CLI311 
Reinventando o Acesso Remoto com 
DirectAccess 
Rodrigo Immaginario 
CISSP 
MVP Enterprise Security 
MCSE : Securi...
Panorama do Acesso Remoto 
Tendências da Tecnologia 
• Dados estão entrando pela porta da frente e saindo 
pela porta dos ...
Servidor 
DirectAccess 
Data Center e Outros 
Recursos Críticos Usuário 
Local 
Rede 
Corporativa 
Premissa que a infraest...
DirectAccess 
Oferecer um acesso seguro e transparente a sua Rede 
Corporativa de qualquer lugar
O que é DirectAccess? 
Acesso transparente a rede corporativa 
Se o computador do usuário está conectada a Internet, ela 
...
6 
Sempre Conectado 
Sempre Conectado 
Não é necessário ação do 
usuário 
Se adapta as mudanças de 
rede
Seguro 
Criptografia por default 
Smartcards 
Controle de Acesso Granula 
Coexiste com soluções atuais 
(Políticas de Aces...
Gerenciável 
Acesso a máquinas antes “intocáveis 
Permite GPO para máquinas remotas 
Integração com o NAP
DEMO
10 
VPN vs. DirectAccess 
VPN DirectAccess
Cliente 
DirectAccess 
Servidor 
DirectAccess 
Cliente 
DirectAccess 
Servidores 
NAP 
Data Center e Outros 
Recursos Crít...
12 
Benefícios do DirectAccess 
Levando a rede corporativa para o usuário 
Mais produtivo Mais seguro Maior gerenciamento ...
13 
Tecnologias Envolvidas
Servidor DirectAccess 
(Server 2008 R2) 
Cliente DirectAccess 
(Windows 7) 
Internet 
IPv6 Nativo 
6to4 
Teredo 
IP-HTTPS ...
Habilitando IPv6 na Rede Corporativa 
Opção 1 - ISATAP ServidorDirectAccess 
(Server 2008 R2) 
15 
Serviçosde Aplicação 
I...
Habilitando IPv6 na Rede Corporativa 
ServidorDirectAccess Opção 2 –NAT-PT 
(Server 2008 R2) 
16 
Servidoresde 
Aplicação ...
Rede 
Corporativa 
Servidor DirectAccess 
(Server 2008 R2) 
Servidores de 
Aplicação 
Sem IPsec 
IPsec Integridade 
(Auten...
Name Resolution Policy Table (NRPT) 
Novo recurso no Windows 7 
Utilizado pelo cliente DirectAccess Client para determinar...
NRPT 
Corp.contoso.com 2001:1:1::b3df 
2001:1:1::b3de 
Para qualquer consulta, se o nome corresponde a 
uma entrada na NRP...
Como DirectAccess Funciona 
Cliente 
DirectAccess 
AuthIP 
Internet 
Servidor 
DNS 
CONTOSO 
Servidor 
DirectAccess 
Serve...
Como DirectAccess Funciona 
Cliente 
DirectAccess 
Internet 
Servidor 
DNS 
CONTOSO 
Servidor 
DirectAccess 
DNS 
IPsec 
T...
Como DirectAccess Funciona 
Cliente 
DirectAccess 
IPsec 
DNS 
Tunnel Mode 
Internet 
Servidor 
DNS 
CONTOSO 
Servidor 
Di...
Como DirectAccess Funciona 
Cliente 
DirectAccess 
AuthIP 
IPsec 
Tunnel Mode 
Internet 
Servidor 
DNS 
CONTOSO 
Servidor ...
Como DirectAccess Funciona 
Cliente 
DirectAccess 
HTTP 
AuthIP 
IPsec 
Tunnel Mode 
Internet 
Servidor 
DNS 
CONTOSO 
Ser...
25 
Formas de Implementação
Cenário de Implementação 
IPsec End-to-Edge 
Cliente autenticado e 
adequado as politicas 
Cliente Windows 7 
Rede 
Corpor...
Cenário de Implementação 
IPsec End-to-Edge + IPsec End-to-End 
Cliente autenticado e 
adequado as politicas 
ClienteWindo...
Cenário de Implementação 
IPsec End-to-End 
Cliente autenticado e 
adequado as politicas 
Cliente Windows 7 
Rede 
Servido...
