O documento discute o DirectAccess, uma tecnologia da Microsoft que fornece acesso remoto transparente à rede corporativa. O DirectAccess permite que os usuários acessem recursos corporativos de forma segura de qualquer lugar onde haja conexão com a Internet, sem precisar estabelecer VPN. Ele integra conceitos como identidade, acesso e segurança para proteger os dados corporativos. O documento também descreve como configurar e implantar o DirectAccess.

1. CLI311
Reinventando o Acesso Remoto com
DirectAccess
Rodrigo Immaginario
CISSP
MVP Enterprise Security
MCSE : Security
http://rodrigoi.org.br

2. Panorama do Acesso Remoto
Tendências da Tecnologia
• Dados estão entrando pela porta da frente e saindo
pela porta dos fundos
• Segurança e acesso estão se tornando cada vez mais
complexo de serem gerenciados
• Necessidade de confiança nos desktops e notebooks
Força de Trabalho Móvel
• Definição flexível de “escritório” – incluindo
funcionários que estão sempre remotos
• Acesso a rede corporativa a partir de rede de clientes
• Ambiente de trabalho 24x7 requer conectividade de
qualquer lugar
Globalização e Outsourcing
• Terceiros podem gerenciar a sua rede e datacenters
• Software + Services complementando a TI
tradicional – dados e aplicações hospedadas na
nuvem ou remotamenet
• Controles de acesso cada vez mais granulares e
complexos
• Usuários se conectam de qualquer lugar
Novos Modelos de
Segurança
• Segurança tradicional de perímetro
não é mais suficiente
• Mudança para proteção em nível de
sistema e de dados
• Integração de acesso, identidade,
conformidade, gerenciamento e
proteção de informações
• Emergência de tecnologias como
IPv6, banda larga móvel e IPsec

3. Servidor
DirectAccess
Data Center e Outros
Recursos Críticos Usuário
Local
Rede
Corporativa
Premissa que a infraestrutura de rede é
sempre insegura
Redefinição do perímetro corporativo para
proteger o datacenter
Políticas de acesso baseado na identidade e
não na posição dentro da rede
Usuário
Remoto
Tendências de Mercado
Internet

4. DirectAccess
Oferecer um acesso seguro e transparente a sua Rede
Corporativa de qualquer lugar

5. O que é DirectAccess?
Acesso transparente a rede corporativa
Se o computador do usuário está conectada a Internet, ela
está conectada a rede corporativa
Gerenciamento remoto
Computador do usuário é gerenciado em qualquer lugar em
que esteja ligado na Internet
Conectividade segura
Comunicação entre a máquina do usuário e os recursos
corporativos é protegida

6. 6
Sempre Conectado
Sempre Conectado
Não é necessário ação do
usuário
Se adapta as mudanças de
rede

7. Seguro
Criptografia por default
Smartcards
Controle de Acesso Granula
Coexiste com soluções atuais
(Políticas de Acesso, Estado de
Saúde e etc)

8. Gerenciável
Acesso a máquinas antes “intocáveis
Permite GPO para máquinas remotas
Integração com o NAP

9. DEMO

10. 10
VPN vs. DirectAccess
VPN DirectAccess

11. Cliente
DirectAccess
Servidor
DirectAccess
Cliente
DirectAccess
Servidores
NAP
Data Center e Outros
Recursos Críticos
Internet
Usuário
Corporativo Rede
Corporativa
Usuário
Corporativo
Clientes tem conectividade IPv6 transparente de
qualquer local, com segurança IPsec
Tráfego para a rede corporativa é roteada através de
um servidor DirectAccess (Windows 2008 R2 Server)
Integração com NAP para controle de acesso
baseado em políticas
Solução DirectAccess
Túnel sobre IPv4 UDP, TLS, etc.

