احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

تکنولوژی DirectAccess چیست؟ مقایسه Direct Access و Remote Access

سلام بر دوستان عزیز آی‎تی پرویی و علاقه‎مندان به مباحث شبکه. بحث دسترسی‎های Remote و یا همان Remote Accessها به منابع شبکه، شاید تاکنون مورد استفاده خیلی از دوستان بوده است اما استفاده از آن محدود به استفاده از RRAS مانده است. امروز با تکنولوژی جدیدی در کنار RRAS از خانواده Remote Access ها آشنا می‌شویم که اگرچه مایکروسافت این سرویس را در ویندوز سرور 2008R2 لحاظ کرده است اما وجود مشکلاتی، استفاده از آن را غیرممکن ساخته بود تا این که در ویندوز سرور 2012 بابرطرف شدن این باگ‎ها‎ استفاده از این سرویس نیز در بین علاقه‎مندان شدت گرفته است. DirectAccess همانند RRAS، یکی از تکنولوژی‎های موجود در مفهوم Remote Access است که در اینجا اجمالا به معرفی و آشنایی با آن پرداخته‌‏ایم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

Remote Access چیست؟

در ویندوز سرور 2012R2، رول مربوط به Remote Access Server، شامل یک گروه منطقی از تکنولوژی‎های دسترسی به شبکه می‎شود که همگی جزو سرویس‎های ارائه شده در این رول به‎حساب می‎آیند:

  • DirectAccess: این تکنولوژی برقراری ارتباط با منابع شبکه یک شرکت را بدون نیاز به ارتباطات مرسوم و رایج VPN، مهیا می‎سازد.
  • (Routing and Remote Access service(RRAS: این تکنولوژی با استفاده از کانال‎های VPN و یا Dial-up کاربر ریموت و ارتباط Site-to-Site را پشتیبانی می‎کند.همچنین این تکنولوژی به شما امکان این را می‌‏دهد تا بتوانید چندین Gateway را تعریف کنید و ترافیک را بین Subnet های مختلف مسیر‌دهی نمایید.
  • Web Application Proxy: این تکنولوژی عملکردی معکوس در مورد مسیر پروکسی برنامه‎های تحت وب را اجرا می‌کند و بدین وسیله به کاربران با هر دیوایسی اجازه می‏‌دهد تا از خارج از شبکه به برنامه تحت وب شما ارتباط برقرار کنند. Web Application Proxy دسترسی به برنامه‎های تحت وب را بوسیله (Active Directory Federation Services (AD FS از پیش احراز هویت (Pre-Authenticate) می‎کند و به عنوان یک AD FS Proxy عمل می‎کند.

در ویندوز سرور 2012، رول Remote Access، شامل DirectAccess و RRAS بوده و همچنین قابلیت مدیریت مرکزی، ساختاربندی و مانیتورینگ DirectAccess، Routing و VPN ( در سرویس remote access) را هم داراست.در ویندوز سرور 2008، ویندوز سرور 2003 و ویندوز سرور 2000، Remot Access محدود به RRAS می‎شد که در آن هم فقط سرویس‎های Dial-up، VPN، NAT و Routing را ارائه شده بود.

DirectAccess چیست ؟

این سرویس که به Unified remote Access هم خوانده می‏شود، تکنولوژی‎ای شبیه به VPN است که ارتباط اینترنت برای کامپیوترهای کلاینت برقرار می‌‏سازد. بر خلاف ارتباطات سنتی و رایج VPN که بایستی حتما توسط کاربر آغاز می‏‌شد و خاتمه می‎یابید، ارتباطات DirectAccess طوری طراحی شده‏‌اند که به محض وصل شدن به اینترنت، بطور خودکار شروع به کار کنند. این سرویس که در ویندوز سرور 2008R2 معرفی شد، سرویس خود را برای ویندوز 7 و ویندوز 8 ارائه می‏‌کند.

در سال 2010 همگام با انتشار(Microsoft Forefront Unified Access (UAG پیاده سازی DirectAccess در ویندوز سرور 2008R2 بسیار ساده‌‏تر شد چرا که این نرم افزار شامل قابلیت‏‌های اضافه‎تری بود که یکپارچه‏‌سازی را بدون نیاز به استفاده از IPv6 بسیار ساده ‎می‎کرد و همچنین یک واسط کاربری اختصاصی را جهت ساختاربندی و مانیتورینگ در اختیار یوزر می‎گذاشت.برخی محدودیت‏‌ها و پیش‎نیازها که بخشی از طراحی DirecAccess در ویندوز سرور 2008R2 و UAG بود، تغیر یافته است که در زیر به آن‏ها اشاره خواهد شد.

از آنجایی که DirectAccess بر اساس تکنولوژی مایکروسافت ایجاد شده است، استفاده از این سرویس در یونیکس و لینوکس با نرم افزارهای Third-party امکان پذیر است. در ویندوز سرور 2012،DirectAccess کاملا در سیستم‎عامل یکپارچه سازی شده است و علاوه برپشتیبانی IPv6 و IPv4، واسط کاربری را جهت ساختاربندی به کاربر عرضه کرده است.