29 
Requisitos de Implementação 
Clientes DirectAccess 
• Requer Windows 7 
Enterprise ou Ultimate 
• Clientes membros 
de...
30 
Requisitos de Implementação 
DC/DNS 
• Pelo menos um 
servidor DC/DNS 
Windows Server 
2008 SP2 ou R2 
Infraestrutura ...
31 
Integração
32 
Tecnologias Integradas ao DirectAccess 
Cliente autenticado e 
adequado as politicas 
Cliente Windows 7 
Rede 
Corpora...
33 
Tecnologias Integradas ao DirectAccess 
Cliente 
adequado as 
políticas 
Servidor DirectAccess 
Cliente 
adequado as 
...
34 
Forefront UAG estende os benefícios do Windows DirectAccess 
permitindo maios escalabilidade e fácil implementação. 
•...
Solução DirectAccess 
IPv6 
IPv6 
UAG e DirectAccess – “Better Together”: 
1. Permite o acesso a recursos ainda rodando so...
Diagnóstico 
Internet Explorer Diagnose Problem 
Melhorado para suportar o DirectAccess 
Networking Icon (right click) 
Op...
Sumário 
Próximos Passos 
Windows Server 2008 R2 e Windows 7 mudam o modelo de 
acesso remoto com o DirectAccess 
IPv6 é p...
© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be...
Próximos SlideShares
Carregando em…5
×

Reinventando o Acesso Remoto com DirectAccess

465 visualizações

Publicada em

Rodrigo Immaginario
CISSP
MVP Security
http://rodrigoi.org.br

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
465
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
6
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • A few years ago, the workspace meant an office where people drove to the office in the morning, worked all day and went home at the end of the day. Today’s mobile workforce is a paradigm shift from the traditional office. We have a steadily growing employee base that works remotely today to keep up with the competition out there. Employees working from home, working from customer premises, employees connecting to the corporate network from hotels and airports.
    With the mobile workforce, the technology trends have changed too. Data actually walks out of the front door, on laptops, on USB drives, on mobile phones. Ubiquitous Internet means malware and spyware for everyone.
    Another trend in the recent years is Outsourcing and the new era of Software as a Service – where others manage your network and your datacenter. Where your data sits on the cloud
    Traditional perimeter security is not sufficient anymore, and emerging new technologies enable us in reperimeterization of the network.
  • 11/12/2014 12:23 PM
  • 11/12/2014 12:23 PM
  • Reinventando o Acesso Remoto com DirectAccess

    1. 1. CLI311 Reinventando o Acesso Remoto com DirectAccess Rodrigo Immaginario CISSP MVP Enterprise Security MCSE : Security http://rodrigoi.org.br
    2. 2. Panorama do Acesso Remoto Tendências da Tecnologia • Dados estão entrando pela porta da frente e saindo pela porta dos fundos • Segurança e acesso estão se tornando cada vez mais complexo de serem gerenciados • Necessidade de confiança nos desktops e notebooks Força de Trabalho Móvel • Definição flexível de “escritório” – incluindo funcionários que estão sempre remotos • Acesso a rede corporativa a partir de rede de clientes • Ambiente de trabalho 24x7 requer conectividade de qualquer lugar Globalização e Outsourcing • Terceiros podem gerenciar a sua rede e datacenters • Software + Services complementando a TI tradicional – dados e aplicações hospedadas na nuvem ou remotamenet • Controles de acesso cada vez mais granulares e complexos • Usuários se conectam de qualquer lugar Novos Modelos de Segurança • Segurança tradicional de perímetro não é mais suficiente • Mudança para proteção em nível de sistema e de dados • Integração de acesso, identidade, conformidade, gerenciamento e proteção de informações • Emergência de tecnologias como IPv6, banda larga móvel e IPsec
