Freigeben über


Direct Access что это? Как работает и как его попробовать?

Direct Access - одна из самых интересных технологий, которыми мне приходилось пользоваться за последнее время. С помощью нее мой компьютер без использования традиционного VPN подключен в корпоративную сеть Microsoft. Если мой ноутбук с Windows 7 подключен к интернет хоть каким либо способом, то абсолютно прозрачно для меня поверх IPv4 или IPv6 создается защищенное соединение с корпоративной сетью. При смене способа подключения к Интернет подключение к корпоративной сети восстанавливается практически мгновенно. 

Никаких настроек для этого делать мне не пришлось и в составе ОС нет никаких сторонних программ. Все делается с помощью стандартного функционала Direct Access. Таким образом, налицо облегчение жизни мобильному пользователю, но в тоже время сделано это не в ущерб безопасности. Перед тем, как моей машине будет разрешено подключиться в корпоративную сеть, она должна пройти проверку с помощью NAP, а я должен авторизоваться с помощью смарт карты. Трафик между моей машиной и удаленными серверами в Microsoft абсолютно прозрачно для меня шифруется с помощью IPsec или https. Раньше у меня при поездках по разным городам бывали проблемы с присоединением к корпоративному VPN. Происходило это из-за того, что некоторые одаренные провайдеры запрещали прохождение пакетов IPsec. Теперь же проблем нет вовсе. В общем с точки зрения конечного пользователя благодать да и только.

Казалось бы, экая невидаль – прозрачный VPN. Но на самом деле это первые признаки полной смены того, как мы строим свои сети. Представьте себе, насколько проще станет жизнь администратора, если мобильные пользователи всегда подключены в сеть. Нет нужны поддерживать vpn сервера и клиентов сторонних производителей. С точки зрения безопасности и управляемости тоже получаем солидные плюсы. Если моя система всегда в сети, то ее проще обновлять, мониторить и удаленно управлять ею.

Еще одно изменение, о котором стоит задуматься состоит в том, что теперь межсетевой экран на внешнем периметре сети в его стандартном понимании становится бесполезен, т.к само понятие периметра размывается. Получается, что у вашей сети нет периметра как такового, а значит все сетевые соединения становятся не доверенными. Подробно об этом писал Олег Ржевский в свое заметке “Время корпоративных брандмауэров заканчивается”.

Так же есть хороший обзор технологии Direct Access от Тараса Злонова и подробное техническое описание Direct Access от Михаила Шмакова. Плюс к этому доступна демонстрация того как работает Direct Access и как он выглядит с точки зрения пользователя. Здесь есть двух страничный документ Direct Access Datasheet описывающий, что необходимо иметь для внедрения, более подробные сведения можно почерпнуть из документа Using DirectAccess to Provide Secure Access to Corporate Resources from Anywhere. Ну а в документе Next Generation Remote Access with DirectAccess and VPNs рассказывается, какие варианты внедрения существуют и как Direct Access может быть совмещен с традиционными VPN. Разобраться, как это работает с точки зрения ИТ специалиста можно, прочитав Technical Overview of DirectAccess in Windows 7 and Windows Server 2008 R2.

После ознакомления с этими документами у вас наверняка появится вопрос. Что нужно для того, чтобы попробовать это пресловутый Direct Access и где взять дополнительную документацию. Нет ничего проще, вот вам пошаговая инструкция Step By Step Guide: Demonstrate DirectAccess in a Test Lab

Я надеюсь, что вы так же как и я по достоинству оцените все преимущества предоставляемые Direct Access. И с нетерпением будете ждать выхода Windows Server 2008 R2 и Windows 7 используя которые можно будет приобщиться к этому чуду. Ждать осталось совсем не долго.

В ближайшее время мы собираемся записать подробный доклад о Direct Access для Techdays.ru, так что следите за нашими новостями.

Обновление:

Сравнение DirectAccess и традиционного VPN

Вышли подробные русские статьи о том как работает DirectAccess и какие механизмы обеспечивают его функционирование.