12. 12
Benefícios do DirectAccess
Levando a rede corporativa para o usuário
Mais produtivo Mais seguro Maior gerenciamento com
Acesso permanente a
rede corporativa de
qualquer local
Nenhuma ação
necessária –
simplesmente funciona
Mesma experiência do
usuário dentro e fora da
empresa
menor custo
Gerenciamento dos
ativos remotos como se
eles estivesse na LAN
Menor TCO com
computadores “sempre
gerenciados”
Acesso seguro unificado
de qualquer rede e para
qualquer aplicação
Computadores
protegidos e saudáveis
independente da rede
onde eles estão
Habilidade de levar
monitoração e
remediação para os
ativos móveis
Passo adiante no
caminho da adoção de
IPv6

13. 13
Tecnologias Envolvidas

14. Servidor DirectAccess
(Server 2008 R2)
Cliente DirectAccess
(Windows 7)
Internet
IPv6 Nativo
6to4
Teredo
IP-HTTPS
IPv6 tunelado sobre IPv4
UDP, HTTPS, etc.
Túnel IPsec (IPsec
Tunnel Mode)
Servidores de Aplicação

15. Habilitando IPv6 na Rede Corporativa
Opção 1 - ISATAP ServidorDirectAccess
(Server 2008 R2)
15
Serviçosde Aplicação
IPv6 IPv4
IPv6

16. Habilitando IPv6 na Rede Corporativa
ServidorDirectAccess Opção 2 –NAT-PT
(Server 2008 R2)
16
Servidoresde
Aplicação
NAT-PT
DNS-ALG
IPv6 IPv4
Windows Server 2003
Não-Windows

17. Rede
Corporativa
Servidor DirectAccess
(Server 2008 R2)
Servidores de
Aplicação
Sem IPsec
IPsec Integridade
(Autenticação)
IPsec Integridade
+ Encriptação
Windows Server 2003
Windows Server 2008
Não-Windows

18. Name Resolution Policy Table (NRPT)
Novo recurso no Windows 7
Utilizado pelo cliente DirectAccess Client para determinar qual
servidor DNS vai ser utilizado dependendo do domínio
Nova ordem de resolução de nomes:
Cache local
Arquivo Hosts
NRPT
DNS

19. NRPT
Corp.contoso.com 2001:1:1::b3df
2001:1:1::b3de
Para qualquer consulta, se o nome corresponde a
uma entrada na NRPT, a consulta será enviada
para o servidor DNS especificado na tabela
Estes são servidores DNS internos – eles não
precisam estar dedicados ao DirectAccess nem
precisam estar na DMZ
Se o nome não corresponder a nenhuma entrada
na NRPT, a consulta é enviada para o servidor DNS
configurado na interface de rede

20. Como DirectAccess Funciona
Cliente
DirectAccess
AuthIP
Internet
Servidor
DNS
CONTOSO
Servidor
DirectAccess
Server1
Servidor de Aplicação
Teredo, 6to4
ou IP-HTTPS 1. Cliente DirectAccess envia uma solicitação de roteador Ipv6
IPv4
3. Servidor DA atentica o cliente DA usando AuthIP e
para o servidor DirectAccess, usando 6to4, Teredo ou
IP-HTTPS para se comunicar usando a Internet IPv4
IPv6
2. envia um anúncio de roteador IPv6 informando
estabelece um tunel IPsec entre eles
ao cliente o prefixo ou o endereço IPv6 que ele irá utilizar

21. Como DirectAccess Funciona
Cliente
DirectAccess
Internet
Servidor
DNS
CONTOSO
Servidor
DirectAccess
DNS
IPsec
Tunnel Mode
Teredo, 6to4
ou IP-HTTPS
IPv4
Server1
Servidor de Aplicação
4. 5. Cliente DA usa envia a Name consulta Resolution para servidor Policy DNS Table através (NRPT) do
para
identificar túnel IPsec qual estabalecido servidor DNS com será o servidor usado DirectAccess
para consultar
“server1.corp.contoso.com”
IPv6
6. Servidor DA retira a consulta do túnel IPsec e encaminha os
pacotes para o interno