    3. 3. Servidor DirectAccess Data Center e Outros Recursos Críticos Usuário Local Rede Corporativa Premissa que a infraestrutura de rede é sempre insegura Redefinição do perímetro corporativo para proteger o datacenter Políticas de acesso baseado na identidade e não na posição dentro da rede Usuário Remoto Tendências de Mercado Internet
    4. 4. DirectAccess Oferecer um acesso seguro e transparente a sua Rede Corporativa de qualquer lugar
    5. 5. O que é DirectAccess? Acesso transparente a rede corporativa Se o computador do usuário está conectada a Internet, ela está conectada a rede corporativa Gerenciamento remoto Computador do usuário é gerenciado em qualquer lugar em que esteja ligado na Internet Conectividade segura Comunicação entre a máquina do usuário e os recursos corporativos é protegida
    6. 6. 6 Sempre Conectado Sempre Conectado Não é necessário ação do usuário Se adapta as mudanças de rede
    7. 7. Seguro Criptografia por default Smartcards Controle de Acesso Granula Coexiste com soluções atuais (Políticas de Acesso, Estado de Saúde e etc)
    8. 8. Gerenciável Acesso a máquinas antes “intocáveis Permite GPO para máquinas remotas Integração com o NAP
    9. 9. DEMO
    10. 10. 10 VPN vs. DirectAccess VPN DirectAccess
    11. 11. Cliente DirectAccess Servidor DirectAccess Cliente DirectAccess Servidores NAP Data Center e Outros Recursos Críticos Internet Usuário Corporativo Rede Corporativa Usuário Corporativo Clientes tem conectividade IPv6 transparente de qualquer local, com segurança IPsec Tráfego para a rede corporativa é roteada através de um servidor DirectAccess (Windows 2008 R2 Server) Integração com NAP para controle de acesso baseado em políticas Solução DirectAccess Túnel sobre IPv4 UDP, TLS, etc.
    12. 12. 12 Benefícios do DirectAccess Levando a rede corporativa para o usuário Mais produtivo Mais seguro Maior gerenciamento com Acesso permanente a rede corporativa de qualquer local Nenhuma ação necessária – simplesmente funciona Mesma experiência do usuário dentro e fora da empresa menor custo Gerenciamento dos ativos remotos como se eles estivesse na LAN Menor TCO com computadores “sempre gerenciados” Acesso seguro unificado de qualquer rede e para qualquer aplicação Computadores protegidos e saudáveis independente da rede onde eles estão Habilidade de levar monitoração e remediação para os ativos móveis Passo adiante no caminho da adoção de IPv6
    13. 13. 13 Tecnologias Envolvidas
    14. 14. Servidor DirectAccess (Server 2008 R2) Cliente DirectAccess (Windows 7) Internet IPv6 Nativo 6to4 Teredo IP-HTTPS IPv6 tunelado sobre IPv4 UDP, HTTPS, etc. Túnel IPsec (IPsec Tunnel Mode) Servidores de Aplicação
    15. 15. Habilitando IPv6 na Rede Corporativa Opção 1 - ISATAP ServidorDirectAccess (Server 2008 R2) 15 Serviçosde Aplicação IPv6 IPv4 IPv6
    16. 16. Habilitando IPv6 na Rede Corporativa ServidorDirectAccess Opção 2 –NAT-PT (Server 2008 R2) 16 Servidoresde Aplicação NAT-PT DNS-ALG IPv6 IPv4 Windows Server 2003 Não-Windows
    17. 17. Rede Corporativa Servidor DirectAccess (Server 2008 R2) Servidores de Aplicação Sem IPsec IPsec Integridade (Autenticação) IPsec Integridade + Encriptação Windows Server 2003 Windows Server 2008 Não-Windows
    18. 18. Name Resolution Policy Table (NRPT) Novo recurso no Windows 7 Utilizado pelo cliente DirectAccess Client para determinar qual servidor DNS vai ser utilizado dependendo do domínio Nova ordem de resolução de nomes: Cache local Arquivo Hosts NRPT DNS
    19. 19. NRPT Corp.contoso.com 2001:1:1::b3df 2001:1:1::b3de Para qualquer consulta, se o nome corresponde a uma entrada na NRPT, a consulta será enviada para o servidor DNS especificado na tabela Estes são servidores DNS internos – eles não precisam estar dedicados ao DirectAccess nem precisam estar na DMZ Se o nome não corresponder a nenhuma entrada na NRPT, a consulta é enviada para o servidor DNS configurado na interface de rede