تکنولوژی مورد استفاده در Direct Access

این تکنولوژی تونل‎های IPsec را از کلاینت به سرور DirectAccess برقرار کرده و از IPv6 برای دسترسی به منابع اینترنتی یا دیگر کلاینت‏‌های DirecyAccess استفاده می‏‌کند. این تکنولوژی بسته‏‌های IPv6 را تحت IPv4 (که توانایی دسترسی به اینترنت از طریق اینترانت را دارند) جاسازی(Encapsulate) می‏کند.پس تمام ترافیک‌‏های اینترانت توسط IPsec رمزنگاری شده و در قالب بسته‏‌های IPv4، جاسازی می‎شوند و این بدان معنی است که در اکثر موارد هیچ ساختاربندی خاصی برای فایروال و یا پروکسی نیاز نمی‏‌باشد.

یک DirectAccess Client فقط می‎تواند از یکی از شیوه‎های متعدد تکنولوژی Tunneling استفاده کند و آن‏هم بسته به نوع شبکه‎ای است که به آن وصل است. کلاینت می‎تواند از 6to4، Teredo tunneling یا IP-HTTPS بسته به این که سرور برای استفاده از کدامیک از آن‎ها ساختاربندی شده است، استفاده کند. برای مثال کلاینتی که بطور مستقیم به اینترنت وصل است، از 6to4 استفاده می‏‌کند اما اگر این کلاینت بواسطه یک شبکه NAT شده، اینترنت را دریافت کند، از Teredo tunneling استفاده کرده است. علاوه بر این ویندوز سرور2012 دو سرویس سازگار DNS64 و NAT64 را ارائه کرده است که به DirectAccess Client این اجازه را می‏‌دهد تا در کنار شبکه شرکت، بتواند با سرورها نیز تعامل داشته باشد و تنها شرط آن این است که سرورها بر پایه IPv4 کار کنند.

پیش نیازهای راه اندازی Direct Access

برای استفاده از سرویس DirectAccess در ویندوز سرور2008R2 و UAG، پیش نیازهای زیر مورد نیاز است:

  • سرور(های) DirectAccess که بر روی پلت‏فرم سرور ویندوز 2008R2 اجرا می‎شوند باید دو کارت شبکه داشته باشند: یکی که مستقیما به اینترنت وصل است و دیگری به اینترانت.
  • بر روی سرور DirectAccess حداقل دو IP آدرس معتبر (Public) و متوالی باید به کارت شبکه‌‏ای که به اینترنت وصل است، اختصاص داده شده باشد.
  • کلاینت مورد نظر بایستی دارای پلت‎فرم ویندوز7 با ادیشن‎های "Ultimate" یا "Enterprise" و یا ویندوز 8 با ادیشن "Enterprise" باشد.
  • حداقل یکی از سرورهای DC و DNS باید دارای سیستم عامل ویندوز سرور 2008SP2 یا 2008R2 باشند.
  • PKI که به Certificateها اختصاص داده شود.

DirectAccess در ویندوز سرور 2012 به موارد زیر نیازمند است:

  • سرورهای DirectAccess دارای ویندوز سرور 2012 و یک یا بیش از یک کارت شبکه باشند.
  • حداقل یکی از سرورهای DC و DNS باید دارای سیستم عامل ویندوز سرور 2008SP2 یا 2008R2 باشند.
  • کلاینت مورد نظر بایستی دارای پلت‎فرم ویندوز7 با ادیشن‎های "Ultimate" یا "Enterprise" و یا ویندوز 8 با ادیشن "Enterprise" باشد.
  • PKI برای کلاینت‏هایی که از ویندوز 8 استفاده می‏‌کنند، نیاز نیست.

مشکلات

مشکلاتی در عملکرد DirectAccess در ویندوز سرور 2008R2 وجود دارد که در زیر به آن‎ها اشاره خواهد شد : نسخه DirectAccess موجود در ویندوز سرور 2008R2 (نسخه موجود در UAG مد نظر نمی‌‏باشد) اجبارا شما را در هردوطرف ارتباط مجبور به استفاده از IPv6 می‏‌کند. این در حالی که مایکروسافت سرویس NAT64 (تبدیل IPv6 به IPv4) را در بنیان نسخه DirectAccess موجود در ویندوز سرور 2008R2لحاظ نکرده است. که این موضوع در مورد UAG صدق نمی‎کند و سرویس NAT64 در DirectAccess آن موجود می‏‌باشد. مایکروسافت این نقیصه را در نسخه DirectAccess سرور 2012 خود برطرف نموده است و تماما IPv4 پشتیبانی می‌شود.

پیروز و مانا باشید


احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

02 دی 1393 این مطلب را ارسال کرده

نظرات