22. Como DirectAccess Funciona
Cliente
DirectAccess
IPsec
DNS
Tunnel Mode
Internet
Servidor
DNS
CONTOSO
Servidor
DirectAccess
Teredo, 6to4
ou IP-HTTPS
IPv4
Server1
Servidor de Aplicação
IPv6
8. Servidor DA encaminha a resposta DNS para o cliente DA
7. DNS responde a consulta informando o endereço
usando o túnel IPsec
IPv6 para “server1.corp.contoso.com”

23. Como DirectAccess Funciona
Cliente
DirectAccess
AuthIP
IPsec
Tunnel Mode
Internet
Servidor
DNS
CONTOSO
Servidor
DirectAccess
Teredo, 6to4
ou IP-HTTPS
IPv4
Server1
Servidor de Aplicação
IPv6
9. Cliente DirectAccess se autentica com o servidor Server1
usando AuthIP e estabelece uma sessão IPsec Transport
Mode

24. Como DirectAccess Funciona
Cliente
DirectAccess
HTTP
AuthIP
IPsec
Tunnel Mode
Internet
Servidor
DNS
CONTOSO
Servidor
DirectAccess
Teredo, 6to4
ou IP-HTTPS
IPv4
Server1
Servidor de Aplicação
IPv6
10. Usuário do DirectAccess navega no conteúdo do site
localizado no servidor Server1
IPsec
Transport Mode

25. 25
Formas de Implementação

26. Cenário de Implementação
IPsec End-to-Edge
Cliente autenticado e
adequado as politicas
Cliente Windows 7
Rede
Corporativa
DC & DNS
(Servidores 2008 SP2/R2)
Aplicações e Dados
(sem IPsec habilitado)
Internet
Servidor
DirectAccess
Windows 2008 R2
IPsec ESP em modo tunel com certificado de máquina (DC/DNS)
IPsec ESP em modo tunel usando Kerberos, Smartcard ou
certificado NAP para acesso ao resto da rede
Tráfego vindo do cliente corre dentro do túnel encriptado
e depois para os recursos da rede corporativa
Sem custo de encriptação nos servidores de aplicação
Servidor DirectAccess autentica usuário/computador e faz a encriptação dos dados
Mais similar aos recursos de acesso remoto usados atualmente

27. Cenário de Implementação
IPsec End-to-Edge + IPsec End-to-End
Cliente autenticado e
adequado as politicas
ClienteWindows 7
Rede
Corporativa
DC & DNS
(Servidores 2008 SP2/R2)
Aplicações e Dados
IPsec habilitado
Internet
Servidor
DirectAccess
Windows 2008 R2
IPsec ESP em modo tunel com certificado de máquina (DC/DNS)
IPsec ESP em modo tunel usando Kerberos, Smartcard ou
certificado NAP para acesso ao resto da rede
IPsec ESP em modo transporte usado para autenticação e
proteção fim-a-fim do tráfego (sem encriptação)
Sem custo de encriptação nos servidores de aplicação (apenas autenticação)
Combina a encriptação até o gateway com autenticação e integridade fim-a-fim

28. Cenário de Implementação
IPsec End-to-End
Cliente autenticado e
adequado as politicas
Cliente Windows 7
Rede
Servidor
DirectAccess
Servidor 2008 R2 DC & DNS
Corporativa
(Servidores 2008 SP2/R2)
Aplicações e Dados
IPsec habilitado
Internet
IPsec ESP em modo transporte com encriptação
entre os clientes e os recursos de rede
Servidor DirectAccess atua somente como um roteador IPv6
Proteção contra ataques de negação de serviço em IPsec (IPsec DoSP)
Autenticação, encriptação e integridade fim-a-fim
IP-HTTPS tunnel usado para clientes atrás de proxy Web