    20. 20. Como DirectAccess Funciona Cliente DirectAccess AuthIP Internet Servidor DNS CONTOSO Servidor DirectAccess Server1 Servidor de Aplicação Teredo, 6to4 ou IP-HTTPS 1. Cliente DirectAccess envia uma solicitação de roteador Ipv6 IPv4 3. Servidor DA atentica o cliente DA usando AuthIP e para o servidor DirectAccess, usando 6to4, Teredo ou IP-HTTPS para se comunicar usando a Internet IPv4 IPv6 2. envia um anúncio de roteador IPv6 informando estabelece um tunel IPsec entre eles ao cliente o prefixo ou o endereço IPv6 que ele irá utilizar
    21. 21. Como DirectAccess Funciona Cliente DirectAccess Internet Servidor DNS CONTOSO Servidor DirectAccess DNS IPsec Tunnel Mode Teredo, 6to4 ou IP-HTTPS IPv4 Server1 Servidor de Aplicação 4. 5. Cliente DA usa envia a Name consulta Resolution para servidor Policy DNS Table através (NRPT) do para identificar túnel IPsec qual estabalecido servidor DNS com será o servidor usado DirectAccess para consultar “server1.corp.contoso.com” IPv6 6. Servidor DA retira a consulta do túnel IPsec e encaminha os pacotes para o interno
    22. 22. Como DirectAccess Funciona Cliente DirectAccess IPsec DNS Tunnel Mode Internet Servidor DNS CONTOSO Servidor DirectAccess Teredo, 6to4 ou IP-HTTPS IPv4 Server1 Servidor de Aplicação IPv6 8. Servidor DA encaminha a resposta DNS para o cliente DA 7. DNS responde a consulta informando o endereço usando o túnel IPsec IPv6 para “server1.corp.contoso.com”
    23. 23. Como DirectAccess Funciona Cliente DirectAccess AuthIP IPsec Tunnel Mode Internet Servidor DNS CONTOSO Servidor DirectAccess Teredo, 6to4 ou IP-HTTPS IPv4 Server1 Servidor de Aplicação IPv6 9. Cliente DirectAccess se autentica com o servidor Server1 usando AuthIP e estabelece uma sessão IPsec Transport Mode
    24. 24. Como DirectAccess Funciona Cliente DirectAccess HTTP AuthIP IPsec Tunnel Mode Internet Servidor DNS CONTOSO Servidor DirectAccess Teredo, 6to4 ou IP-HTTPS IPv4 Server1 Servidor de Aplicação IPv6 10. Usuário do DirectAccess navega no conteúdo do site localizado no servidor Server1 IPsec Transport Mode
    25. 25. 25 Formas de Implementação
    26. 26. Cenário de Implementação IPsec End-to-Edge Cliente autenticado e adequado as politicas Cliente Windows 7 Rede Corporativa DC & DNS (Servidores 2008 SP2/R2) Aplicações e Dados (sem IPsec habilitado) Internet Servidor DirectAccess Windows 2008 R2 IPsec ESP em modo tunel com certificado de máquina (DC/DNS) IPsec ESP em modo tunel usando Kerberos, Smartcard ou certificado NAP para acesso ao resto da rede Tráfego vindo do cliente corre dentro do túnel encriptado e depois para os recursos da rede corporativa Sem custo de encriptação nos servidores de aplicação Servidor DirectAccess autentica usuário/computador e faz a encriptação dos dados Mais similar aos recursos de acesso remoto usados atualmente
    27. 27. Cenário de Implementação IPsec End-to-Edge + IPsec End-to-End Cliente autenticado e adequado as politicas ClienteWindows 7 Rede Corporativa DC & DNS (Servidores 2008 SP2/R2) Aplicações e Dados IPsec habilitado Internet Servidor DirectAccess Windows 2008 R2 IPsec ESP em modo tunel com certificado de máquina (DC/DNS) IPsec ESP em modo tunel usando Kerberos, Smartcard ou certificado NAP para acesso ao resto da rede IPsec ESP em modo transporte usado para autenticação e proteção fim-a-fim do tráfego (sem encriptação) Sem custo de encriptação nos servidores de aplicação (apenas autenticação) Combina a encriptação até o gateway com autenticação e integridade fim-a-fim
