Conexiones de DirectAccess

Personas que lo han encontrado til: 3 de 3 - Valorar este tema Actualizado: septiembre de 2010 Se aplica a: Windows Server 2008 R2 DirectAccess soluciona las limitaciones que presentan las redes privadas virtuales (VPN) al establecer automticamente una conexin bidireccional entre los equipos cliente y la red corporativa. DirectAccess surge de la combinacin de dos tecnologas basadas en estndares de eficacia probada: el protocolo de seguridad de Internet (IPsec) y el protocolo de Internet versin 6 (IPv6). DirectAccess usa IPsec para autenticar el equipo y el usuario, lo cual permite que el personal de TI administre el equipo antes de que el usuario inicie sesin. De manera opcional, puede hacer que sea necesaria una tarjeta inteligente para la autenticacin del usuario. DirectAccess tambin usa IPsec para proporcionar cifrado para las comunicaciones que se establecen por Internet. Puede usar los distintos mtodos de cifrado de IPsec, como 3DES (Triple Data Encryption Standard) y el Estndar de cifrado avanzado (AES). Los clientes establecen un tnel IPsec para el trfico IPv6 hacia el servidor de DirectAccess, que acta como puerta de enlace a la intranet. La figura 1 muestra un cliente de DirectAccess que se conecta a un servidor de DirectAccess a travs de Internet IPv4 pblico. Los clientes se podrn conectar aunque se encuentren protegidos por un firewall.

Figura 1 Clientes de DirectAccess que obtienen acceso a la intranet por medio de IPv6 e IPsec El cliente de DirectAccess establece dos tneles IPsec: Tnel de Carga de seguridad encapsuladora (ESP) de IPsec por medio de un certificado de equipo. Este tnel proporciona acceso a un controlador de dominio y un servidor de Sistema de nombres de dominio (DNS) de la intranet, de modo que el equipo puede descargar objetos de directiva de grupo y solicitar autenticacin por parte del usuario. Tnel ESP de IPsec por medio de un certificado de equipo y credenciales de usuario . Este tnel autentica al usuario y proporciona acceso a los servidores de aplicaciones y recursos de la intranet. Por ejemplo, este tnel se debera establecer antes de que Microsoft Outlook descargue el correo electrnico de Microsoft Exchange Server de la intranet.

Cuando se hayan establecido los tneles hacia servidor de DirectAccess, el cliente podr enviar trfico a la intranet a travs de ellos. El servidor de DirectAccess se puede configurar de manera que controle las aplicaciones que los usuarios remotos pueden ejecutar y los recursos de la intranet a los que pueden obtener acceso. Los clientes de DirectAccess pueden conectarse a los recursos de la intranet mediante dos tipos de proteccin de IPsec: de un extremo a otro y de extremo a permetro.

Proteccin de un extremo a otro

Como se muestra en la figura 2, la proteccin de un extremo a otro permite que los clientes de DirectAccess establezcan una sesin de IPsec (en verde) a travs del servidor de DirectAccess en cada servidor de aplicaciones al que se conecten. Esto reporta el mximo nivel de seguridad, ya que se puede configurar el control de acceso en el servidor de DirectAccess. Sin embargo, esta arquitectura requiere que los servidores de aplicaciones ejecuten Windows Server 2008 o Windows Server 2008 R2 y, asimismo, que usen tanto IPv6 como IPsec.

Figura 2 Proteccin de un extremo a otro

Proteccin de extremo a permetro

Como se muestra en la ilustracin 3, la proteccin de extremo a permetro permite que los clientes de DirectAccess establezcan una sesin de IPsec en un servidor de puerta de enlace de IPsec (que, de forma predeterminada, es el mismo equipo que el servidor de DirectAccess). A continuacin, el servidor de puerta de enlace de IPsec reenva el trfico no protegido (en rojo) a los servidores de aplicaciones en la intranet. Esta arquitectura no requiere IPsec en la intranet y funciona con cualquier servidor de aplicaciones compatible con IPv6. Para obtener informacin acerca de la conexin a servidores de aplicaciones compatibles solo con IPv4, vea Usar IPv6 ms adelante en este documento.

Figura 3 Proteccin de extremo a permetro Para disfrutar del mximo nivel de seguridad, implemente IPv6 e IPsec en toda la organizacin, actualice los servidores de aplicaciones a Windows Server 2008 o Windows Server 2008 R2 y use la proteccin de un extremo a otro. Esto permite la autenticacin y, de manera opcional, el cifrado desde el cliente de DirectAccess a los recursos de la intranet. Otra alternativa consiste en usar la proteccin de extremo a permetro cuando desee evitar la implementacin de IPv6 e IPsec en toda la red de la empresa. La proteccin de extremo a permetro se asemeja mucho a las VPN y, como tal, puede ser ms fcil de implementar.

En cualquiera de estas dos arquitecturas se pueden implementar varios servidores de DirectAccess con un equilibrio de carga a fin de satisfacer los requisitos de redundancia y escalabilidad.