VPN bez VPN, czyli Direct Access - działa super!

Jestem prawie pewien, że większość czytelników mojego bloga korzysta na codzień z połączenia VPN, aby dostać się do wewnętrznych zasobów swojej firmy. Rozwiązań VPNowych jest oczywiście sporo, ale od pewnego czasu Microsoft proponuje podobne podejście, ale bez połączenia VPN.

Wielu z Was na pewno słyszało nazwę Direct Access, ale dla tych co nie słyszeli kilka słów wprowadzenia. A później już przejdę do konkretnego mojego przykładu i tego jak ten Direct Access ułatwia mi życie na codzień.

Czym jest Direct Access?

W dużym skrócie - to technologia, która pozwala (przy wykorzystaniu Windows Server 2008 R2 i Windows 7) na zdalny dostęp do wewnętrznej sieci firmy bez potrzeby zestawiania i nawiązywania jakiegokolwiek połączenia VPN.

Możemy wtedy bez problemu korzystać ze stron w intranecie, aplikacji dostępnych tylko w firmie, itp. A dział IT ma również zestawione połączenie z komputerami poza firmą.

Co z tego ma IT i użytkownicy?

Direct Access - schematTo co najważniejsze i czym różni się to od klasycznego VPNa to, że użytkownik nie musi nawiązywać połaczenia z siecią, bo w tej sieci jest cały czas. I to zanim nawet zaloguje się do swojego konta na komputerze.

Komputer podczas startu, jeśli tylko ma połączenie z Internetem, to zestawia dwukierunkowe połaczenie (korzystając z certyfikatu komputera) dzięki któremu chłopaki z IT mogą mieć dostęp do komputera tak jakby był on wpięty w sieci wewnętrznej.

Więc z jednej strony, ja jako użytkownik nie martwię się już podłączaniem się do sieci Microsoft, a nasze IT jest spokojniejsze, bo komputer jest pod ich kontrolą prawie zawsze (gdy tylko ma dostęp do sieci Internet).

Kolejną fajną cechą jest to, że połączenie do serwerów wewnętrznych jest zestawione jednym kanałem, a do publicznych serwerów w internecie drugim. Więc jeśli chcemy obejrzeć sobie np. Facebooka to połączenia do niego nawiązywane są bezpośrednio, a nie przez naszą sieć wewnętrzną (widać to na rysunku po prawej).

Jak to działa?

Direct AccessJuż w zeszłym roku wziąłem udział w pilocie programu Direct Access w naszej firmie. Wtedy jeszcze dostęp nie był tak całkiem idealny, bo do zestawienia połączenia wymagał karty inteligentnej (chipowej, z certyfikatem w środku). Nie był to jakiś wielki problem, ale jednak albo trzeba było mieć kartę zawsze pod ręką albo wpiętą cały czas w komputer (tu pojawiało się oczywiste "security issue").

Od czerwca natomiast wszyscy biorący udział w tym poprzednim pilocie zostali zaproszeni do pilota już pełnego Direct Access. Samo podłączenie się było banalne. I nawet zrobiłem to z domu łącząc się jeszcze klasycznym VPNem z siecią wewnętrzną.

Wymagane było pobranie najnowszych polityk (z gpupdate /force na uprawnieniach administratora), restart komputera i pobranie certyfikatu z serwerów Microsoft.

Odpowiednio wcześniej miałem też już uruchomionego BitLockera (z TPMem i PINem przy starcie), bo w naszym wypadku jest on również wymagany aby korzystać z Direct Access. A BitLockera już i tak od pewnego czasu musimy mieć obowiązkowo uruchomionego.

Oczywiście jest jeszcze kilka innych wymagań:

  • serwerem musi być Windows Server 2008 R2
  • na kliencie musi być Windows 7 (Enterprise lub Ultimate)
  • komputer musi być oczywiście w domenie
  • jednorazowo jest potrzebna karta inteligentna

Od strony działu IT przygotowanie infrastruktury nie jest tak proste (dlatego nie podłączają u nas wszystkich na raz, ale zaczęli od pilota). Bo w środku technologia ta korzysta z IPSec oraz IPv6 - i jednak trochę w tym kierunku trzeba przygotować w środku firmy. Oczywiście musi być też wdrożone PKI (Public Key Infrastructure). Ale jak widać po pilocie (w którym brało udział około 10.000 pracowników) jest to jak najbardziej możliwe i sprawdza się rewelacyjnie.

Co JA z tego mam?

Wskaźnik poprawnego połączenia Direct AccessKorzystam z dobrodziejstw Direct Access od pewnego czasu, ale dopiero od kilkunastu dni czuję go w 100% . Nie mam już Smart Cardy wpiętej w komputer, nie muszę jej szukać w portfelu. A połączenie z siecią wewnętrzną mam zestawione zawsze.

Dzięki temu jak mam potrzebę skorzystania z jakiegoś wewnętrznego SharePointa (a trochę ich mamy) to już nie bawię się w uruchamianie VPNa. Pobieranie plików, do których czasem ktoś wysyłał linka w mailu, też nie stanowi problemu.

A że w ostatnim czasie pracowałem bardzo dużo zdalnie (ze szpitala i z domu) + regularnie pracuję we wtorki z domu - to rozwiązanie to jest idealne w moim przypadku.

Może to wydawać się małym problemem, ale pewnie Ci wszyscy z Was, którzy muszą do tej pory korzystać z VPNa wiedzą że jednak jest to trochę zachodu. A w ten sposób można tego uniknąć.

Nie mówię już o tych wszystkich korzyściach dla działu IT.

Więcej informacji technicznych

Jeśli macie ochotę się dowiedzieć więcej szczegółów technicznych, to zostawiam Wam kilka linków:

 

I z tego pierwszego linku dorzucę jeszcze w poście krótki (7 minut) webcast po polsku na temat właśnie Direct Access:

Get Microsoft Silverlight