    28. 28. Cenário de Implementação IPsec End-to-End Cliente autenticado e adequado as politicas Cliente Windows 7 Rede Servidor DirectAccess Servidor 2008 R2 DC & DNS Corporativa (Servidores 2008 SP2/R2) Aplicações e Dados IPsec habilitado Internet IPsec ESP em modo transporte com encriptação entre os clientes e os recursos de rede Servidor DirectAccess atua somente como um roteador IPv6 Proteção contra ataques de negação de serviço em IPsec (IPsec DoSP) Autenticação, encriptação e integridade fim-a-fim IP-HTTPS tunnel usado para clientes atrás de proxy Web
    29. 29. 29 Requisitos de Implementação Clientes DirectAccess • Requer Windows 7 Enterprise ou Ultimate • Clientes membros de um domínio AD • Provisionamento inicial enquanto na rede corporativa ou via VPN Servidor DirectAccess • Requer Windows Server 2008 R2 • Localizado no perímetro de rede Servidores de Aplicação • Requer conectividade IPv6 aos servidores (ISATAP, Nativo ou NAT-PT) • Windows 2008 ou superior para IPsec End-to-End
    30. 30. 30 Requisitos de Implementação DC/DNS • Pelo menos um servidor DC/DNS Windows Server 2008 SP2 ou R2 Infraestrutura de Rede • Pode ser IPv4 porque o DirectAccess implementa ISATAP NAT-PT • Pode ser usado para prover acesso a recursos que estão soment em IPv4
    31. 31. 31 Integração
    32. 32. 32 Tecnologias Integradas ao DirectAccess Cliente autenticado e adequado as politicas Cliente Windows 7 Rede Corporativa Aplicações e Dados NAP Forefront Protection Windows Firewall BitLocker + Trusted Platform Module (TPM) Forefront UAG DC & DNS (Windows 2008 SP2/R2)
    33. 33. 33 Tecnologias Integradas ao DirectAccess Cliente adequado as políticas Servidor DirectAccess Cliente adequado as políticas Servidores NAP / NPS Data Center e Outros Recursos Críticos Internet Usuário local Rede Corporativa Usuário local Cliente fora das políticas Forefront Client Security IAG SP2 Cliente não-gerenciado
    34. 34. 34 Forefront UAG estende os benefícios do Windows DirectAccess permitindo maios escalabilidade e fácil implementação. • Estende o Direct Access para aplicações legadas e recursos na infraestrutura atual. • Suporta down-level e non Windows clients Acesso de Qualquer Local • Minimiza os erros de configuração e simplifica a implementação. • Protege o Direct Access gateway . Segurança • Melhoria no gerencimaneto em escala, com a opção de integração com Array e load balancing • Consolida os gateways de acesso para controle e auditoria centralizados. Gerenciamento Unificado + 7 Direct Access
    35. 35. Solução DirectAccess IPv6 IPv6 UAG e DirectAccess – “Better Together”: 1. Permite o acesso a recursos ainda rodando somente com IPv4 2. Acesso para clientes antigos ou não Windows 3. Melhora escalabilidade e gerenciamento 4. Simplifica a implementação 5. Maior segurança Sempre Conectado GERENCIADO Windows7 IPv4 IPv4 IPv4 Servidor DirectAccess Server Estende o suporte a servidores IPv4 Windows7 NÃO-GERENCIADO + + UAG facilita a adoção e estende o acesso para a infraestrutura existente Vista XP Não Windows PDA DirectAccess SSL VPN UAG fornece a acesso via Web ou VPN para UAGU mAGel héuo suarmawa ai zepasprcldaiaslan ebc feiel iprdrraaédm-eceocnotfmaigs urperacdruaorsseoim sdcdpilsielepi fnboictanaelíarsvneaalc nientamisgmtoaHeslaanoçrtuãdoowdneãaeo r aec-saW o rougipnaVedirMonawtçeõsge.rsa.dos.
    36. 36. Diagnóstico Internet Explorer Diagnose Problem Melhorado para suportar o DirectAccess Networking Icon (right click) Opção de Resolução de Problemas Command Prompt (Elevated) NETSH TRACE START SCENARIO=DIRECTACCESS
    37. 37. Sumário Próximos Passos Windows Server 2008 R2 e Windows 7 mudam o modelo de acesso remoto com o DirectAccess IPv6 é parte desta mudança de modelo Use os recursos do Windows Server 2008 R2 para iniciar a sua implementação hoje http://www.microsoft.com/directaccess
    38. 38. © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

    ×