DIRECTACCESS

Kadir ŞenerWindows Program Yöneticisi

MOBİL TRENDLER

•2008 yılı üçüncü döneminde bilgisayar üreticileri dünya çapında masaüstü bilgisayarlardan daha fazla taşınabilir bilgisayarlar üretmeye başladı.

•Mobil kullanıcıların sayısının daha da büyümesi bekleniyor.

DİRECTACCESS NEDİR?

•Windows® 7 ve Windows Server® 2008 R2 işletim sistemleri kullanıcıları ofiste çalıştıkları rahatlıkta uzaktan çalışmalarını sağlayan DirectAccess ile tanıştırıyor.

•DirectAccess, kullanıcılar login olmadan bile internete bağlı DirectAccess özelliği aktif taşınabilir bilgisayarından her zaman kurumsal ağıyla çift yönlü bağlantı kurar.

DİRECTACCESS NEDIR?

•Intranete bağlantı için kullanıcı müdahalesi gereken geleneksel VPN ağlarının aksine, DirectAccess, IT yöneticisinin hangi kaynaklara ve hangi uygulamalara uzaktan erişimle ulaşılabileceğini belirlemesine izin vereceği gibi, istenirse uzaktan erişimin tüm kaynaklara ve tüm internete ulaşabilecek şekilde de yapılandırılmasına izin verir.

VPN İLE REKABET

•VPN e bağlanmak bir kaç işlem ve kullanıcının doğrulama yapmasını gerektirir.

•Herhangi bir zamanda kullanıcının internet bağlantısı kesilebilir. Tekrar VPN e bağlantısı kurulması gerekir.

•VPN bağlantıları VPN trafiğinden sızmalar nedeniyle bazı ortamlarda problemli olabilir.

•VPN üzerinden hem Internet hem Intranet bağlatısı kurulduğu zamanlarda performans düşüklüğü yaşanır.

DİRECTACCESS FAYDALARI

•Sorunsuz ve Daima Bağlantı: DirectAccess aktif bilgisayarda her zaman kullanıcılar internete bağlıdır. Stabil bağlantı ile kullanıcılar intranet kaynaklarına seyahatte, kafede ya da evlerinde olsalar bile erişebilirler.

•Uzaktan Yönetim: IT yöneticileri DirectAccess e direk bağlanabilir, karşı bilgisayarları yönetebilir, güncelleştirmeleri dağıtabilir hatta kullanıcılar login olmasalar bile.Bu da yönetim maliyetlerini düşürür..

•Geliştirilmiş Güvenlik: DirectAccess doğrulama ve şifreleme için IPsec kullanır. Opsiyonlu olarak, akıllı kartları da doğrulama aracı olarak kullanabilirsiniz. DirectAccess serverına erişime izin vermeden önce DirectAccess sistemlerinin sistem gereksinimleriyle uyumlu olmasını gerekli kılan NAP ile DirectAccess entegredir. IT yöneticileri servera ve hangi programlara erişilip erişilemeyeceğini ayarlayabilir.

DİRECTACCESS TEKNOLOJİSİ

•DirectAccess kanıtlanmış, standart ve temel tabanlı teknolojiler üzerine kurulmuştur:

Internet Protokol Güvenliği (IPSec)Internet Protokol Versiyon 6 (IPv6)

•DirectAccess IPSec kullanır: Hem bilgisayarları hem kullanıcılar tanımlamak için, IT yöneticilerine bilgisayarları, kullanıcılar login olmadan yönetmeleri için olanak tanır. Internet üzerinden iletişimi şifrelemek için

Üçlü Veri Şifreleme Standardı (3DES) Gelişmiş Şifreleme Standardı (AES).

DİRECTACCESS ERİŞİM METODLARI

•DirectAccess i aktif bilgisayarlar intranet kaynaklarına IPSEC in iki tip korumasını kullanarak bağlanırlar.

End-to-End

End-to-Edge

END-TO-END ERİŞİM METODU

•En yüksek derece güvenlik sağlar çünkü DirectAccess serverı üzerinden erişim kontorlü ayarlanabilir.

END-TO-EDGE ERİŞİM METODU

Bu mimarı IPSEC e intranet üzerinde ve herhangi bir IPv6 özellikle uygulama serverı ile çalışırken gerek duymaz.

DIRECTACCESS BAĞLANTI İŞLEMLERİ

DirectAccess li bilgisayarlar intranete bağlanmak için aşağıdaki işlemlerden geçerler:

1. Windows 7 kullanan DirectAccess lı bilgisayarın bir ağa bağlı olup olmadığı kontrol edilir.

2. DirectAccess konfiguresi boyunca bilgisayar intranet web sitesine bağlanmaya çalışır.

Web sitesi açılırsa, DirectAccess intranete zaten bağlı olduğunu tespit eder, ve DirectAcces bağlanma girişimleri durdurulur.Web sitesi açılmazsa, DirectAccess internete bağlı olduğunu tespit eder ve bağlantı girişimlerine devam eder.

3. DirectAccess li bilgisayarlar IPv6 ve Ipsec kullanarak DirectAccess serverına bağlanır. IPv6 ağı uygun değilse, bilgisayar 6to4 or Teredo kullanarak IPv6-over-IPv4 tunnel e bağlantı kurar. Bu aşama bitmeden kullanıcılar login olmamalıdır.

DIRECTACCESS BAĞLANTI İŞLEMLERİ(2)

4. Eğer bir güvenlik duvarı veya proxy sunucu, istemci bilgisayar DirectAccess sunucusuna bağlantısını 6to4 veya Teredo kullanarak engellerse, istemci otomatik olarak Güvenli Yuva Katmanı (SSL) kullanan IP HTTPS protokolünü kullanarak bağlanmaya çalışır.

