سلام بر دوستان عزیز آیتی پرویی و علاقهمندان به مباحث شبکه. بحث دسترسیهای Remote و یا همان Remote Accessها به منابع شبکه، شاید تاکنون مورد استفاده خیلی از دوستان بوده است اما استفاده از آن محدود به استفاده از RRAS مانده است. امروز با تکنولوژی جدیدی در کنار RRAS از خانواده Remote Access ها آشنا میشویم که اگرچه مایکروسافت این سرویس را در ویندوز سرور 2008R2 لحاظ کرده است اما وجود مشکلاتی، استفاده از آن را غیرممکن ساخته بود تا این که در ویندوز سرور 2012 بابرطرف شدن این باگها استفاده از این سرویس نیز در بین علاقهمندان شدت گرفته است. DirectAccess همانند RRAS، یکی از تکنولوژیهای موجود در مفهوم Remote Access است که در اینجا اجمالا به معرفی و آشنایی با آن پرداختهایم.
در ویندوز سرور 2012R2، رول مربوط به Remote Access Server، شامل یک گروه منطقی از تکنولوژیهای دسترسی به شبکه میشود که همگی جزو سرویسهای ارائه شده در این رول بهحساب میآیند:
در ویندوز سرور 2012، رول Remote Access، شامل DirectAccess و RRAS بوده و همچنین قابلیت مدیریت مرکزی، ساختاربندی و مانیتورینگ DirectAccess، Routing و VPN ( در سرویس remote access) را هم داراست.در ویندوز سرور 2008، ویندوز سرور 2003 و ویندوز سرور 2000، Remot Access محدود به RRAS میشد که در آن هم فقط سرویسهای Dial-up، VPN، NAT و Routing را ارائه شده بود.
این سرویس که به Unified remote Access هم خوانده میشود، تکنولوژیای شبیه به VPN است که ارتباط اینترنت برای کامپیوترهای کلاینت برقرار میسازد. بر خلاف ارتباطات سنتی و رایج VPN که بایستی حتما توسط کاربر آغاز میشد و خاتمه مییابید، ارتباطات DirectAccess طوری طراحی شدهاند که به محض وصل شدن به اینترنت، بطور خودکار شروع به کار کنند. این سرویس که در ویندوز سرور 2008R2 معرفی شد، سرویس خود را برای ویندوز 7 و ویندوز 8 ارائه میکند.
در سال 2010 همگام با انتشار(Microsoft Forefront Unified Access (UAG پیاده سازی DirectAccess در ویندوز سرور 2008R2 بسیار سادهتر شد چرا که این نرم افزار شامل قابلیتهای اضافهتری بود که یکپارچهسازی را بدون نیاز به استفاده از IPv6 بسیار ساده میکرد و همچنین یک واسط کاربری اختصاصی را جهت ساختاربندی و مانیتورینگ در اختیار یوزر میگذاشت.برخی محدودیتها و پیشنیازها که بخشی از طراحی DirecAccess در ویندوز سرور 2008R2 و UAG بود، تغیر یافته است که در زیر به آنها اشاره خواهد شد.
از آنجایی که DirectAccess بر اساس تکنولوژی مایکروسافت ایجاد شده است، استفاده از این سرویس در یونیکس و لینوکس با نرم افزارهای Third-party امکان پذیر است. در ویندوز سرور 2012،DirectAccess کاملا در سیستمعامل یکپارچه سازی شده است و علاوه برپشتیبانی IPv6 و IPv4، واسط کاربری را جهت ساختاربندی به کاربر عرضه کرده است.
این تکنولوژی تونلهای IPsec را از کلاینت به سرور DirectAccess برقرار کرده و از IPv6 برای دسترسی به منابع اینترنتی یا دیگر کلاینتهای DirecyAccess استفاده میکند. این تکنولوژی بستههای IPv6 را تحت IPv4 (که توانایی دسترسی به اینترنت از طریق اینترانت را دارند) جاسازی(Encapsulate) میکند.پس تمام ترافیکهای اینترانت توسط IPsec رمزنگاری شده و در قالب بستههای IPv4، جاسازی میشوند و این بدان معنی است که در اکثر موارد هیچ ساختاربندی خاصی برای فایروال و یا پروکسی نیاز نمیباشد.
یک DirectAccess Client فقط میتواند از یکی از شیوههای متعدد تکنولوژی Tunneling استفاده کند و آنهم بسته به نوع شبکهای است که به آن وصل است. کلاینت میتواند از 6to4، Teredo tunneling یا IP-HTTPS بسته به این که سرور برای استفاده از کدامیک از آنها ساختاربندی شده است، استفاده کند. برای مثال کلاینتی که بطور مستقیم به اینترنت وصل است، از 6to4 استفاده میکند اما اگر این کلاینت بواسطه یک شبکه NAT شده، اینترنت را دریافت کند، از Teredo tunneling استفاده کرده است. علاوه بر این ویندوز سرور2012 دو سرویس سازگار DNS64 و NAT64 را ارائه کرده است که به DirectAccess Client این اجازه را میدهد تا در کنار شبکه شرکت، بتواند با سرورها نیز تعامل داشته باشد و تنها شرط آن این است که سرورها بر پایه IPv4 کار کنند.
برای استفاده از سرویس DirectAccess در ویندوز سرور2008R2 و UAG، پیش نیازهای زیر مورد نیاز است:
DirectAccess در ویندوز سرور 2012 به موارد زیر نیازمند است:
مشکلاتی در عملکرد DirectAccess در ویندوز سرور 2008R2 وجود دارد که در زیر به آنها اشاره خواهد شد : نسخه DirectAccess موجود در ویندوز سرور 2008R2 (نسخه موجود در UAG مد نظر نمیباشد) اجبارا شما را در هردوطرف ارتباط مجبور به استفاده از IPv6 میکند. این در حالی که مایکروسافت سرویس NAT64 (تبدیل IPv6 به IPv4) را در بنیان نسخه DirectAccess موجود در ویندوز سرور 2008R2لحاظ نکرده است. که این موضوع در مورد UAG صدق نمیکند و سرویس NAT64 در DirectAccess آن موجود میباشد. مایکروسافت این نقیصه را در نسخه DirectAccess سرور 2012 خود برطرف نموده است و تماما IPv4 پشتیبانی میشود.
پیروز و مانا باشید
کارشناس امنیت اطلاعات و ارتباطات
احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود