El futuro de las conexiones remotas

Paulo DiasIT Pro EvangelistMicrosoftpdias@microsoft.comhttp://blogs.technet.com/pdias

Fernando GuillotIT Pro EvangelistMicrosoftfernando.guillot@microsoft.comhttp://blogs.technet.com/guillot

Agenda

VPN - EvoluciónSecure Socket Tunneling Protocol (SSTP)VPN Reconnect

DirectAccess

Inconvenientes de las VPNs

Conexiones a través de firewalls (puertos)

DesconexionesCortes de redCambios de direcionamiento

Tiempo de reconexión

Acceso a la red corporativa requiere acción por parte del usuario

SSTP

Encapsula el trafico de la VPN en una conexión SSL

Sistemas operativos:Windows Server 2008Windows Vista SP1

VPN Reconnect

Usa IPSec Tunnel Mode con IKEv2 (Internet Key Exchange)

Añade “mobilidad” a las conexiones VPN

Sistemas Operativos:Windows Server 2008 R2Windows 7

Qué es DirectAcess

• Una VPN, sin VPN• Los usuarios remotos trabajan del

mismo modo dentro y fuera de la oficina

• La conexión se realiza antes de que el usuario inicie sesión

• Basado completamente en IPv6

¿Qué beneficios obtengo?

• Los usuarios no deben preocuparse por mantener una conexión privada

• Menos complejo de administrar• Gestión remota• Incremento en la seguridad

Comparaciones

Scenario Traditional VPN

SSL VPN TS gateway

Outlook Web Access

DirectAccess

Always on No No No No Yes

Remote management

Limited Limited No No Yes

Applications supported

All All IT Pro published

Email only All

Per app server policy

No Maybe Yes No Yes

Edge policies

Complex Complex Medium Simple Simple

Managed/ Unmanaged PCs

Both Both Primarily unmanaged

Primarily unmanaged

Managed only

Requisitos I

Requisitos II

• Active Directory• DirectAccess Server• DirectAccess Client• PKI• 2 IP’s públicas consecutivas

El proceso (I)

• ¿Dónde estoy?• ¿Qué direccionamiento tengo?

• IPv6. • IPv4 pública. 6to4• IPv4 privada. Teredo• Si hay un firewall o un proxy. IP-HTTPS

El proceso (II)

• Autenticación del equipo, basada en PKI• Si NAP está implementado Chequeo• Tráfico permitido hacia los servidores• Inicio de sesión en el AD.

User/Password/SmartCard• Acceso a la red interna (IPv6, Isatap, NAT-

PT)

TODO ELLO CIFRADO MEDIANTE IPSEC

DirectAccess Server

DirectAccess Client

Internet

Native IPv6

6to4

Teredo

IP-HTTPS

Tunnel over IPv4 UDP, HTTPS, etc.

Encrypted IPsec+ESP

IPsec Gateway

Encrypted

IPsec+ESP

Configuración Firewall

Nombre Teredo 6to4 IP-HTTPS IPv6

UDP 3544 X

Protocolo 41 (IPv6) X

TCP 443 X

ICMPv6 X

Protocolo 50 (ESP) X

Win7

Internet

DACorpnet

APP

DC

DNS

Referencias• http://www.microsoft.com/servers/directaccess.mspx • http://www.microsoft.com/windows/enterprise/products/

directaccess.aspx • DirectAccess Early Adopter's Guide• Next Generation Remote Access with DirectAccess and VPNs• Step By Step Guide: Demonstrate DirectAccess in a Test Lab

© 2009 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.