuario inicia sesión, el cliente de Direct. Access establece el segundo túnel IPsec para tener acceso a los recursos de la intranet. El cliente y el servidor de Direct. Access se autentican mutuamente mediante una combinación de credenciales de equipo y usuario. 8. El servidor de Direct. Access reenvía el tráfico entre el cliente de Direct. Access y los recursos de la intranet a los que se ha concedido acceso al usuario.

SEPARADOR DE TRAFICO

SEPARADOR DE TRAFICO • Direct. Access puede separar el tráfico de intranet que se dirige a la intranet del tráfico de Internet, ya que así se reduce el tráfico innecesario en la red corporativa. La mayoría de las redes privadas virtuales (VPN) envía todo el tráfico (incluso el de Internet) a través de la VPN, lo cual puede disminuir la velocidad de acceso a la intranet y a Internet. Dado que las comunicaciones con Internet no pasan por la red corporativa y de vuelta a Internet, Direct. Access no disminuye la velocidad de acceso a Internet.

SEPARADOR DE TRAFICO Si los administradores de TI combinan esta opción con Firewall de Windows con seguridad avanzada, tendrán control total sobre las aplicaciones que pueden enviar tráfico y las subredes a las que los equipos cliente pueden llegar. Por ejemplo, los administradores de TI pueden usar reglas de salida del Firewall de Windows para: • Permitir a los equipos cliente conectarse a cualquier sitio de Internet, pero solo a una subred específica de la intranet. • Permitir a los equipos cliente conectarse directamente a Internet por medio de Internet Explorer®, pero enviar el tráfico de todas las demás aplicaciones a través de la intranet. • Impedir que las aplicaciones de la intranet envíen comunicaciones a Internet, para lo cual se restringen a servidores específicos en la intranet.

AUTENTICACION • Direct. Access autentica el equipo antes de que el usuario inicie sesión. Por lo general, la autenticación de equipo concede acceso exclusivamente a los controladores de dominio y servidores DNS. Después de que el usuario haya iniciado sesión, Direct. Access lo autentica, de forma que le será posible conectarse y obtener acceso a cualquier recurso para el que esté autorizado.

AUTENTICACION • Direct. Access admite la autenticación de usuario estándar a través de un nombre de usuario y una contraseña. Si desea una mayor seguridad, puede implementar una autenticación en dos fases con tarjetas inteligentes. Este tipo de configuración permite que los usuarios obtengan acceso a los recursos de Internet sin sus tarjetas inteligentes, pero requiere una para que los usuarios o equipos se puedan conectar a los recursos de la intranet.

AUTENTICACION • Esto requiere que el usuario inserte una tarjeta inteligente además de especificar sus credenciales de usuario. La autenticación mediante tarjeta inteligente evita que un atacante que ha conseguido la contraseña de un usuario (pero no la tarjeta inteligente) se conecte a la intranet. De igual modo, un atacante que obtiene la tarjeta inteligente, pero desconoce la contraseña del usuario, no podrá autenticarse.

VENTAJAS SOBRE VPN • Para conectarse a una VPN deben realizarse varios pasos, y el usuario debe esperar la autenticación. En el caso de las organizaciones que comprueban el mantenimiento de un equipo antes de permitir la conexión, el establecimiento de una conexión VPN puede demorar varios minutos.

VENTAJAS SOBRE VPN • Cada vez que los usuarios pierden la conexión a Internet, deben restablecer la conexión VPN. • Las conexiones VPN pueden ser problemáticas en algunos entornos que filtran el tráfico VPN. • La velocidad de Internet disminuye si tanto el tráfico de Internet como el de la intranet pasan por la conexión VPN.

INSTALACION • Ingresamos al Server Manager • Escogemos la opción Active Directory Domain Services

INSTALACION • Creamos un grupo de usuarios

INSTALACION • Agregamos los usuarios al grupo creado.

INSTALACION • Configuramos la red interna y externa

INSTALACION • Ingresamos a Microsoft Forefront

INSTALACION • Configuramos los parámetros de nuestra red

INSTALACION • Configuramos los parámetros de nuestra red

INSTALACION • Finalizamos la configuración

RESUMEN • Mayor seguridad. Direct. Access usa IPsec para autenticación y cifrado. De forma opcional, se pueden requerir tarjetas inteligentes para la autenticación de los usuarios • Administración remota. Los administradores de TI se pueden conectar directamente a los equipos cliente de Direct. Access para supervisarlos, administrarlos e implementar en ellos actualizaciones, incluso aunque el usuario no haya iniciado una sesión.

RESUMEN • Conectividad perfecta. Siempre que el usuario tiene una conexión a Internet, Direct. Access está activado y ofrece a los usuarios acceso a los recursos de la intranet tanto si está de viaje, en una cafetería local o en casa.