Post on 03-Feb-2015
El futuro de las conexiones remotas
Paulo DiasIT Pro EvangelistMicrosoftpdias@microsoft.comhttp://blogs.technet.com/pdias
Fernando GuillotIT Pro EvangelistMicrosoftfernando.guillot@microsoft.comhttp://blogs.technet.com/guillot
Agenda
VPN - EvoluciónSecure Socket Tunneling Protocol (SSTP)VPN Reconnect
DirectAccess
Inconvenientes de las VPNs
Conexiones a través de firewalls (puertos)
DesconexionesCortes de redCambios de direcionamiento
Tiempo de reconexión
Acceso a la red corporativa requiere acción por parte del usuario
SSTP
Encapsula el trafico de la VPN en una conexión SSL
Sistemas operativos:Windows Server 2008Windows Vista SP1
VPN Reconnect
Usa IPSec Tunnel Mode con IKEv2 (Internet Key Exchange)
Añade “mobilidad” a las conexiones VPN
Sistemas Operativos:Windows Server 2008 R2Windows 7
Qué es DirectAcess
• Una VPN, sin VPN• Los usuarios remotos trabajan del
mismo modo dentro y fuera de la oficina
• La conexión se realiza antes de que el usuario inicie sesión
• Basado completamente en IPv6
¿Qué beneficios obtengo?
• Los usuarios no deben preocuparse por mantener una conexión privada
• Menos complejo de administrar• Gestión remota• Incremento en la seguridad
Comparaciones
Scenario Traditional VPN
SSL VPN TS gateway
Outlook Web Access
DirectAccess
Always on No No No No Yes
Remote management
Limited Limited No No Yes
Applications supported
All All IT Pro published
Email only All
Per app server policy
No Maybe Yes No Yes
Edge policies
Complex Complex Medium Simple Simple
Managed/ Unmanaged PCs
Both Both Primarily unmanaged
Primarily unmanaged
Managed only
Requisitos I
Requisitos II
• Active Directory• DirectAccess Server• DirectAccess Client• PKI• 2 IP’s públicas consecutivas
El proceso (I)
• ¿Dónde estoy?• ¿Qué direccionamiento tengo?
• IPv6. • IPv4 pública. 6to4• IPv4 privada. Teredo• Si hay un firewall o un proxy. IP-HTTPS
El proceso (II)
• Autenticación del equipo, basada en PKI• Si NAP está implementado Chequeo• Tráfico permitido hacia los servidores• Inicio de sesión en el AD.
User/Password/SmartCard• Acceso a la red interna (IPv6, Isatap, NAT-
PT)
TODO ELLO CIFRADO MEDIANTE IPSEC
DirectAccess Server
DirectAccess Client
Internet
Native IPv6
6to4
Teredo
IP-HTTPS
Tunnel over IPv4 UDP, HTTPS, etc.
Encrypted IPsec+ESP
IPsec Gateway
Encrypted
IPsec+ESP
Configuración Firewall
Nombre Teredo 6to4 IP-HTTPS IPv6
UDP 3544 X
Protocolo 41 (IPv6) X
TCP 443 X
ICMPv6 X
Protocolo 50 (ESP) X
Win7
Internet
DACorpnet
APP
DC
DNS
Referencias• http://www.microsoft.com/servers/directaccess.mspx • http://www.microsoft.com/windows/enterprise/products/
directaccess.aspx • DirectAccess Early Adopter's Guide• Next Generation Remote Access with DirectAccess and VPNs• Step By Step Guide: Demonstrate DirectAccess in a Test Lab
© 2009 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.