האם Direct Access של Windows Server 2012 יחליף את ה- VPN הארגוני?

7 בינואר 2013

תגובה אחת

_MG_5195

 

 

 

 

מאת: יובל שיין

 

לעיתים קרובות אני נשאל האם ה- Direct Access מהווה תחליף ל- VPN הארגוני, כפתרון אבטחה המאפשר גישה מאובטחת מרחוק לרשת הארגונית. אם בעבר תשובה זו הייתה מסוייגת (כפי שאסביר בהמשך) הרי שהיום עם השילוב של Windows Server 2012 וקליינטים של Windows 7 או Windows 8 התשובה ברורה. זאת ועוד, כפי שאסביר להלן, ל- direct access ישנם יתרונות על פני פתרונות אחרים.

מה זה Direct Access?

Direct Access מגשר על המגבלות של רשתות ה-VPN באמצעות יצירת חיבור דו-כיווני אוטומטי בין מחשבי הקצה לרשת הארגונית, כך שהחיבור לרשת הארגונית הופך שקוף מבחינת משתמשי הקצה ומנהלי ה-IT יכולים לנהל מחשבים מרוחקים הנמצאים מחוץ למשרד גם כשהמחשבים אינם מחוברים ל-VPN.

תחנות עם Direct Access יוצרות שתי מנהרות (tunnels) לשרת ה-Direct Access. המנהרה הראשונה, מנהרת התשתית, מספקת גישה לשרת ה-DNS, ל-Active Directory Domain Service ) AD DS), ל-Domain Controllers ולשרתי ניהול ותשתית אחרים. המנהרה השנייה, מנהרת האינטרה-נט, מספקת גישה למשאבי אינטרה-נט כמו אתרי אינטרנט, שרתי קבצים ושרתי אפליקציות אחרים.

המגבלות של Direct Access בגרסה הקודמת

תכונת Direct Access הוכנסה כבר ב-Windows Server 2008 R2 ובתחנות של Windows 7. בעבר ה- Direct Access היה מבוסס על תשתית IPv6. ברשתות ללא תשתית IPv6 מובנית, ניתן היה להשתמש ברכיב הרשת ISATAP לצורך גישה לשרתים וליישומי האינטרה-נט באמצעות מנהור תעבורת IPv6 על אינטרה-נט מבוסס IPv4. מחשבים המריצים את WIndows 7 או Windows Server 2008 R2 תומכים במארח ISATAP. כדי ליישם ISATAP, היה צורך להוסיף את מארח ה-ISATAP לשרת ה-DNS (רשומת A) על מנת שכל התחנות יוכלו לפנות אליו. כברירת מחדל, שרתי DNS ב-Windows 2003 SP2 ומעלה לא עונים לשאילתות על שמות WPAD ו-ISATAP. כלומר, היה צריך לאפשר שאילתות על שם ISATAP בשרתים אלה. אם כן, שרתי Direct Access המריצים את Windows Server 2008 R2 היו צריכים שני כרטיסי רשת, אחד מחובר ישירות לאינטרנט ואחד מחובר לאינטרה-נט ובנוסף נדרשו לשרת שתי כתובות IPv4 ציבוריות עוקבות. אתגר גדול נוסף בפריסת Direct Access ב-Windows Server 2008 R2 היה הצורך בסביבת PKI להנפקת תעודות דיגיטליות למחשבים. אם לא היה לכם Forefront UAG, נדרש גם התקן NAT64 על מנת להקנות ללקוחות Direct Access גישה למשאבי IPv4.

כפי שבוודאי שמתם לב, מנקודת המבט של ה-IT ההטמעה של Direct Access בגירסתו הקודמת, על דרישותיה המורכבות, לא היתה משימה קלה.

מה התחדש בגרסת Windows 2012?

ב-Windows Server 2012 עבר ה-Direct Access מתיחת פנים והוא נותן כעת מענה מוצלח יותר לקישוריות וניהול משופר.

דו-קיום של Direct Access ו-RAAS

ב-Windows Server 2008 R2, השילוב של RRAS ו-Direct Access עלול היה ליצור בעיות והתנגשויות בחיבור של משתמשים רחוקים. הואיל ו-Direct Access מבוסס על IPv6 ו-RRAS משתמש ב-IKEv2 IPSEC, תעבורת Direct Access נחסמת אם RAAS מותקן וקיימת גישה דרך VPN עם IKEv2. ב- Window Server 2012, לעומת זאת, Direct Access ו-RRAS משולבים בתפקיד שרת מאוחד חדש.

