fbpx

Blog: Mijn toegang is direct.

Al vele jaren hebben we de mogelijkheid te verbinden met ons bedrijfsnetwerk zonder fysiek aan dit netwerk verbonden te zijn. Deze manier van verbinden is bekend als een Virtual Private Network (VPN). Zowel een netwerk (bijvoorbeeld eVPN) als een client (bijvoorbeeld een laptop) kunnen op deze manier met een netwerk worden verbonden.

Door Christian Scheel

Vele leveranciers van VPN-oplossingen bieden oplossingen om te verbinden met het bedrijfsnetwerk. Hieronder vallen onder andere:

  • Microsoft;
  • Cisco;
  • Checkpoint;
  • Juniper.

Verschillende technieken

Ook worden hiervoor verschillende technieken gebruikt. Deze zijn deels leveranciersafhankelijk. Elke leverancier heeft zijn voor en nadelen. Een groot nadeel is het gebruik van poorten die op een firewall moeten worden opengezet. L2TP bijvoorbeeld, vereist het open zetten van een aantal poorten op een firewall en wat aanvullende aanpassingen als dit door middel van Network Address Translation (NAT) in combinatie Windows oplossingen wordt gebruikt. Ook Cisco en Checkpoint client software heeft de eis poorten open te hebben staan indien hun native protocol wordt gebruikt. Niet echt flexibel binnen sommige netwerken dus, omdat dit soort ‘exotische’ poorten van binnen naar buiten nog wel eens worden tegen gehouden. Om deze reden zijn er tegenwoordig veel Secure Socket Layer (SSL) VPN-oplossingen. Deze poort staat feitelijk van binnen naar buiten binnen ieder bedrijfsnetwerk open, omdat deze wordt gebruikt via een http- verbindingen.

Gebruikershandelingen nodig om een VPN op te zetten

Om met een client een VPN met het bedrijfsnetwerk op te zetten, is een aantal gebruikershandelingen nodig. Afhankelijk van de gekozen oplossing, bestaab deze uit het starten van de VPN-client software of het inloggen op een webportal. Veelal wordt hieraan ook two-factor authenticatie toegevoegd, zoals een hard/soft token of SMS-passcode. Met deze oplossingen kan de client veelal zelf niet bepalen of deze zich binnen het bedrijfsnetwerk bevindt. De gebruiker dient dus zelf een verbinding te maken met een het bedrijfsnetwerk.

Direct Access

Wat zou het toch mooi zijn als een laptop of tablet zelf detecteert of het zich niet verbonden ziet met het bedrijfsnetwerk en zelf een verbinding opzet via een verbinding die feitelijk in alle gevallen beschikbaar is. Microsoft heeft hiervoor Direct Access als oplossing beschikbaar. Deze oplossing is niet te vergelijken met een traditionele VPN-verbinding, maar biedt wel op een veilige manier toegang tot het bedrijfsnetwerk.

Direct Access is er al langere tijd en kent zijn ontstaan als toevoeging in de oplossing van Unified Acces Gateway (UAG). Voorganger hierin is de Intelligent Application Gateway. Deze kent zijn oorsprong weer in Whale Communications. Dit is in 2006 door Microsoft overgenomen. Vanaf server 2008 leeft de oplossing als Direct Access voort en met server 2012 is het een oplossing met meer bekendheid. De oplossing zoals ooit overgenomen van Whale Communications welke onder de Forefront-producten is opgenomen zoals de Thread Management Gateway (TMG, voorheen ISA) is end of life.

Wat zijn de voordelen?

Voordelen die worden behaald met een Direct Access oplossing zijn:

  • Volledig zonder gebruikersinteractie te gebruiken (uiteraard tenzij er two-factor authenticatie wordt toegepast);
  • Hiermee is two-factor authenticatie oplossing dus mogelijk;
  • Remote management van iedere Windows-client vanaf Windows 7 die lid is van het domein is mogelijk;
  • Doorvoeren patches volgens eigen patchplan op client devices ook als de gebruiker niet is ingelogd;
  • IPv4-translatie ook naar backend-systemen die niet lid zijn van het domein waarin het client device zich bevindt;
  • Hiermee IPv6 ready, wat binnen het Internet langzaamaan standaard voet aan de grond krijgt als standaard;
  • Controle over devices die wel en niet gebruik dienen te maken van deze oplossing;
  • Geschikt voor uw bestaande IPv4 netwerk;
  • Verbinding wordt gemaakt via een https-poort welke in vrijwel iedere organisatie van binnen naar buiten open staat;
  • Ook mogelijkheden uw Citrix farm te gebruiken zonder tussenkomst van een Access Gateway daar de nieuwere versies van de Citrix receiver IPv6 ready zijn;
  • Backend systemen die via de Direct Access verbinding worden benaderd -zoals applicatie servers- worden in dezelfde encryptie van Direct Access meegenomen;
  • Health check endpoint device mogelijk, waardoor de controle op een endpoint device zoals een laptop kan worden gedaan;
  • Fallback naar VPN-oplossing voor applicaties die eventueel niet kunnen werken met e oplossing.

Zijn er ook nadelen?

Toch kleven er ook een aantal nadelen aan de oplossing. Deze nadelen hebben te maken met 1) de directe werking van de oplossing en 2) organisatiespecifieke nadelen kunnen zijn. De volgende nadelen zijn te noemen:

  • In een aantal gevallen niet geschikt, daar het IPv6 betreft vanaf een client. Niet iedere applicatie kan hier mee omgaan. Microsoft heeft hier over nagedacht en biedt naast deze manier van verbinden nog een manier van verbinden wat meer gebaseerd is op een VPN oplossing;
  • Voor een juiste werking van Direct Access moet het device zoals een laptop lid zijn van het domein. Er is minimaal een Windows besturingssysteem nodig op de client. Deze dient geschikt te zijn om binnen een Windows domein te functioneren. Vandaag de dag is dit bijvoorbeeld Windows 8.1 PRO. Afwijking in clients die niet lid zijn van het domein is mogelijk. Dit maakt het voor Bring Your Own Devices (BYOD) interessant. Toch is een lidmaatschap van het domein een voorname eis.
  • Het besturingssysteem op de client wil nog wel eens vergeten de gebruiker te informeren van het invullen van een token;
  • Om het hoog beschikbaar te maken dient de oplossing in ideale vorm te worden uitgevoerd met een hardware load balancer zoals een Citrix Netscaler wat extra kosten met zich mee brengt;
  • Een PKI-infrastructuur binnen het domein is geen eis in gebruik bij server 2012 en Windows 8 maar eigenlijk altijd wenselijk. Er dient een certificaat server te worden geïmplementeerd. Voor veel organisaties is dit al aanwezig.

Volgende week het tweede deel waarin de volgende onderwerpen worden behandeld.

  • Hoe werkt het;
  • Techniek;
  • Wat heb ik nodig.

Meer weten over Direct Access?

Mocht je geïnteresseerd zijn in de mogelijkheden voor een Direct Access oplossing binnen je organisatie, dan helpen wij je graag met het maken van de juiste keuzes. Neem gerust eens contact met ons op voor het plannen van een vrijblijvend oriëntatiegesprek.