Si dovrebbe ancora utilizzare DirectAccess? Quali sono le alternative?

Always On VPN è attualmente molto dibattuto e allo stesso tempo 'DirectAccess' sembra perdere popolarità. Microsoft ha annunciato qualche tempo fa che DirectAccess non sarebbe più stato sviluppato e pertanto dovrebbe essere utilizzato 'Always On VPN'. Tuttavia, DirectAccess non è stato ancora ufficialmente arrestato ed è ancora presente nella versione più recente del sistema operativo dei server. La domanda è: quali sono oggi le opzioni per una soluzione di accesso remoto?

  #Connettività   #Digital Workplace   #Endpoint Mobility Security   #Il workplace del futuro   #SDWAN  

DirectAccess consente ai computer membri del dominio di connettersi esternamente alla rete aziendale senza che l'utente debba stabilire una connessione esplicitamente. La tecnologia è stata introdotta in Windows Server 2008 R2 ed era piuttosto complicata da implementare, a causa delle sue dipendenze da IPv6. A partire da Windows Server 2012, la connessione è stata ottimizzata e costruita attraverso un tunnel HTTPS che ha reso la configurazione un gioco da ragazzi. I client con Windows 8 e versioni successive possono utilizzare un proxy Kerberos sul server DirectAccess per l'autenticazione anziché i certificati. Questo elimina anche la configurazione più complessa di un'infrastruttura PKI.

 

Come utilizzare DirectAccess

DirectAccess è ancora supportato e fornisce una configurazione molto semplice di server e di client utilizzando la procedura guidata e criteri di gruppo. La connessione tramite un tunnel IPSec basato su IPv6 e HTTPS, ovvero un tunnel nel tunnel, può essere utilizzata non solo per l'accesso del client alla LAN, ma viceversa, dai server di gestione ai client. DirectAccess richiede client Windows con Enterprise Edition dei sistemi operativi; inoltre IPv6 e Windows Firewall devono essere abilitati. Gli unici inconvenienti di questa variante sono la mancanza di compatibilità con le applicazioni che trasmettono le informazioni di connessione IPv4 al client e la dipendenza dall'appartenenza al dominio. Pertanto è necessario implementare una soluzione aggiuntiva per le connessioni VPN dall'esterno, ad esempio da consulenti esterni. Inoltre, ci sono gestori della sicurezza che sono disturbati dal fatto che il server di DirectAccess deve anche essere un membro del dominio e quindi essere sulla rete interna o, se posizionato nella dmz, deve aprire un numero corrispondente di porte a quelle che vengono aperte alla rete interna.

 

Come configurare Always On VPN

Always ON VPN è offerto da Microsoft come successore di DirectAccess. Non si tratta di una singola funzionalità o prodotto, ma di una raccolta di opzioni diverse che possono essere utilizzate insieme o separatamente. In linea di principio, Always On VPN è una configurazione dal lato client che, analogamente a DirectAccess, consente la connessione automatica. Oltre a un tunnel convenzionale, è possibile creare anche VPN specifiche dell'applicazione che vengono create durante l´inizializzazione dell'applicazione e utilizzate solo da esse. Il cosiddetto " Device Tunnel " offre la possibilità di connettere il client alla rete aziendale prima che l'utente si registri, proprio come DirectAccess. Ma attenzione: il Device Tunnel ha requisiti diversi rispetto al 'User Tunnel': il sistema operativo client deve essere in Enterprise Edition e solo il protocollo IKEv2 è supportato. I tunnel utente possono inoltre utilizzare il protocollo SSTP (Secure Socket Tunneling Protocol).

 

La configurazione fa la differenza

La configurazione dei client è possibile solo tramite il servizio cloud Intune o tramite script powershell e pertanto non è così intuitiva come il Wizard grafico di DirectAccess. Dal lato server, è possibile integrare anche un server VPN Microsoft con protocollo IKEv2 per il Device Tunnel: per i User Tunnel possono essere integrate le soluzioni SSTP o VPN di terzi, come Cisco, Checkpoint o Fortinet. A proposito, molti firewall offrono servizi VPN integrati. Anche altre appliance di rete, ad esempio Citrix Netscaler Gateway, forniscono questa funzionalità. (Attenzione: anche Citrix chiama la sua funzione di accesso remoto AlwaysON - c'è il rischio di confusione.) Quindi le soluzioni di terzi sono in realtà un'alternativa - se il know-how è disponibile e tutte le funzionalità possono essere coperte.

 

Abbiamo esperti per tutte le vostre soluzioni

Sebbene DirectAccess non sia più attivamente consigliato da Microsoft, la funzionalità è comunque una soluzione di accesso remoto facile da implementare. Un prerequisito per l'utilizzo è la compatibilità delle applicazioni tramite il tunnel IPv6. In questo caso, DirectAccess rimane la prima scelta per l'accesso remoto, possibilmente in combinazione con un server VPN tradizionale, in modo che anche i dispositivi che non sono membri del dominio possano essere connessi. Always on VPN offre più opzioni di DirectAccess, ma non è così facile da configurare, ed è importante definire fin dall'inizio quali funzionalità utilizzare, perché non tutte funzionano altrettanto bene insieme.

Indipendentemente da quale delle soluzioni descritte fa per voi, gli esperti UMB saranno lieti di assistervi nella pianificazione e nell'implementazione. Vi preghiamo di contattarci.