7 amp Forefront UAG 2010 Stanislas Quastana CISSP Architecte Infrastructure Microsoft France httpblogstechnetcomstanislas Benoit Sautière Leader Technique MVP Enterprise Security ID: 748008
Download Presentation The PPT/PDF document "DirectAccess avec Windows" is the property of its rightful owner. Permission is granted to download and print the materials on this web site for personal, non-commercial use only, and to display it on your personal computer provided you do not modify the materials and that you retain all copyright notices contained in the materials. By downloading content from our website, you accept the terms of this agreement.
Slide1
DirectAccess
avec Windows 7& Forefront UAG 2010
Stanislas Quastana, CISSPArchitecte InfrastructureMicrosoft Francehttp://blogs.technet.com/stanislas
Benoit
Sautière
Leader Technique
MVP Enterprise Security
http://danstoncloud.com/blogs/SimpleByDesignSlide2
AgendaDirectAccess avec Windows 7 & UAG 2010IntroductionMécanismes & architecture de
DirectAccessArchitecte globaleIPv6IPsecRésolution de nomsSécurité & contrôle de conformitéModèles d’accès
DirectAccessRetour d’expérience d’un projet DirectAccess avec UAGSynthèseRessources utiles & Questions / RéponsesSlide3
Agenda
DirectAccess avec Windows 7 & UAG 2010
IntroductionMécanismes & architecture de DirectAccessArchitecte globaleIPv6
IPsec
Résolution de noms
Sécurité & contrôle de conformité
Modèles d’accès
DirectAccess
Retour d’expériences & bonnes pratiques
Synthèse
Ressources utiles & Questions / RéponsesSlide4
Accès distants aujourd’huiLes utilisateurs ont parfois du mal à accéder aux ressources de leur entreprise à distanceErgonomie des outils discutableTemps d’établissement des connexionsMauvaise formation aux outilsApplications non publiables…Les postes nomades sont difficilement administrables à distance par les équipes ITSlide5
Accès distants simplifiés pour l’utilisateur
SSTPVPN Reconnect
DirectAccessSlide6
Objectifs de DirectAccessRépondre aux nouveaux besoins et usagesRendre les utilisateurs plus mobilesSe connecter depuis n’importe oùRester connecté en permanenceTravailler plus efficacementRedonner le contrôle logique aux équipes IT qui ont perdu le contrôle physique des postesSlide7
DirectAccess en quelques pointsAccès distant transparent pour l’utilisateurConnexion permanente au Système d’Information de l’entrepriseLe tout avec le maximum de sécuritéChiffrement des communicationsAuthentification multi facteursContrôle de conformité
Contrôle des accès, isolation logique…Slide8
DirectAccess côté utilisateurSlide9
Agenda
DirectAccess avec Windows 7 & UAG 2010
IntroductionMécanismes & architecture de DirectAccessArchitecte globaleIPv6
IPsec
Résolution de noms
Sécurité & contrôle de conformité
Modèles d’accès
DirectAccess
Retour d’expériences & bonnes pratiques
Synthèse
Ressources utiles & Questions / RéponsesSlide10
Architecture de
DirectAccess
(version simplifiée)
DC/DNS
Autres serveurs
Serveur
DirectAccess
IPv6 /
IPsec
Client Windows 7
NPS
Internet
Réseau
entreprise
IPv6 / (
IPsec
)Slide11
Les technologies utilisées dans DirectAccess Poste clientWindows 7 édition Entreprise ou Intégrale membre d’un domaineParamétré via stratégies de groupesPare-feu personnel
Passerelle DirectAccess / Forefront UAG 2010Windows Server 2008 R2 membre du domaineRéseau
IPv6IPsecSuffixes de recherche DNS, Serveurs DNS IPv6 Network Access Protection (optionnel)Slide12