5. IPSec oturumun br kurulum parçası olarak, DirectAccess istemcisi ve server kimliği doğrulama için bilgisayar sertifikalarını kullanır.

6. Active Directory ® grup üyeliklerini onaylamak için, DirectAccess sunucu, bilgisayarları ve kullanıcıları DirectAccess kullanarak bağlanmak için yetkili olduğunu doğrular.

7. Eğer Ağ Erişim Koruması (NAP) etkinleştirilirse ve sağlıklı doğrulama için ayarlanırsa, DirectAccess istemcisi HRA dan sertifika temin eder.

8. The DirectAccess serverı intranet kaynaklarına erişebilen DirectAccess istemcisinden trafikleri yönlendirmeye başlar.

DİRECTACCESS KİŞİSELLEŞTİRİLEBİLİR

•Varsayılan olarak, DirectAccess kurumsal ağ üzerinde gereksiz trafiği azaltmak için internet trafiğiyle intranet trafiğini ayırır.Fakat, bazı kişiselleştirmelere de güvenlik duvarı politikalarını kullanarak izin verir.

Istemci bilgisayarlara tüm internete bağlanmak için izin verir ama sadece intranet üzerinde belirli alt ağda.Direkt olarak İnternet Explorer kullanarak bağlanmak için istemci bilgisayarlara izin verir ancak intranet üzerinden tüm diğer uygulamalar için trafik gönderir.

İntranetinizde belirli serverları sınırlandırarak internete iletişim yollamadan intranet uygulamalarını önler .

DİRECTACCESS VE IPV6

•DirectAccess IPv6 kullanımını gerektirir. Böylece DirectAccess istemcileri global olarak routable adres alırlar.•Zaten bir yerel IPv6 altyapısını kullanan kuruluşlar için, DirectAccess sorunsuz olarak DirectAccess istemci bilgisayarlara ve mevcut altyapı uzanır bu istemci bilgisayarların hala Internet kaynaklarına IPv4 kullanarak erişebilirsiniz.

DİRECTACCESS AND IPV6 (2)

•Henüz IPv6 dağıtmalarını başlamamış kuruluşları için, DirectAccess bir altyapı yükseltmesine gerek kalmadan IPv6 dağıtımı için basit bir yol sağlar.

•IPv4 Internet and the ISATAP IPv6 geçiş teknolojileri üzerinden bağlantı için 6to4 ve Teredo IPv6 geçiş teknolojilerini kullanabilirsiniz.Böylece DirectAccess istemcileri IPv6 uyumlu kaynaklara IPv4 intranetiniz üzerinden erişebilir.

•Ayrıca, ağ adres çevisi- Protokol Geçişi (NAT – PT) aygıtı dağıtabilirsiniz böyleceDirectAcces istemci bilgisayarları henüz IPv6 desteklemeyen intranet kaynaklarınıza erişebilir.

IPV6 GEÇİŞ TEKNOLOJİLERİ

•Teredo, 6to4 ve içi-Site Otomatik Tünel (ISATAP) Protokolü Adresleme IPv6 geçiş teknolojilerine örnektir.

• Bu teknolojiler IPv6 kullanmanıza DirectAcces istemcilerinizin IPv4 internette ve şebeke altyapısının henüz IPv6 yönlendirmeyi desteklemiyor olsa bile izin verir.

•Lütfen IPv6 ortamın yokluğunda dış ve intranet bağlantısı seçenekleri için aşağıdaki iki slayta bakın

IPV6 GEÇİŞ TEKNOLOJİLERİ – HARİCİ BAĞLANTI

•Olası DirectAccess istemci ayarlamaları ve bir IPv4 harici ağ üzerindeki DirectAccess serverına IPv6 trafiği göndermeye ilişkin metod:

6to4: IPv4adresslerine sahip host ve siteler için IPv4 Internet üzerinden IPv6 bağlantısına imkan veren bir IPv6 geçiş teknolojisidir.Teredo: Belirlenen ve özel IPv4 adresi ve IPv4 ağ adres geçişi (NAT) aygıtının arkasında yer alan hostlar için IPv4 Interneti üzerinden IPv6 bağlantısını sağlayan bir IPv6 geçiş teknlojisi. IP-HTTPS: Windows 7 ve Windows Server 2008 R2 için yeni bir protokoldur. Web proxy sunucusu veya güvenlik duvarı arkasında barındıran bir IPv4 içinde IPv6 paketleri tünelleme tarafından tabanlı HTTPS oturumu bağlantısı kurmayı sağlar

IPV6 GEÇİŞ TEKNOLOJİLERİINTRANET BAĞLANTISI

•ISATAP: IPv4-sadece intranet üzerinden IPv6 ve IPv4 hostları arasında IPv6 bağlantısına imkan veren bir IPv6 geçiş teknolojisidir.

•ISATAP DirectAccess için ISATAP host'lara intranetiniz üzerinden IPv6 bağlantısı sağlamak için kullanılabilir.

Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2 ISATAP host özelliğini destekler. ISATAP bu bilgisayarları IPv6 kullanarak IPv6 yönlendirme gerek kalmadan başlatmalarını sağlar.

•NAT-PT: A NAT-PT aygıtı intranetinizdeki kaynaklara DirectAccess istemcileri için kullanıma sokulabilir.

A NAT-PT DNS alan adını kapsamak için ayarlanmıştır.IPv6 dan IPv4 e gerekli çevirileri yapar, aynı alan adında yer alan IPv4 kaynaklarına DirectAccess istemcilerinin erişimine izin verir.