Введение в DirectAccess (Часть 1)

Введение в DirecAccess (Часть 2)

Comments

  • Anonymous
    January 01, 2003
    Для Piter Ring. DirectAccess использует IPSec. Если провайдер попытается его запретить DirectAccess переключится на IP-HTTPS и будет вполне нормально работать через него. Все останется безопасным и пользователь ничего не заметит. К сожалению пока что DirectAccess могут пользоваться только клиенты с Windows 7. Для любителей Apple выход использовать традиционный VPN или подключаться к приложениям опубликованным наружу через UAGwww.microsoft.com/.../us Кстати вот тут хорошее сравнение DirectAccess и VPN technet.microsoft.com/.../dd875522(WS.10).aspx

  • Anonymous
    January 01, 2003
    Для KhunValar Возможно вы правы и я плохо излагаю. Именно поэтому в тексте сделал много ссылок на людей которые высказывают свое мнение о DirectAccess. По поводу NAP могу сказать следующее. Многие из моих крупных клиентов внедрили его и у них все работает отлично.  Например "Связной". Видмо они делают что то не правильно ибо их NAP вполне устраивает. www.microsoft.com/.../CaseStudy.aspx Для того чтобы не возникло непонимания на всякий случай напишу еще раз о детской болезни блокировании трафика.. Я считаю что в корпоративной инфраструктуре администратор может ограничивать, то что считает нужным и запрещать любой протокол такой как GRE или IPSec. Но разговор то в статье был не об этом. Жаль что вы читали ее невнимательно. Я писал о том что по прежнему считаю интернет провайдеров ограничивающих прохождение GRE или IPSec альтернативно одаренными. Они мешают нормально работать тысячам людей. Если вы с этим не согласны, то продолжайте наслаждаться тем что решаете проблемы мобильных пользователей созданные на пустом месте нерадивыми провайдерами. Или вы и тут на стороне тех кто запрещает трафик VPN? Про копипастерство и проплаченность. Если вы посмотрели бы хоть немного внимательно, то поняли бы что я являюсь сотрудником компании Microsoft и это корпоративный блог. blogs.technet.com/.../about.aspx Посему не вижу никаких проблем с тем чтобы писать о технологиямх выпускаемых моей компанией. Если это вас не устраивает, то к сожалению не могу ничем помочь.

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    что однозначно можно заключить - автору еще следует поучиться, как подавать материал.. в пересказы брошюр уже мало кто верит.. кстати, тот же ваш NAP работает не так блестяще, как вы в него верите (или же просто лукавите).. утверждая это, я полагаюсь не на чужие слова, а на тестирование этого решения от МС по этой же компанией предоставленным рекомендациям по созданию тестовой лаборатории.. и к чему все эти позерские заявления "одаренные провайдеры запрещали ".. я сам не был провайдером, а, скорее, находился по другую сторону баррикад: решал проблемы с этим у моих мобильных (remote) пользователей VPN.. ваш же МС в те времена с пеной у рта настоятельно рекомендовала открытие доступа того, который действительно необходим организации.. и, если вы куда-то там приехали, и вам не открыли gre и прочие - это еще не признак той "одаренности".. это нормальная практика, реальность..  а подобные акценты с вашей стороны только подчеркивают вашу зеленость, копипастерство и проплаченность со стороны МС.. поэтому и получаете такую же ответную реакцию от комментаторов..

  • Anonymous
    January 01, 2003
    Здравствуйте, Андрей! Есть вопрос по групповым политикам пользователей на DA клиентах. Как будет работать logon скрипт, если интернет сессию инициализирует сам пользователь? Т.е. допустим пользователь логинится на своем лэптопе в общедоступном месте, в аэропорте например. Спасибо.  

  • Anonymous
    January 01, 2003
    Алекс читайте внимательно перед тем как писать комментарии и играть в капитана очевидность. Я написал "Никаких настроек для этого делать мне не пришлось и в составе ОС нет никаких сторонних программ. Все делается с помощью стандартного функционала Direct Access." Именно в этом я вижу одно из огромных преимуществ. Нет никакой возни со сторонними утилитами. Не нужно ничего устанавливать, обновления функциона будут происходить прозрачно. Про разрыве соединения оно восстанавливается само. Какой из сторонних производителей такое предлагает? То что сервер Direct Access нужно будет настраивать так это понятно даже ребенку. Сам по себе сервер DirectAccess схему доступа и настройки авторизации вам не сделает. И где тут лукавство?

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    > Juniper network connect, вот вам ответ. Прозрачно, реконнектитса, нет никакой возни. А клиента ставить в систему Juniper не нужно? И обновляется он из WSUS?

