Windows 7: DirectAccess

  • Article

Co je hlavním požadavkem majitelů mobilních zařízení? No přeci opravdová mobilita. Co je snem každého správce sítě? Aby mobilní klienti technicky nepoznali, že nejsou ve své kanceláři při zachování všech funkcí a bezpečnosti. Dnes je běžné na přenosných počítačích konfigurovat VPN připojení na centrálu. Na serverech konfigurovat VPN karantény či NAP politiky pro zvýšení bezpečnosti sítí. VPN spoje mají několikero nevýhod a když se na ně podíváme z pohledu počítače, pak je to třeba fakt, že VPN spoj se vytáčí až na interakci uživatele. Ale co když chcete aby byl počítač připojen například k centrále například hned při startu počítače? Nebo ještě lépe, aniž by se uživatel musel přihlásit k danému počítači? Říkáte si, tohle je přesně to, co jste potřebovali? Pak začněte pokukovat po Windows 7 ve spojení s Windows Server 2008 R2. Tato dvojice totiž společně přinesou novinku - DirectAccess. Funkce DirectAccess připojí počítač do vnitrofiremní sítě autimaticky, kdy má funkční připojení k internetu. S DirectAccess klient přistupuje k firemním zdrojům jako e-maily, intranet stránky či sdílené dokumenty stejně, jako kdyby seděl ve své kanceláři. Vše je přístupné bez nutnosti vytváření VPN připojení.

- Ověřování

DirectAccess ověřuje počítač, což umožňuje připojení takového počítače do vnitrofiremní sítě bez interakce či přihlášení uživatelem. DirectAcces rovněž umožňuje ověření i uživatele pomocí Smart karty a vytvořit tak zdvojenou ochranu.

- Šifrování

DirectAccess využívá IPsec pro zajištění bezpečné, šifrované komunikace napříč internetem.

- Kontrola přístupu

Správci sítí mohou určit, zda chtějí, aby DirectAccess uživatelé používali plný přístup do vnitrofiremní sítě, nebo omezili přístup jen na konkrétní intranet stránky, servery či podsítě. DirectAccess odděluje internetové připojení od vnitrofiremního tak, aby veškerý provoz, který nepatří do vnitřní sítě šel přes internet a naopak. Volitelně lze však nastavit, aby veškerý odchozí provoz byl odesílán pomocí DirectAccess a vnitrofiremní sítě a byla dodržena třeba interní pravidla pro práci na internetu.

Následující obrázek znázorňuje, jak vypadá připojení klienta:

clip_image002

DirectAccess poskytuje správcům volbu modelu připojení klienta do vnitrofiremní sítě. První model je komunikace navázána jen proti DirectAccess serveru a komunikaci do vnitřní sítě zajišťuje opět DirectAccess server. Klientovi je tak přístup ke zdrojím zprostředkován.

clip_image004

V druhém případě se klient připojí přes DirectAccess server přímo ke konkrétním serverům, sítím, či dokumentům.

clip_image006

- Jan Pilař (WUG Písek)