ניהול פשוט של Direct Access למנהלי מערכות בארגונים קטנים ובינוניים

אחד הדברים החשובים ביותר מבחינת פשטות הניהול ב-Windows Server 2012 הוא ביטול הצורך בפריסת תשתית PKI מלאה. אחד החסמים העיקריים לפריסת Windows 7 Direct Access הוא הדרישה לתשתית מפתח ציבורי (PKI) לצורך אימות מבוסס חתימות של השרת והלקוח. ב-Windows Server 2012, לעומת זאת, נשלחות הבקשות לאימות של תחנות הקצה לשירות Kerberos Proxy המוגדר על שרת DA, וה-Kerberos Proxy שולח את הבקשות ל-Domain Controllers בשם אותה תחנת קצה.

נוסף על כך התווסף גם אשף התקנה חדש המאפשר התקנה אוטומטית במספר צעדים פשוטים.

תמיכה מובנית ב-NAT64 ו-DNS64 לצורך גישה למשאבי IPv4

ב-Windows Server 2008 R2, ניתן היה להשתמש ב-UAG (Unified Access Gateway) לתרגום NAT64 ו-DNS64;

שרת Windows Server 2012 Direct Access כולל כעת תמיכה מובנית בתרגום כתובות באמצעות NAT64 ו-DNS64 הממירים את תעבורת ה-IPv6 מהלקוח למשאבי IPv4 פנימיים.

תמיכה בשרת Direct Access מאחורי התקן NAT

טכנולוגיית ההעברה של תעבורת Teredo, IPv6, משמשת בדרך-כלל במקרים שבהם לתחנת הקצה יש כתובת IP פרטית (וכן במקרים שתחנת הקצה מקבלת כתובת IPv6 ציבורית והמרה של IPv6 ל-IPv4 אינה זמינה). כדי ששרת Windows Server 2008 R2 Direct Access יוכל לפעול כשרת Teredo, היה צורך בשני כרטיסי רשת עם שתי כתובות IPv4 ציבוריות עוקבות מוקצות לכרטיס החיצוני.

ב-Windows Server 2012, ניתן להתקין את שרת ה-Direct Access מאחורי התקן NAT עם תמיכה בכרטיס רשת אחד בלבד ללא דרישה לכתובת IPv4 ציבורית.

תמיכה באיזון עומסים

אחד השדרוגים החשובים ביותר ב-Windows Server 2012 הוא האפשרות לתכנן פתרון מלא וזמין לגישה ישירה. ה-Direct Access ב-Windows Server 2012 כולל תמיכה מובנית ב-Windows Network Load Balancing, מה שמבטיח מדרגיות וזמינות גבוהה. אשף פריסה חדש מאפשר ליישם איזון עומסים במספר לחיצות קלות.

תמיכה בריבוי דומיינים

כעת ניתן להגדיר את שרת ה-Direct access שיאפשר גישה לתחנות קצה רחוקות הנמצאות בדומיינים שונים.

תמיכה ב-OTP (סיסמה חד פעמית)

לטובת ארגונים הזקוקים לרמת האבטחה של התקני OTP כגון RSA SecurID, תומך Windows Server 2012 באימות כפול (two factor authentication) עם כרטיסים חכמים או פתרונות המבוססים על OTP Token.

תמיכה אוטומטית במנהור כפוי (force tunneling)

באופן עקרוני רק תעבורת רשת ספציפית (המוגדרת ברשומות ה-DNS) עוברת דרך מנהרת הגישה הישירה כברירת מחדל. Force Tunneling מאפשר לנתב את כל התנועה מתחנת הקצה למשאבי האינטרה-נט דרך מנהרת Direct Acces. . ב-Windows Server 2012, האפשרות למנהור כפוי משולבת באשף ההתקנה של ה-Direct Access.

לסיכום

הגירסה החדשה של Direct Access פוטרת את כל אותן בעיות שהיו בגרסה הקודמת באשר לקלות הפריסה והזמינות של פתרון זה. להבדיל מה- VPN Client אשר מצריך התחברות של המשתמש, ה- Direct Access הוא שקוף לחלוטין למשתמש הקצה והופך תמיד את התחנה שלו לתחנה מנוהלת בכל פעם שהוא מתחבר, וכך מאפשר שליטה יותר טובה על ידי מנהל ה- IT.

להורדת גרסת הניסיון של Windows Server 2012 – לחץ כאן

 

יובל שיין הינו מנהל תחום תשתיות למשתמשי קצה במיקרוסופט ישראל.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

תגובה אחת

  1. Ali19 בינואר 2013 ב 4:48

    We need more insights like this in this theard.

    הגב