Pourquoi commencer à penser à IPv6 ?(Parce que IPv4 a ses limites)Adressage sur 32 bitsSoit 4 294 967 296 d’adressesLes adresses vont finir par manquerSurtout dans certaines zones de la planèteLe NAT n’est pas une solution à ce problème
De nombreuses applications posent problèmes avec la translation d’adresse (NAT)certaines applications de VoIP par exemple…Slide13
IPv6 : la solution aux problèmes d’IPv4Adressage sur 128 bits (versus 32bits en IPv4)Soit 3.4 x 10^38 adressesIPv6 restaure la connectivité et l’addressabilité
globale Ne nécessite pas forcément une configuration manuelle ou un DHCPIPsec est natif à IPv6
Exemple d’adresse IPv6 :2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5ASlide14
Technologies de transition IPv4 vers IPv6Pourquoi ?Parce qu’aujourd’hui on « vit » dans un monde principalement IPv4La migration globale n’est pas pour demain, mais il faut y penser dès aujourd’huiComment assurer la transition ?Avec différents mécanismes de transition présents nativement dans Windows (client & serveur) et dans Forefront UAG 2010Slide15
Technologies de transition 6to4Pour accéder à des ressources IPv6 depuis Internet en IPv4 (adresses publiques) Slide16
Technologies de transition6to4Pour accéder à des ressources IPv6 depuis Internet en IPv4 (adresses publiques)
Internet IPv4
Client -
adresse IPv4
(6to4 host)
Serveur XYZ
Adresse IPv6
(6to4 host)
6to4 Router
IPv6 encapsulé dans IPv4 protocole 41
IPv6Slide17
Technologies de transition 6to4Teredo
IP HTTPS
Pour accéder à des ressources IPv6 depuis des réseaux locaux «
NATés
» ou filtrés
Pour accéder à des ressources IPv6 depuis Internet
en IPv4 (adresses publiques) Slide18
Technologies de transition
Teredo
IP HTTPS
Pour accéder à des ressources IPv6 depuis des réseaux locaux «
NATés
» ou filtrés
Réseau entreprise / maison en IPv4
NAT
Serveur XYZ
Adresse IPv6
Relais
Teredo
IPv6 encapsulé dans IPv4 UDP 3544
IPv6
InternetSlide19
Technologies de transition
Teredo
IP HTTPS
Pour accéder à des ressources IPv6 depuis des réseaux locaux «
NATés
» ou filtrés
Internet
Réseau entreprise / maison en IPv4
NAT
Serveur XYZ
Adresse IPv6
Relais
Teredo
IPv6 encapsulé dans IPv4 UDP 3544
IPv6
Internet
Réseau privé (IPv4 ou IPv6)
Équipement filtrant
(
sauf
https
) ou proxy
Serveur XYZ
Adresse IPv6
Serveur
IP-HTTPS
IPv6 dans HTTPS sur IPv4 ou IPv6
IPv6
Client IP-HTTPS
Réseau entrepriseSlide20
Technologies de transition 6to4Teredo
IP HTTPSISATAPNAT64/DNS64
Pour permettre la coexistence IPv4 / IPv6
dans votre réseau d’entreprise
Pour accéder à des ressources IPv6 depuis des réseaux locaux «
NATés
» ou filtrés
Pour accéder à des ressources IPv6 depuis Internet
en IPv4 (adresses publiques) Slide21
Technologies de transition : ISATAPTechnologie de transition permettant de passer de l’IPv6 dans de l’IPv4 (encapsulation)IPv4 next protocol 41Utilisation dans un Intranet Slide22
Technologies de transition : NAT64/DNS64Remplaçant de NAT-PT (dont la RFC a été dépréciée)Permet de faire la transition d'IPv6 vers IPv4 pour les réseaux où il n’y a pas d’IPv6Présent dans Forefront
Unifed Access Gateway 2010
NAT64
DNS64
Machine
XYZ
Adresse IPv6
IPv6
IPv4
Serveur XYZ
Adresse IPv4Slide23
Technologies de transition 6to4Teredo
IP HTTPSISATAPNAT64/DNS64
Pour permettre la coexistence IPv4 / IPv6
dans votre réseau d’entreprise