29. 29
Requisitos de Implementação
Clientes DirectAccess
• Requer Windows 7
Enterprise ou Ultimate
• Clientes membros
de um domínio AD
• Provisionamento
inicial enquanto na
rede corporativa ou
via VPN
Servidor
DirectAccess
• Requer Windows
Server 2008 R2
• Localizado no
perímetro de rede
Servidores de
Aplicação
• Requer
conectividade IPv6
aos servidores
(ISATAP, Nativo ou
NAT-PT)
• Windows 2008 ou
superior para IPsec
End-to-End

30. 30
Requisitos de Implementação
DC/DNS
• Pelo menos um
servidor DC/DNS
Windows Server
2008 SP2 ou R2
Infraestrutura
de Rede
• Pode ser IPv4
porque o
DirectAccess
implementa
ISATAP
NAT-PT
• Pode ser usado
para prover
acesso a recursos
que estão soment
em IPv4

31. 31
Integração

32. 32
Tecnologias Integradas ao DirectAccess
Cliente autenticado e
adequado as politicas
Cliente Windows 7
Rede
Corporativa
Aplicações e
Dados
NAP Forefront
Protection
Windows
Firewall
BitLocker +
Trusted
Platform
Module
(TPM)
Forefront
UAG
DC & DNS
(Windows 2008
SP2/R2)

33. 33
Tecnologias Integradas ao DirectAccess
Cliente
adequado as
políticas
Servidor DirectAccess
Cliente
adequado as
políticas
Servidores
NAP / NPS
Data Center e Outros
Recursos Críticos
Internet
Usuário
local Rede
Corporativa
Usuário
local
Cliente fora das
políticas
Forefront Client
Security
IAG SP2
Cliente não-gerenciado

34. 34
Forefront UAG estende os benefícios do Windows DirectAccess
permitindo maios escalabilidade e fácil implementação.
• Estende o Direct Access para aplicações legadas e recursos na infraestrutura
atual.
• Suporta down-level e non Windows clients
Acesso de
Qualquer
Local
• Minimiza os erros de configuração e simplifica a implementação.
• Protege o Direct Access gateway . Segurança
• Melhoria no gerencimaneto em escala, com a opção de integração com Array e
load balancing
• Consolida os gateways de acesso para controle e auditoria centralizados.
Gerenciamento
Unificado
+ 7 Direct Access

35. Solução DirectAccess
IPv6
IPv6
UAG e DirectAccess – “Better Together”:
1. Permite o acesso a recursos ainda rodando somente com IPv4
2. Acesso para clientes antigos ou não Windows
3. Melhora escalabilidade e gerenciamento
4. Simplifica a implementação
5. Maior segurança
Sempre Conectado
GERENCIADO
Windows7
IPv4
IPv4
IPv4
Servidor
DirectAccess
Server
Estende o
suporte a
servidores IPv4
Windows7
NÃO-GERENCIADO
+
+
UAG facilita a adoção e estende o acesso para a infraestrutura existente
Vista
XP
Não
Windows
PDA
DirectAccess
SSL VPN
UAG fornece a acesso via Web ou VPN para UAGU mAGel héuo suarmawa ai zepasprcldaiaslan ebc feiel iprdrraaédm-eceocnotfmaigs urperacdruaorsseoim sdcdpilsielepi fnboictanaelíarsvneaalc nientamisgmtoaHeslaanoçrtuãdoowdneãaeo r aec-saW o rougipnaVedirMonawtçeõsge.rsa.dos.

36. Diagnóstico
Internet Explorer Diagnose Problem
Melhorado para suportar o DirectAccess
Networking Icon (right click)
Opção de Resolução de Problemas
Command Prompt (Elevated)
NETSH TRACE START SCENARIO=DIRECTACCESS

37. Sumário
Próximos Passos
Windows Server 2008 R2 e Windows 7 mudam o modelo de
acesso remoto com o DirectAccess
IPv6 é parte desta mudança de modelo
Use os recursos do Windows Server 2008 R2 para iniciar a sua
implementação hoje
http://www.microsoft.com/directaccess

38. © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should
not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS,
IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.