سرویس Direct Access

Direct Access یکی از سرویس های ایجاد ارتباط امن مایکروسافت است که از محصول Windows Server 2008 R2 و Windows 7 وارد دنیای مایکروسافت شد. این سرویس باعث می شود که کاربران در صورت داشتن Internet Access در یک محیط امن و بدون قطعی از خارج از سازمان با شبکه داخل سازمان ارتباط برقرار کنندو بتوانند از منابع و اطلاعات داخل مانند: shared folders , Internal Web , Mail server , … استفاده کنند بدون آنکه نیازی به برقرای ارتباط توسط VPN داشته باشند.

برخلاف VPN که هر کاربر باید هر دفعه توسط VPN Connection به شبکه متصل شوند ِ Direct Access بصورت اوتوماتیک بین Client خارجی و شبکه مقصد یک ارتباط امن دو طرفه و بدون قطعی (Bi-Directional) ایجاد می کند.و از قوی تر از ارتباط  VPN پورت ها را مانیتور و سلامت ارتباط را چک می کند.

Direct Access بر پایه یک مدل امنیتی قوی به نام "رمز نگاری لایه به لایه اطلاعات" که به مدل “deperimitization model” معروف است بنا نهاده شده است. هدف این مدل ایجاد یک Encryption قوی و Authentication و Authorization می باشد که باعث می شود تمام انتقال Data ها و اطلاعات شبکه به سمت کاربر خارج از سازمان و همینطور از سمت کاربر به داخل شبکه کاملا امن باشد.

این سرویس ایجاد ارتباط امن مایکروسافت شاید خیلی کم تر از سرویس VPN در شبکه ها راه اندازی شده باشد ولی در کل Stable تر و امن تر از VPN می باشد.

Direct Access به دلیل ایجاد امنیت در لایه های اطلاعات انتقالی به غیر از IPV4 از IPV6 و پروتکل IPsec نیز برای برقراری ارتباط استفاده می کند که ایجاد ارتباط امن از طریق IPV6 به دو شکل صورت می گیرد که عبارتند از:

1-Pure IPV6 and IPsec (end-to-end)

2-non-IPsec intranets with IPV6 (end-to-edge)

در کل در بخش Authentication سرویس Direct Access تمام مراحل Authentication توسط پروتکل IPsec رمز نگاری می شود. همچنین بعد از مرحله Authentication در مرحله Authorization  میتوانیم با Policy و Permission تعیین کنیم که کلاینت مورد نظر در صورت برقراری ارتباط با سرور Direct Access و در نهایت با وارد شدن به داخل شبکه به چه Resource ها و اطلاعاتی در شبکه بتواند Access داشته باشد.

نکته مهم دیگری که در سرویس Direct Access میتوانیم به آن اشاره کنیم Integration این سرویس با Certificate Authority مایکروسافت جهت Issue کردن SSL Certificate ها برای Encrypt کردن ارتباط کاربر خارج از سازمان با سرور Direct Acces و شبکه داخلی می باشد.

حال شاید در این فکر افتاده باشید که اگر یک کلاینت آلوده به Malware یا هر برنامه مخرب دیگری بخواهد بوسیله Direct Access به شبکه ما متصل شود آیا میتواند یا خیر؟

جواب خیر است. زیرا سرویس Direct Access پس از نصب و تنظیم ایجاد یک شبکه محافظت شده و محدود شده به نام Remediation Network میکند که کاملا از شبکه اصلی ما جدا بوده و به صورت خیلی محدود فعالیت می کند. وقتی که یک کلاینت آلوده از محیط اینترنت حتی با داشتن Permission برای Access داشتن به شبکه ما از طریق Direct Access آلوده به Malware یا هر برنامه مخرب دیگری باشد نمیتواند به شبکه اصلی ما متصل شود و توسط سرور Direct Access به Remediation Network یا همان شبکه محدود شده منتقل می شود تا بعد از پاکسازی کلاینت به آن اجازه میدهد تا وارد شبکه اصلی شود و از منابع آن استفاده کند.

این عمل میتواند حتی در مورد خاموش بودن فایروال نیز صدق کند. به این صورت که میتوانیم در تنظیمات سرویس Direct Access تنظیم کنیم که اگر فایروال کلاینت خاموش باشد ابتدا آنرا به صورت اتوماتیک روشن میکند و سپس به آن کلاینت اجازه ورود می دهد.