• Tweet

DirectAccess, uno de los principales productos presentes en Windows 7 y Windows Server 2008 R2 para la conexión desde cualquier punto, es posiblemente lo mejor que ha producido Redmond desde hace mucho tiempo. Desafortunadamente para muchos, se esperaba hace más de cinco años.

Para aquellos que les gusta probar lo antes posible las nuevas características de Windows 7, DirectAccess sirve para que los clientes de Windows 7 se conecten de forma segura a la red de su organización desde cualquier ubicación sin necesidad de una tradicional línea de VPN. Proveé un cifrado de conexión bidireccional entre el dominio de la empresa y el dispositivo del cliente, incluso antes de entrar al sistema, permitiendo a la administración el manejor remoto por medio de las Políticas de Grupo, tal como ocurriría al conectarse físicamente a la red. La conexión siempre esta activa por lo que los usuarios no tienen que recordar iniciar la aplicación de VPN, y sus aplicaciones, tales como Microsoft Outlook y el mensajero instantaneo, estan siempre en comunicación con la organizacion.

Desde este punto, DirectAccess es increible. Como administrador de red, me encanta tener siempre acceso remoto a los dispositivos, para asegurarme de tener actualizados los sistemas Anti-Virus y los parches de seguridad de Windows, y todo eso lo administro con las Políticas de Grupo de mi dominio. Tambien me agrada que no tengo que mantener una gran cantidad de políticas de la VPN, con lo cual mis usuarios pueden tener acceso a su correo sin necesidad de aplicaciones adicionales.

Grandiosa funcionalidad reprensenta grandioso hardware y software. La siguiente lista de requerimientos para DirectAccess viene directamente de Microsoft.

Uno o más servidores DirectAccess ejecutando Windwos Server 2008 RC2 con dos adaptadores de red: uno conectado directamente a Internet y otro conectado a la intranet.

En el servidor DirectAccess, una direccion IPv4 publica para acceder desde los cliente con Windows 7.

Al menos un Controlador de Dominio y un servidor de DNS ejecutando Windows Server 2008 RC2.

Una Infraesctructura de Llave Publica (PKI) para los certificados digitales y las tarjetas inteligentes certificadas.

Políticas de IPsec para especificar protección al tráfico de red.

Tecnologías de transición para IPv6 para usar en el servidorDirectAccess.

Opcionalmente un dispositivo de NAT-PT para proveer acceso a los recursos para los clientes de DirecctAcceess.

Esta no es una pequeña lista de requerimientos. Lo cual significa que para implementar DirectAccess, necesito cambiar, reemplazar o actualizar prácticamente toda mi red.

Tomando en cuenta la implementación, existen una serie de problemas. Primero, DirecAccess funciona sobre una arquitectura de IPv6 y solo se conecta a Windows Server 2008 RC2 o Windows Server 2008 con SP2. Internet, en su gran mayoria funciona con IPv4. Para comunicarse a través de Internet, existen protocolos de puente como 6to4 o Teredo que sirven para encapsular los paquetes de IPv6 en dispositivos de red que manejan IPv4. Estas tecnologías existen desde hace años, pero cuando tratamos de simplificar el acceso eliminando la administración de VPN ahora estamos agregando más protocolos con los cuales lidiar.

También, debido a que los otros sitemas de Windows Server no soportan los dos protocolos de IP al mismo tiempo, DirectAccess no se puede ejecutar de forma nativa en dichos sistemas.

Existe forma de proveer acceso a estos sistemas "antiguos" usando aplicaciones del tipo NAT-PT, tales como Microsoft Forefront Unified Access Gateway. Usando un dispositivo NAT-PT se permite el acceso a los clientes al DirectAccess utilizando servidores con IPv4, una gran idea, pero necesitamos agregar un nuevo dispositivo a la red.

DirectAccess es una de las grandes caracteristicas de Windows 7 y Windows Server 2008. Sigo pensando que es el futuro de la seguridad y la administración remota para los usuarios de Windows, pero desafortunadamente no veo a ninguna pequeña o mediana empresa realizando una actualización solo para agregar esta nueva característica. Es muy complicado justificar la inversión, sobre todo si ya existen las tecnologías de VPN.