DirectAccess Solution Accelerator

12. June 2010
Comments (0)

 

Várias pessoas me perguntam sobre a instalação e configuração do DirectAccess.

Na maioria dos casos a implementação do DirectAccess é relativamente simples, entretanto quando ocorre algum problema o troubleshooting (resolução de problemas) não é fácil. Do lado do servidor temos várias ferramentas que nos ajudam a resolver um problema, mas do lado do cliente as opções são mais restritas.

Pensando nisso a Microsoft disponibilizou um assistente - Microsoft DirectAccess Connectivity Assistant - para ajudar na resolução dos problemas de conexão dos clientes.

Todas as informações, com os procedimentos de instalação e configuração, estão no arquivo Microsoft_DirectAccess_Connectivity_Assistant_DeploymentGuide. De qualquer forma segue um pequeno passo a passo com algumas dicas :

Passo 1 : Copiar o arquivo DirectAccess Connectivity Assistant GP.adml para a pasta %systemroot%\PolicyDefinititions\language dentro de um servidor Windows Server 2008 R2;

Passo 2 : Copiar o arquivo DirectAccess Connectivity Assistant GP.ADMX para a pasta %systemroot%\PolicyDefinitions dentro de um servidor Windows Server 2008 R2;

Passo 3 : Criar uma GPO para aplicar nos computadores que fazem parte do grupo de acesso via DirectAccess;

image
image

Passo 4 : As duas configurações mínimas que devem ser feitas na GPO são nas opções DTE e CorporateResources.

- Para preencher a opção DTE você pode recuperar os dados dentro do servidor onde o DirectAccess está instalado. Nas configurações de IP (ipconfig) procure os endereços IP (IPV6)da opção do 6TO4, no formato PING:XXX:XXX:XXX::XXX

image

- A opção CorporateResources deve ser preenchida com algum dos recursos que está disponibilizado para acesso externo, por exemplo :  PING:<SERVIDOR DE ARQUIVOS> ou HTTP:http://siteinterno .

Passo 5 : Instalar o agente no cliente;

 

Uma vez instalado o programa, e com a GPO aplicada,  você já consegue colher algumas informações :

image

Ambiente Operacional
image

Problema na Conexão
image

Problema na Conexão

 

No caso de um problema de conexão o usuário pode gerar dados detalhados com as configurações de todo seu ambiente e enviar ao Administrador da Rede para identificação e correção.

 

image

Desta forma o traballho de troubleshooting fica muito mais fácil …

Abraços,

, , , , , , ,

Porque você deve considerar o uso do IPSec agora …

22. December 2009
Comments (0)

Você já deve ter ouvido falar no IPSEC, mais específicamente associado à conexões VPN, mas é o IPSEC no modo de Transporte ?

 

Projetos de segurança baseados somente na proteção do perímetro não são mais suficientes, com a diversidade dos cenários, clientes e dispositivos precisamos ampliar nosso projeto de segurança para endereçar diversos fatores, são eles :

 

- Acesso Remoto - Clientes com acesso remoto;
- Acessos de Parceiros - Acesso local e/ou remoto de computadores que não fazem parte do seu domínio;
- Wireless - Acesso aos dados em qualquer ponto da empresa;
- Rede Fisica - Permitir acesso à rede somente para computadores cadastrados;

 

Um dos primeiros contatos que tive com o IPSEC foi em um projeto que desenvolvemos aqui na Universidade( http://www.uvv.br ) 2004, nesta ocasião precisávamos de uma solução para melhorar nossa segurança na rede local, este projeto precisava contemplar os sequintes requisitos :

 

- Melhorar a Segurança da Rede Local
    - Precisávamos ter certeza de que somente máquinas confiáveis teriam acesso à rede local;
- Restrição de Acesso a alguns servidores e serviços
    - Alguns Servidores  e Serviços deveriam ter acesso restrito a um grupo de usuários/computadores;
- Baixo orçamento disponível
    - Não havia orçamento para substituição de ativos de rede, no caso de escolhermos 802.1X;

 

Decidimos implementar um projeto de Isolamente de Servidores e Domínio (IPSec) ( http://rodrigoi.org.br/post/Voce-sabe-quem-esta-usando-sua-rede-.aspx ) , com esta implementação conseguimos atingir os seguintes objetivos :

 

- Máquinas não conhecidas (confiáveis) não tinham mais acesso aos nossos dados ;
- Dados sigilosos passaram a ser criptografados;
- Gerenciamente centralizado e Baseado em Políticas;
- Transparente para o usuário;

 

É verdade que com o Windows Server 2003 desenvolver um projeto baseado em políticas de IPSEC pode ser um pouco complexo, principalmente devido ao fato da configuração das políticas não ter uma interface muito amigável, todavia este problema foi completamente removido com a evolução para o Windows Server 2008, várias questões que poderiam causar problemas, ou gerar mais esforço de implementação, foram resolvidas nessa nova versão.

