DirectAccess

DirectAccess est une connexion intranet de type VPN, sous-rôle d'Unified Remote Access avec Microsoft Windows Server 2012. Cependant cela diffère d’une connexion VPN (réseau privé virtuel) puisqu’il n’y a pas besoin d’établir une connexion dans le gestionnaire de connexion, et permet un accès complet à l'intranet au poste client connecté à Internet. Contrairement à la majorité des solutions permettant d'établir un lien direct entre des ordinateurs distants, Microsoft a fait le choix de rendre la connectivité totalement transparente pour l'utilisateur et ne requiert aucune action de ce dernier. C'est le système d'exploitation qui se charge d'établir une connexion sécurisée avec le système d'information. La première version de DirectAccess date de Windows Server 2008 R2, pour fournir le service aux clients Windows 7 ou plus (en éditions Ultimate ou Enterprise). En 2010, Microsoft Forefront Unified Access Gateway (UAG), simplifie^[1],[2] le déploiement de DirectAccess, en apportant de nouvelles briques qui permettent de s'affranchir d'un réseau entièrement en IPv6 au niveau du Core network, ainsi que l'ajout d'une interface de monitoring. Avec Microsoft Windows Server 2012, DirectAccess est intégré^[3] au niveau du système d'exploitation, fournissant une interface qui permet de s'affranchir de la brique UAG. Les accès distants font désormais partie d'Unified Remote Access (URA), qui intègre en plus de DirectAccess les technologies de connexion distante et Routing and Remote Access Service.

Historique

Windows 2008 R2

Introduction de la technologie DirectAccess pour un accès distant pour les postes clients Windows 7 (Ultimate ou Enterprise) ou plus. Dans cette version seuls les cœurs de réseaux d'entreprise en IPv6 natif sont supportés y compris ceux déployés au travers d'ISATAP, cependant il reste possible d'utiliser la cohabitation IPv4 et IPv6 avec 6to4, Teredo, IP-HTTPS. De plus le serveur NLS peut être mutualisé sur la passerelle DirectAccess.

Forefront UAG

Forefront UAG^[4] au fil de ces mises à jour a apporté les évolutions suivantes à DirectAccess : le support des technologies de transition avec NAT64 et DNS64 présent dès la version RTM, la mise en cluster avec la haute disponibilité et la tolérance de panne, l'implémentation simplifiée de la cohabitation IPv4 et IPv6 avec NAT64/DNS64.

Un nouveau scénario afin de gérer le parc des postes client en situation de nomadisme sans donner l'accès à l'intranet, une configuration simplifiée de la gestion des flux internet qui auparavant devait se faire par ligne de commande.

L'intégration simplifiée de l'état de santé du poste au travers du NAP, de l'authentification à plusieurs facteurs a été introduite à la suite d'un accord avec RSA pour les tokens RSA SecurID.

Et enfin l'apport d'un GUI client avec le service pack 1 permettant d'afficher l'état de la connectivité et effectuer une collecte d'information à des fin de support lorsque le poste ne peut se connecter au travers de DirectAccess, il est à noter qu'il reste possible d'utiliser ce dernier avec une passerelle uniquement sous Windows 2008 R2.

Attention cependant avec Forefront UAG il n'est pas possible de consolider le serveur NLS sur ce dernier.

Windows Server 2012 / 2012 R2

Reprise des différentes fonctionnalités de Forefront UAG, de plus DirectAccess fait désormais partie du rôle serveur URA. DirectAccess est donc utilisable uniquement avec une licence serveur. Les nouvelles fonctionnalités apportées par URA sont  :

• Simplification du déploiement en 3 étapes (uniquement avec des clients Windows 8).
• Nouveaux scénarios de déploiement : la passerelle peut désormais être placée dans le réseau LAN ou derrière un équipement qui effectue du NAT sur le réseau public du serveur.
• Le serveur NLS peut être mutualisé sur la passerelle DirectAccess.
• Amélioration du suivi de l'état de santé de la plateforme au travers de l'intégration du monitoring dans la console DirectAccess.
• Possibilité de créer un "géo-cluster" : en effet un service distinct peut être déployé sur chaque site géographique.
• Possibilité d'utiliser des certificats auto-signés générés par la passerelle DirectAccess.
• Introduction de l'authentification par carte à puce virtuelle^[5] (uniquement avec Windows 8).
• Possibilité de se connecter au travers d'un proxy authentifiant (uniquement avec Windows 8).