Pour accéder à des ressources IPv6 depuis des réseaux locaux «
NATés
» ou filtrés
Pour accéder à des ressources IPv6 depuis Internet
en IPv4 (adresses publiques) Slide24
IPv6 et DirectAccessWindows Server 2008 R2 et les clients Windows 7 intègrent plusieurs technologies de transition6to4TeredoIP-HTTPsISATAP
Utilisez ISATAP dans votre réseau d’entreprise si vos systèmes le permettentil suffit de conserver la case IPv6 cochée par défaut dans le paramétrage réseauPour les systèmes non compatibles IPv6, utilisez NAT64/DNS64 fourni uniquement dans Forefront UAG 2010Slide25
IPsec - RappelsComme son nom l’indique IPsec travaille au niveau réseau (couche 3) et permet d’établir un canal sécurisé pour échanger de manière protégée des données entre deux périphériques (machines, routeurs, …)Deux modesMode tunnelMode transportSlide26
IPsec et DirectAccessAuthentification et chiffrement du trafic DirectAccessClient avec Passerelle DirectAccess (Forefront UAG)Client avec réseau d’entreprise (serveurs internes) de bout en boutBasé sur
Authenticated IP (AuthIP)Version améliorée du protocole IKEPour l’authentification utilisateur, machine, NAPSlide27
IPsec et DirectAccessLa communication entre un client et le serveur DirectAccess utilise jusqu’à 2 tunnels IPsec 1er
tunnel [Tunnel d'infrastructure]Client / DirectAccess / adresses IPv6 des DNS / DCs / Mgmt
Certificat machine (1er auth), machine NTLMv2 (2ème auth
)
Chiffrement ESP
Second tunnel
[Tunnel utilisateur – applications]
Client /
DirectAccess
/ le reste du réseau d’entreprise
Certificat machine (1
er
auth
), utilisateur
Kerberos
2
ème
auth
)
Chiffrement ESP
Optionnel : autorisation tunnel
IPsec
(avec
SmartCard
)Slide28
Résolution de noms et DirectAccessComment un poste Windows 7 connecté sur Internet fait pour résoudre des noms de domaine internet (Intranet) ?Slide29
Résolution de noms - NRPTNRPT : Name Resolution Policy TableNouvelle fonctionnalité de Windows 7
Cette table contient une liste d’espace de noms avec les adresses des serveurs DNS associésUne sorte de conditional forwarding côté poste client
Suffixe
Serveur
DNS
europe.macompagnie.com
europe_dns1
europe_dns2
europe_dns3Slide30
Résolution de noms - NRPTSi pour une requête, le nom correspond à une entrée de la NRPT, la requête est envoyée au serveur DNS spécifié dans la NRPTCe sont les adresses des DNS internes qui n’ont pas besoin d’être exposés dans une DMZSi le nom requêté ne correspond pas à une entrée de la table NRPT, la requête part vers le serveur DNS paramétré sur l’interface réseauNouvel ordre de résolution de nom dans Windows 7Cache local
Fichier HostsNRPT DNS Intranet /!\
NRPT désactivée quand le client est sur le LANDNS InternetSlide31
Détermination du réseau sur lequel le poste Windows 7 est connectéComment un poste Windows 7 « monte » ou pas une connexion DirectAccess ?NLS : Network
Location ServerUn serveur HTTPS avec une page accessible sur le réseau Intranet2 conditions pour déterminer qu’un poste est sur l’IntranetRésoudre le noms DNS du NLS
Puis établir une connexion HTTPS sur le NLSSi les 2 conditions ne sont pas respectées DASlide32
2 approches : Split Tunneling (mode par défaut)Forced Tunneling
Gestion des accès Intranet vs Internet
(l’heure du choix)
DC/DNS
Serveurs proxy
(ex:
TMG 2010
)
Serveur
DirectAccess
Client Windows 7
Internet
Réseau
entreprise
IPv6 / (
IPsec
)
Serveur Web
IPv6 /
IPsec
http://www.