 

O número necessário de políticas de IPSEC no Windows 2008, para fazer as mesmas funções que no Windows 2003, reduziram drasticamente graças à nova Interface. Outros fatores também somam às evoluções :

 

- Integrado ao Windows Firewall with Advanced Security;
- Melhor performace para fallback, Windows Vista and later send both connection, IPsec and nos-IPsec.

 

Neste post ( http://rodrigoi.org.br/post/E-o-IPSEC-no-Vista-e-Windows-Server-2008-.aspx )  existe uma comparação entre um script para o Windows Server 2003 e para o Windows Server 2008.

 

E o futuro ?

 

Que você já ouviu falar no IPV6 eu tenho certeza, mas você também acha que é um futuro distante ? 

 

Uma das novas features de segurança do Windows 7 e do Windows Server 2008 R2 é o DirectAccess ( http://rodrigoi.org.br/post/Reinventando-o-Acesso-Remoto-com-DirectAccess.aspx ), com ele podemos dizer que estamos dando o primeiro passo, e porque não dizer empurrão, na direção do uso do IPV6.


Abraços,

, , , ,

Reinventando o Acesso Remoto com DirectAccess

21. September 2009
Comments (0)

< Este foi o título de uma das minhas palestras na edição 2009 do Teched Brasil  >

 

Uma das novas features de segurança do Windows 7 e do Windows Server 2008 R2 é o DirectAccess, com ele podemos dizer que estamos dando o primeiro passo, e porque não dizer empurrão, na direção do uso do IPV6.

 

A rigor o DirectAccess nada mais é que um conjuntos de políticas de IPSEC utilizando uma infraestrutura de IPV6. Claro que essa é apenas uma visão geral, e superficial dessa nova feature, por baixo do capô existem outras tecnologias que são necessárias para que a solução funcione ( NRPT, Teredo, 6to4, ISATAP e etc), o fato é que esta é uma das primeiras funcionalidades que nos alerta do poder do IPV6 e de como vários paradigmas mudarão junto com a versão do protocolo IP.

 

Um dos pontos que, na minha opinião, causará mais impacto é o fato de que o IPV6, apoiado na segurança do IPSEC, fará com que o perimetro de rede acabe, ou seja sua rede local não será só mais os pontos que estão dentro dos seus prédios ou dos seus ativo de rede, sua rede será a Internet !!!

 

image

 

O DirectAccess traz benefícios tanto para o usuário final como para os administradores de rede :

 

- Para o Usuário Final

- Não é necessário nenhuma configuração, assim que o computador do usuário estiver conectado na Internet já terá acesso à rede interna;

- Não são necessárias portas aberta para acesso, no firewall da rede que estiver usando, como é necessário para uma conexão VPN;

 

- Para o Administrador da Rede

- Políticas de Domínio são aplicadas nos computadores remotos;

- Suporte ao NAP;

- Máquinas remotas podem ser gerenciadas pelo Administrador da Rede;

 

Para utilziar o DirectAccess você deve ficar atento aos pré-requisitos :

- Infraestrutura de Certificação Digital (PKI);

- Windows 7 para o clientes (deve fazer parte do domínio);

- Windows Server 2008 R2 para o Servidor do DirectAccess;

- IPV6;

 

Em nosso ambiente de produção já temos todos os pré-requisitos funcionando uma solução integrada do IPSEC (Isolamento de Servidores e Domínio) com o NAP, desta forma não levamos mais que algumas poucas horas para configurar e começar a utilização do DirectAccess. Hoje nossos usuários de acesso remoto já está se beneficiando dessa nova funcionalidade.

 

OBS: Durante minha palestra, no Teched Brasil deste ano, algumas pessoas me pediram para publicar um video com o passo a passo da configuração do DirectAccess. Abaixo segue um video apenas com a configuração do DirectAccess Management, em breve vou preparar uma serie de videos explicando a configuração de toda a infraestrura mínima necessária para configurar e utilizar o DirectAccess. Até lá …

 

 

Abraços,

, , , , , ,