Principe de fonctionnement

Le client DirectAccess initialise des tunnels IPsec IPv6 vers la passerelle DirectAccess. Dans un monde encore majoritairement basé sur l'IPv4 le trafic IPv6 y est encapsulé dans différentes technologies de transition (6to4, Teredo, IP-HTTPS) vers IPv6. Ce mécanisme permet d’établir un canal de communication réseau entre le client et le système d’information. Une fois ce canal initialisé, le client DirectAccess accède aux ressources internes de la même manière que lorsqu’il est connecté au réseau LAN. Le seul changement concerne le mécanisme de résolution de noms DNS. Lorsque le client DirectAccess demande la résolution d’un nom DNS dépendant du réseau de l’entreprise, la résolution de nom est prise en charge par la NRPT (Name Resolution Policy Table) qui fournit une réponse IPv6 à la demande de résolution. Lorsque le client tente de joindre la ressource avec cette adresse IPv6, NAT64 assure la transition d’IPv6 vers IPv4.

Technologies de transition

Ces différentes briques permettent de faire cohabiter les mondes IPv4 et IPv6 afin que ces derniers puissent dialoguer entre eux. Les briques de transition d'IPV4 vers IPv6 utilisées par DirectAccess sont :

• 6to4
• Teredo
• IP-HTTPS
• ISATAP
• DNS64
• NAT64

DirectAccess et la sécurité

Sur un élément d'accès au réseau d'entreprise aussi critique, des questions sur la sécurité embarquée peuvent se poser. DirectAccess embarque différents mécanismes :

Réseau

Les différents tunnels réseaux initiés vers la passerelle DirectAccess sont protégés par :

• SSL dans le cas de l'utilisation d'IP-HTTPS.
• IPsec dans tous les cas (y compris dans le flux SSL).

De plus avec Forefront UAG la passerelle DirectAccess embarquait le pare-feu Forefront TMG qui assure sa protection, cependant avec l'arrivée de Windows Server 2012 ce dernier est protégé par Windows Firewall il est donc recommandé pour ce dernier de le placer dans une DMZ.

Authentification

Il existe différents mécanismes d'authentification possible pour se connecter au réseau d'entreprise au travers de DirectAccess :

• Authentification de l'utilisateur
  • Compte Active Directory (Kerberos)
  • Carte à puce ou carte à puce virtuelle
  • Token de type RSA SecurID, GEMALTO, ...
• Authentification de l'ordinateur
  • Certificat
  • Certificat de santé (optionnel), ce dernier nécessitant une infrastructure NAP
  • Compte Active Directory (NTLMv2)

Prérequis

DirectAccess avec Windows Server 2008 R2 et Forefront UAG

• Windows Server 2008 R2 avec deux cartes réseaux : une connectée directement sur Internet (avec un adressage IP publique), et une seconde connectée au réseau locale (avec un adressage IP privée).
• Sur la passerelle DirectAccess, deux adresses IPv4 publique consécutives, attribuées sur la carte réseau connectée directement sur Internet.
• Un client DirectAccess Windows 7 (Ultimate ou Enterprise) ou Windows 8 (Enterprise).
• Un serveur DNS tournant sous Windows Server 2008 SP2 ou Windows Server 2008 R2.
• Une forêt Active Directory de niveau fonctionnel 2003.
• Une Public key infrastructure (PKI) pour la gestion des certificats privés.

DirectAccess avec Windows Server 2012

• Windows Server 2012 avec une ou plusieurs cartes réseaux.
• Un client DirectAccess Windows 7 (Ultimate ou Enterprise) ou Windows 8 (Enterprise).
• Un serveur DNS tournant sous Windows Server 2008 SP2 ou Windows Server 2008 R2.
• Une forêt Active Directory de niveau fonctionnel 2003.
• Une Public key infrastructure (PKI) pour la gestion des certificats privés, si la rétro-compatibilité avec les clients Windows 7 est activée.

Références

1. Microsoft Forefront Unified Access Gateway 2010
2. Windows Server Division WebLog
3. Vue d’ensemble de l’accès distant (DirectAccess, Routage et accès distant)
4. Liste des versions de Forefront UAG
5. Using Virtual Smart Cards with Windows 8

Liens externes

• Windows Server 2012 Unified Remote Access Planning and Deployment Livre de Erez Ben-Ari et Bala Natarajan sur Unified Remote Access.
• DirectAccess mobilité et nomadisme : Mise en œuvre de la solution Microsoft Livre de Benoît Sautiere et Lionel Leperlier sur DirectAccess.
• Page Microsoft dédié à Remote Access
• Blog de Richard Hicks
• Blog de Benoît Sautiere
• Blog de Lionel Leperlier

•   Portail de Microsoft
•   Portail des réseaux informatiques