Le but de cet article étant de vous présenter la solution DirectAccess dans le contexte de la dépérimétrisation, je n’aborderai pas la partie configuration de la solution, et les éléments à mettre en œuvre pour son architecture et son déploiement.
Généralités
Microsoft DirectAccess
Microsoft DirectAccess est une nouvelle fonctionnalité introduite par Windows Server 2008 R2/Forefront Unified Access Gateway et Windows 7 Enterprise et Intégrale. C’est une solution de connexion, depuis n’importe où et transparente pour l’utilisateur, à votre système d’information. Cette fonctionnalité s’appuie sur les deux principes de la dépérimétrisation : La connexion de bout en bout et la gestion de l’identité.
DirectAccess ne remplace pas les solutions existantes, car nécessite des conditions pour son utilisation :
|
Poste du domaine |
Poste hors domaine |
|
| Windows 7 Enterprise / Ultimate |
DirectAccess |
VPN SSL |
| Autres OS (Windows XP, Windows 7 Home, Pro, Linux, MacOS etc…) |
VPN SSL |
VPN SSL |
La connexion de bout en bout avec DirectAccess
IPv6 n’étant aujourd’hui que très peu implanté nos réseaux d’infrastructure, il parait difficile de s’appuyer sur ce protocole pour assurer cette connectivité. Néanmoins, un certain nombre de mécanismes de translation sont à notre disposition pour garantir une connexion IPv6, en utilisant les réseaux IPv4.
IPv6 d’entreprise
Il faut dans un premier temps mettre en place IPv6 au sein de votre entreprise. Depuis Windows Server 2008, les cartes réseaux supportent nativement un adressage IPv6. Par défaut, les adresses sont du type « fe80::/10 ». Il s’agit d’une adresse « link local », équivalent du « 169.254.0.0/16 » d’IPv4. Néanmoins, elle ne permet pas la communication via les réseaux IPv4. Cette communication est assurée via l’affectation d’une adresse ISATAP, fournie par un routeur ISATAP installé dans votre réseau, votre serveur DirectAccess par exemple.
Pour les serveurs ne supportant pas IPv6, Microsoft Forefront Unified Access Gateway fournis deux composants lors de la mise en œuvre de DirectAccess :
| DNS64 |
NAT64 |
| Permet de transformer la résolution IPv4 d’un serveur DNS en une réponse IPv6. Cette fonctionnalité permet donc de résoudre des noms de serveurs ne supportant pas IPv6. |
Permet la communication entre le réseau mixte IPv6 et un réseau IPv4 pur, afin de pouvoir communiquer avec un serveur ne supportant pas IPv6 |
IPv6 personnel
Une fois le poste client en dehors du réseau d’entreprise, il doit disposer d’une adresse IPv6. Plusieurs solutions sont à sa disposition pour faire la translation d’adresse IPv6 vers IPv4 :
| Emplacement | Méthode de translation |
| Public (dispose d’une adresse IPv4 publique) | 6to4 |
| Domicile (derrière un NAT – box ADSL par exemple) | Teredo |
| Domicile ou Client (derrière un proxy ou NAT filtrant – hors https) | IP-HTTPS |
Je vous laisse consulter plus en détail ces différentes méthodes de translation disponibles dans les systèmes d’exploitation Windows Server 2008 R2 et Windows 7 .
DirectAccess configure via stratégie de groupe les postes clients pour le paramétrage de leurs interfaces réseau.
La gestion de l’identité
Comme vu précédemment, il est nécessaire de garantir l’identité du poste client, de l’utilisateur et du serveur auquel la connexion est effectuée. DirectAccess s’appuie sur les certificats numériques ordinateurs et sur l’authentification Active Directory de l’utilisateur pour gérer cette identité.
Lors de la configuration du poste de travail, le compte ordinateur reçoit un certificat qui lui permet de monter le premier tunnel IPSec vers les services d’infrastructure de l’entreprise. Il est ensuite possible à l’utilisateur de s’authentifier, pour monter le second tunnel IPSec applicatif.
Principe de connexion
Il apparaît que la connexion aux ressources de l’entreprise se fait en deux temps : connexion aux serveurs d’infrastructure via un premier tunnel IPSec, afin de fournir le minimum de services pour l’authentification, de politique réseau et l’étude de la conformité du poste de travail, les serveurs de mises à jour ou télédistribution (Antivirus, WSUS, SCCM), et un second tunnel IPSec pour la fourniture des services applicatifs une fois l’ensemble des vérifications d’intégrité effectuées.
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Et si les clients n’avaient plus le choix ?
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Afficher les icônes cachées dans la barre de notification
- Activer la mise en veille prolongée dans Windows 10
