Le but de cet article étant de vous présenter la solution DirectAccess dans le contexte de la dépérimétrisation, je n’aborderai pas la partie configuration de la solution, et les éléments à mettre en œuvre pour son architecture et son déploiement.
Généralités
Microsoft DirectAccess
Microsoft DirectAccess est une nouvelle fonctionnalité introduite par Windows Server 2008 R2/Forefront Unified Access Gateway et Windows 7 Enterprise et Intégrale. C’est une solution de connexion, depuis n’importe où et transparente pour l’utilisateur, à votre système d’information. Cette fonctionnalité s’appuie sur les deux principes de la dépérimétrisation : La connexion de bout en bout et la gestion de l’identité.
DirectAccess ne remplace pas les solutions existantes, car nécessite des conditions pour son utilisation :
|
Poste du domaine |
Poste hors domaine |
|
| Windows 7 Enterprise / Ultimate |
DirectAccess |
VPN SSL |
| Autres OS (Windows XP, Windows 7 Home, Pro, Linux, MacOS etc…) |
VPN SSL |
VPN SSL |
La connexion de bout en bout avec DirectAccess
IPv6 n’étant aujourd’hui que très peu implanté nos réseaux d’infrastructure, il parait difficile de s’appuyer sur ce protocole pour assurer cette connectivité. Néanmoins, un certain nombre de mécanismes de translation sont à notre disposition pour garantir une connexion IPv6, en utilisant les réseaux IPv4.
IPv6 d’entreprise
Il faut dans un premier temps mettre en place IPv6 au sein de votre entreprise. Depuis Windows Server 2008, les cartes réseaux supportent nativement un adressage IPv6. Par défaut, les adresses sont du type « fe80::/10 ». Il s’agit d’une adresse « link local », équivalent du « 169.254.0.0/16 » d’IPv4. Néanmoins, elle ne permet pas la communication via les réseaux IPv4. Cette communication est assurée via l’affectation d’une adresse ISATAP, fournie par un routeur ISATAP installé dans votre réseau, votre serveur DirectAccess par exemple.
Pour les serveurs ne supportant pas IPv6, Microsoft Forefront Unified Access Gateway fournis deux composants lors de la mise en œuvre de DirectAccess :
| DNS64 |
NAT64 |
| Permet de transformer la résolution IPv4 d’un serveur DNS en une réponse IPv6. Cette fonctionnalité permet donc de résoudre des noms de serveurs ne supportant pas IPv6. |
Permet la communication entre le réseau mixte IPv6 et un réseau IPv4 pur, afin de pouvoir communiquer avec un serveur ne supportant pas IPv6 |
IPv6 personnel
Une fois le poste client en dehors du réseau d’entreprise, il doit disposer d’une adresse IPv6. Plusieurs solutions sont à sa disposition pour faire la translation d’adresse IPv6 vers IPv4 :
| Emplacement | Méthode de translation |
| Public (dispose d’une adresse IPv4 publique) | 6to4 |
| Domicile (derrière un NAT – box ADSL par exemple) | Teredo |
| Domicile ou Client (derrière un proxy ou NAT filtrant – hors https) | IP-HTTPS |
Je vous laisse consulter plus en détail ces différentes méthodes de translation disponibles dans les systèmes d’exploitation Windows Server 2008 R2 et Windows 7 .
DirectAccess configure via stratégie de groupe les postes clients pour le paramétrage de leurs interfaces réseau.
La gestion de l’identité
Comme vu précédemment, il est nécessaire de garantir l’identité du poste client, de l’utilisateur et du serveur auquel la connexion est effectuée. DirectAccess s’appuie sur les certificats numériques ordinateurs et sur l’authentification Active Directory de l’utilisateur pour gérer cette identité.
Lors de la configuration du poste de travail, le compte ordinateur reçoit un certificat qui lui permet de monter le premier tunnel IPSec vers les services d’infrastructure de l’entreprise. Il est ensuite possible à l’utilisateur de s’authentifier, pour monter le second tunnel IPSec applicatif.
Principe de connexion
Il apparaît que la connexion aux ressources de l’entreprise se fait en deux temps : connexion aux serveurs d’infrastructure via un premier tunnel IPSec, afin de fournir le minimum de services pour l’authentification, de politique réseau et l’étude de la conformité du poste de travail, les serveurs de mises à jour ou télédistribution (Antivirus, WSUS, SCCM), et un second tunnel IPSec pour la fourniture des services applicatifs une fois l’ensemble des vérifications d’intégrité effectuées.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Cybersécurité : le secteur de la santé toujours au défi de la sécurité des e-mails
- Attaque Microsoft SharePoint, analyse et recommandations
- Devenir RSSI : quels parcours et de quelles qualités faire preuve ?
- Évolution du marché de la virtualisation : quelle voie choisir ?
- La performance de l’IA et l’analytique reposent sur des fondations de données solides
