DirectAccess

From EIK wiki

DirectAccess on Microsofti uus teenus mis töötab Windows 7 (Ultimate ning Enterprise versioonidel) ja Windows Server 2008 R2 platvormidel. DirectAccess võimaldab turvaliselt ühendada kaks või enam arvutivõrku loogiliselt üheks. Selle eesmärk on sama, mis VPN'il (Virtual Private Network) , kuid erinevus seiseb kasutuslihtsuses.

Erinevalt muudest lahendustest loob DirectAccess kahepoolse ühenduse automaatselt ja see võimaldab süsteemi administraatoritel hallata arvuteid mis tahes hetkel kui see on Internetti ühendatud. Kahepoolne ühendus lubab arvutitele saata turvauuendusi ja sätteid ka siis, kui hallatav arvuti asub ettevõtte võrgust eemal.

Lisavõimalustega DirectAccess on kaasatud Microsoft Forefront Unified Access Gateway'ga (UAG).


Tehnoloogia

DirectAccess kasutab sisevõrgu vahenditele ligipääsemiseks Internet Protocol versioon 6 (IPv6). DirectAccessi klient ja server võivad kasutada 6to4, Teredo tunnelit või IP-HTTPS'i, et suunata IPv6 liiklust üle IPv4 Interneti.

IP-HTTPS andmevahetusprotokoll on SSL tunnel TCP pordil 443 ja see ühendab DirectAccessi kliendi DirectAccessi serveriga. IPv6 alamvõrgud, millede sätted saadakse serveri võrgust, tunneldatakse IPv4 või IPv6 internetiprotokolle kasutades kliendini.

DirectAccess UAG virtuaalses privaatvõrgus võimaldab keskset haldamist, paremat kättesaadavust ja suuremat turvalisust (UAG sisaldab EAL4+ sertifitseeritud tulemüüri).


Ühenduse loomise käik

1. DirctAccessi kasutav arvuti ühendatakse võrku.

2. Arvuti teeb kindlaks ühenduse tüübi. Sisevõrgu korral DirectAccessi ei kasutata.

3. DirectAccessi klient ühendatakse DirectAccessi serveriga kasutades IPv6 ja IPsec'i. Kui IPv6 võrk pole kättesaadav (ja nii see ilmselt on, kui arvuti on ühendatud Internetti), kasutab kliendi arvuti 6to4 või Teredo tunnelit, et suunata IPv6 liiklust üle IPv4 Interneti.

Da1.jpg [4]

4. Kui tulemüür või proxy server segab ühendust DirectAccessi kliendi ja DirectAccessi serveri vahel, kasutatakse automaatselt IP-HTTPS protokolli. IP-HTTPS kasutab IPv6 liikluse edastamiseks SSL'i ( Secure Sockets Layer).

5. DirectAccessi klient ja server autendivad üksteist.

6. Kliendi arvuti seisukorda kontrollitakse, kui NAP (Network Access Protection) on sisselülitatud ja seadistatud seda tegema.

7. Kasutaja sisselogimisel arvutisse luuakse teine ühendust läbi IPsec tunneli, mis tagab ligipääsu sisevõrgule.

Da2.jpg [4]

8. DirectAccessi server vahendab kliendi ja sisevõrgu vahelist liiklust.

Da3.jpg [4]

DirectAccessi ühendust luuakse automaatselt, ilma kasutaja vahelesekkumiseta.


Internet ja Intranet

DirectAccess võimaldab ettevõtte võrgus läbu vähendamiseks eraldada Interneti ja Intraneti liiklust. Enamik VPN'e saadab laiali kogu liikluse, kaasaarvatud kõik, mis on mõeldud liikumaks Internetti. See muudab ühenduse tunduvalt aeglasemaks. DirectAccess hoiab ühenduse kiire, kuna oskab vahet teha pakettidel, mis peaksid liikuma Internetti ja mis on osa ettevõtte võrgust.

Da4.jpg [4]


Nõuded

  • DirectAccessi kliendil peab olema Windows 7 (Ultimate või Enterprise)
  • DirectAccessi serveril peab olema Windows Server 2008 R2.
  • DirectAccessi serveril peab olema kaks võrgukaarti.
  • IPv6


Kokkuvõte

DirectAccessil on väga palju mugavaid funktsioone

  • Seamless ühendus

Kasutajal on võimalus pääseda ligi oma ettevõtte Intranetile igalt poolt - nii kodus, maal vanaema juures kui ka reisil olles.

  • Kaughaldus

Administraatorid saavad ühendada ennast otse DirectAccessi klient-arvutite külge nende monitoorimiseks, haldamiseks ja uuenduste installimiseks isegi siis kui kasutaja pole sisse logitud. See võimaldab märgatavalt säästa arvutite haldamiseks ja ajakohasena hoidmiseks kuluvaid ressursse.

  • Parendatud turvalisus

DirectAccess kasutab autentimiseks ja krüpteerimiseks IPsec'i. Võimalus on ka nõuda näiteks ID-kaardi kasutamist. DirectAccess integreerub NAP'i, et teha kindlaks kasutaja turvalisus enne kui ta DirectAccess võrku lubatakse.

DirectAccess võimaldab lisaks kasutada mitmeid Windows 7 networkingu omadusi.

  • Ühendatud otsing

Kasutaja tavaotsing hõlmab enda tulemustes automaatselt faile ja veebilehti Intranetist.

  • Kataloogide sünkroniseerimine

DirectAccessi Folder Redirection lubamisel nii desktop- kui ka mobiilsel arvutil võimaldab pääseda ligi oma failidele lisaks tööarvutile ka koduarvutist ja läpakast.

  • Pilv

Kasutaja rakendusi, dokumente ja seadeid on võimalik hoida võrgus ja need on saadavad igas arvutis. Kui tööjaam läheb katki või varastatakse ära, ei kao koos sellega kasutaja andmed ja nendele on võimalik ligi pääseda ka teistest jaamadest.


DirectAccessiga on kasutajate arvutid alati ühenduses, kaitstud ja lihtsad hallata.


Kasutatud kirjandus

Autor

Kermo Pajula A22