DNS public
NRPT
* → DNS IPV6
DNS
→ DNS public
DNS
FQDN → @IP
Surf
@IP → TMGSlide33
Contrôle de conformité pour l’accès au réseauNetwork Access ProtectionContrôle de l’état de la conformité des machines basé sur une (des) stratégie(s) d’entrepriseCorrection automatique de la configurationIsolation en cas d’échecPoints de vérification par défaut
Pare-feu, anti-malware, anti-spyware, mises à jour de sécuritéExtensible via des solutions partenaires (>100 partenaires)Slide34
Agenda
DirectAccess avec Windows 7 & UAG 2010
IntroductionMécanismes & architecture de DirectAccessArchitecte globaleIPv6
IPsec
Résolution de noms
Sécurité & contrôle de conformité
Modèles d’accès
DirectAccess
Retour d’expériences & bonnes pratiques
Synthèse
Ressources utiles & Questions / RéponsesSlide35
Modèles d’accès DirectAccessAccès complet à l’IntranetEnd-to-edgeAccès à des groupes
de serveursModified end-to-edgeDe bout en boutEnd-to-End
Simple / Actuel
Complexe / FuturisteSlide36
Accès complet à l’Intranet
End-to-edge
Déploiement simpleServeur DirectAccess équivalent à un serveur VPNTerminaison IPsec sur le serveur DA
Serveur
DirectAccess
[UAG 2010]
Tunnel
IPsec
ESP [Infra]
Client DA Windows 7
Internet
Autres serveurs
DC/DNS
management
Tunnel
IPsec
ESP[User]
Réseau entrepriseSlide37
Accès à des groupes de serveursModified end-to-edgeTunnels IPsec chiffrés jusqu’au serveur DirectAccessIPsec ESP NULL (non chiffré)
en mode transport du client jusqu’aux serveurs d’applicationsAuthentification machine / utilisateur sur le serveur d’applicationPermet de restreindre et contrôler finement les accès
Tunnel
IPsec
ESP [Infra]
Client DA Windows 7
Internet
Autres serveurs
(
W
indows Server 2008 et +)
DC/DNS
management
Tunnel
IPsec
ESP[User]
Réseau entreprise
Serveur
DirectAccess
[UAG 2010]
IPsec
ESP NULL en mode transport Slide38
De bout en boutEnd-to-EndChiffrement et authentification IPsec (tunnel) du client jusqu’au serveur d’applicationsIci le serveur DirectAccess agit comme un simple équipement réseau qui est traversé par le tunnel IPsec
Client DA Windows 7
Internet
Autres serveurs
(
W
indows Server 2008 et +)
DC/DNS
management
Réseau entreprise
Serveur
DirectAccess
[UAG 2010]
IPsec
ESP chiffré en mode transport avec authentification machine + utilisateurSlide39
Bénéfices / apports de Forefront UAG 2010 Méthode de transition complémentaire : NAT64/DNS64Indispensable si vous ne voulez pas d’IPv6 sur votre LANTolérance de panne du service DirectAccess et montée en charge par Scale
OutFerme de serveurs Forefront UAG 2010Forefront UAG 2010 permet le stockage de la configuration des membres de la ferme de manière centraliséeEquilibrage de charge IP : NLB de Windows Server 2008 R2 spécialement « tuné » pour et piloté par Forefront UAGSlide40
Paramétrage de DirectAccess dans Forefront UAG 2010Slide41Slide42
Agenda
DirectAccess avec Windows 7 & UAG 2010
IntroductionMécanismes & architecture de DirectAccessArchitecte globaleIPv6
IPsec
Résolution de noms
Sécurité & contrôle de conformité
Modèles d’accès
DirectAccess
Retour d’expériences & bonnes pratiques
Synthèse
Ressources utiles & Questions / RéponsesSlide43
Retour d’expérience DA + UAGC’est un projet à part entièreIncluant de nombreuses équipesImplique un sponsor pour ce projet
Dialogue entre les équipes réseau et sécuritéApprocheCommencer simple puis monter en gamme
Etre modeste sur les objectifs « sécurité »Former vos équipesAspects techniquesImportance du respect des pré-requis techniques
Problématique en cas de non respect de la RFC 1918 combiné avec l’usage de plage IP « usurpées »Slide44
Agenda
DirectAccess avec Windows 7 & UAG 2010
IntroductionMécanismes & architecture de DirectAccessArchitecte globaleIPv6
IPsec
Résolution de noms
Sécurité & contrôle de conformité
Modèles d’accès
DirectAccess
Retour d’expériences et bonnes pratiques
Synthèse
Ressources utiles & Questions / RéponsesSlide45
DirectAccess avec Forefront UAG résumé final Transparent
Toujours connecté ! Toujours managé !Pas d’interaction utilisateur, pas de client VPN à manager !Pas de configuration par application
SécuriséChiffrement des communicationsAuthentification forte possible avec carte à puceContrôle des accès grâce à l’isolation logique (IPsec)Coexistence possible avec d’autres stratégies d’accès distant et de santé (UAG = plateforme d’accès universelle)
Tolérance de panne et montée en charge (
scale
out) disponible uniquement avec Forefront UAG 2010Slide46
Ressources utiles
Blog de Stanislas :
http://blogs.technet.com/stanislas
Blog
de Benoit :
http://danstoncloud.com/blogs/SimpleByDesign
Dans ces blogs, cliquez
DirectAccess
dans la zone de tags pour accéder à toutes les informations complémentaires et les liens vers les documents de références.Slide47
©
2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows 7 and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.