  • Anonymous
    January 01, 2003
    Для ветеран WoW. Вероятность заражения клиентской станции можно свести практически к нулю если поставить на ее антивирус. Обновления антивируса и самой ОС и приложений можно контролировать на этапе подключения с помощью NAP. Если клиентская система подключается к сети и не соответствует политикам безопасности она попадает в карантин. Там не нее автоматически устанавливаются требуемые обновления компонентов ОС, антивируса. И только после этого она может быть подключена во внутренюю сеть. Еще один реальный плюс DirectAccess состоит в том что он пробует строить туннели несколькими способами. Например если недоступен ipsec то он будет использовать https. Какой из подуктов конкурентов это может? Очень рекомендую ознакомиться www.techdays.ru/.../1547.html www.techdays.ru/.../1544.html

  • Anonymous
    January 01, 2003
    Николай. Что то я не вижу огромного количества VPN поднятых школьниками на Linux. Очередные мифические внедрения? Судя по вашему комментарию смысл статьи от вас ускользнул и технологию вы так и не поняли.

  • Anonymous
    September 04, 2009
    VPN  как VPN - ничего нового. Автор лукавит немного программа то в любом случае есть, просто она предустановлена или часть функционала ос. Проблемы как правило не в установке программы (хотя и тут есть), а в ее эксплуатации и настройке сервера - тут админы и огребают по полной и разницы нет устанавливал программу ктото изначально или она встроенная. "Нет нужны поддерживать vpn сервера и клиентов." - это как само настроится чтоли :))))))))))

  • Anonymous
    November 24, 2009
    Juniper network connect, вот вам ответ. Прозрачно, реконнектитса, нет никакой возни.

  • Anonymous
    January 19, 2010
    И чем же это отличается от VPN ? VPN-gateway, туннель - все составляющие налицо. Мало того, такая клиентская станция еще и наестся вирусов из окружающего интернета обязательно, поэтому DA-сервер надо будет обязательно зафильтровать по туннельным интерфейсам (если, конечно, будет такая возможность). В одной из статей же, на которую ссылается автор, вообще перл за перлом: другой оратор декларирует, что, оказывается, в ipv6 реализована некая магическая маршрутизация, когда клиентскую станцию можно будет таскать по сетям разных ISP без изменения ее адреса. Какая чума ! Наверное M$ реализовал в windows 7 автоматический запрос as/pi с блоком /32 ! И на основании этого делает заключение: пакетные фильтры не нужны, так как разница между городом и деревней, то есть, извините, inside и outside полностью стирается ! Мозг, мне кажется, ему больше не нужен. Его заменяют рекламные брошюры от M$. В общем, очередная мегареволюция, на деле оказывающейся очередным улучшением vpn - в части того, что теперь не надо будет париться с галкой "Использовать шлюз в удаленной сети" и рисовать маршрут до извечных 192.168/16. Ну, улучшение, конечно, налицо, так как в ipcp не предусмотрели передачу маршрутной информации. Но никакой Америки не открыто, просто все полили кипяченой мочой, как это у них там, в маркетинге, принято.

  • Anonymous
    February 26, 2010
    Т.е. вся новизна в том, что не нужно ставить отдельного клиента (но нужен новый сервер) и в отличии от старых встроенных оно научилось переподключаться? Перелестно! Перелестно!

  • Anonymous
    August 05, 2010
    The comment has been removed

  • Anonymous
    August 06, 2010
    The comment has been removed

  • Anonymous
    August 06, 2010
    Первое впечатление: шо такое и почему не знаю? Потом читаю что вариант ВПН с автоконнектом и новым типом сервера.  Мозго**ство с WSUS покруче чем линух о_О

  • Anonymous
    August 07, 2010
    Здравствуйте, Андрей! Подскажите возможна ли работа DA сервера через NAT (т.е. без использования 2х реальных IP) с использованием межсетевого экрана

  • Anonymous
    August 07, 2010
    Упоминается прослема с провайдерами и фильтрацией ВПН. Лучше бы написли что директаццесс не использует GRE а если использует - то точно так же попадает под фильтры. Другая сторона вопроса - если все так "замечательно" с удаленными клиентами то где же эта замечательность если у моего креативщика любовь к макам и сможет ли он точно так же (без установки стороннего ПО) получить тот незабенный коннект-директ ?

  • Anonymous
    September 27, 2010
    Насколько совместима данная технология с IPv4? То есть, позволяет ли она связываться клиентской системе с сервисами внутри сети, доступными только по IPv4. (Ну и конечно она не будет работать "через все файрволы")