Windows 7 / Server 2008 R2: Jak funguje Direct Access?

Primárním znakem operačních systémů Windows 7 a Windows Server 2008 R2 je snaha výrobce o jednotnost architektury serverových a klientských operačních systémů založených na stejném jádru. Důvod je nasnadě - jednotná architektura umožňuje využít stejné nástroje pro deployment, monitoring i správu, patch management a další administrátorské úkony. Nejen architektura obou těchto systémů, ale i možnosti jejich vzájemné spolupráce při současném nasazení z nich činí pevně propojenou dvojici. Jedním z typických příkladů funkcionality, ke které uživatel potřebuje oba systémy, je technologie Direct Access (DA).

Řešením pro takové situace byla, a doposud ve většině případů také je, klasická podoba VPN (Virtual Private  Network), tedy technologie, která přesměruje síťovou komunikaci pomocí zabezpečeného kanálu do vnitřní sítě organizace, jejíž zdroje uživatel potřebuje v dané chvíli využít.

Ne vždy však v takových případech IT vidí přístup pomocí klasické VPN jako optimální a využití možnosti zveřejnění některých služeb či dat vně firemního prostředí není z pohledu pracovníků starajících se o bezpečnost vždy vítáno. Další negativní vlastností klasické VPN je fakt, že v momentě navázání spojení do organizace odřízne komunikaci směrem k internetu jako takovému a přesměruje veškerou síťovou komunikaci z klientské stanice do zabezpečeného VPN kanálu. V takovém případě uživatel, který se takto připojen obrací na web s běžným požadavkem, komunikuje nejprve po zabezpečeném kanálu skrze VPN do podnikového intranetu a poté skrze něj opět zpět do internetu.

Z uvedeného vyplývá, že v důsledku této zdvojené komunikace může docházet ke zbytečnému a nadměrnému zatěžování přenosového pásma v situacích, kdy šifrovaného spojení není vůbec zapotřebí. Navíc, pokud uživatel se svým počítačem pracuje mimo organizaci, VPN spojení běžně navázané nemá, a musí jej v momentě potřeby spojení s podnikovým intranetem vytvořit, což může i samo o sobě být pro méně zkušené uživatele problematické.

Podstatným faktem je i to, že klasická VPN je prostupná pouze jednosměrně, od uživatele do intranetu (opačně pouze vyžádaná komunikace ze strany klienta). Z toho důvodu nelze využít tuto formu připojení pro správu stanic, které jsou například dlouhodobě umístěné mimo firemní síť.

Direct Access
S příchodem Windows 7 a Windows Server 2008 R2 se administrátorům dostává do rukou nová možnost, jak s požadavkem konektivity do interní sítě organizace naložit a při zachování dostatečné míry bezpečnosti umožnit externím uživatelům používat interní zdroje bez nutnosti konfigurace a navazování klasické VPN. Je jí právě technologie Direct Access (DA).

Podstatou DA je, podobně jako u VPN sítí, odpovídající klient na straně pracovní stanice a server v umístěný v demilitarizované části podnikového intranetu. Mezi oběma zařízeními se vytvoří šifrované spojení (HTTPS tunel), přičemž vzniká permanentní komunikační kanál, který je pro uživatele naprosto transparentní. Pracuje bez nutnosti navazování spojení VPN uživatelem, a to prakticky identickým způsobem, jako by byl uživatel fyzicky přítomen ve firemní síti, do které se připojuje (plně se například využívá jmenná konvence vnitřního prostředí, funguje funkce nslookup atd.).

Direct Access proti klasické VPN přináší ještě další výhody. Jednou z nejvýznamnějších je to, že komunikace, která nesměřuje do podnikového intranetu, ale vně do internetu, již nemusí primárně procházet skrze VPN. Kromě rychlejší odezvy tedy nezatěžuje zbytečně přenosové pásmo směrem do organizace.

Další výhodou, pro mnohé možná ještě důležitější, je možnost obousměrné komunikace, resp. možnost takto připojené stanice monitorovat a spravovat pomocí standardních nástrojů, jako by byly přímo připojené v interní síti organizace. Lze tak u nich zajistit patřičný dohled, patch management, softwarovou inventarizaci a další úkony, včetně aplikování skupinových politik v rámci Active Directory.

Požadavky DA
Aby bylo možné funkcionalitu DA využít, je nutné mít na klientské straně alespoň Windows 7 Enterprise nebo Ultimate a na serverové straně Windows Server 2008 R2. Příslušný server umístěný v DMZ musí být vybaven alespoň dvěma síťovými adaptéry, z nichž jeden je propojen s vnitřní sítí a druhý s externím prostředím internetu (zároveň jsou vyžadovány alespoň dvě volné adresy IPv4 přístupné z vnějšího prostředí internetu). DA server pak komunikuje s klientem pomocí protokolu IPv6 skrze HTTPS tunel. Proč? Přestože IPv6 je pro tuto technologii základním předpokladem, v oblasti internetu zatím neexistuje plná podpora IPv6 - proto se navíc používají technologie vycházející ze současných standardů (IPv4) tak, aby Direct Access mohl být internetem tunelován. Vzhledem k možnosti využití různých druhů certifikátů je však kombinace těchto technologií velmi bezpečná.

Pozor, PKI obecně je jedním z dalších nutných předpokladů pro nasazení Direct Access - proto je nezbytně nutné mít předem připravenou PKI infrastrukturu, včetně dobře nastavených procesů správy certifikátů. Další zajímavou vlastností je integrace technologie Direct Access s technologií NAP (Network Access Protection). V takovém případě musí být zajištěn i proces vydávání certifikátů pro počítače, které jsou v momentě požadavku na připojení vyhodnoceny Health Registrační Autoritou jako vyhovující a má jim být umožněn přístup do vnitřní sítě, ale permanentní certifikáty nemají.

Závěrem
Direct Access představuje vhodné řešení zejména tam, kde uživatelé hodně cestují nebo pracují mimo prostředí mateřské organizace. Kromě zjednodušení použití pro koncové uživatele přináší i celou řadu nových možností pro administrátory a autor tohoto článku je přesvědčen, že by se v dohledné době mohla dočkat širšího využití.

Autor pracuje jako technologický specialista divize Windows Client ve firmě Microsoft.