Waarom elke dag de file in naar kantoor als dit niet per se nodig is? De moderne informatiewerker heeft een andere levenspatroon en wil altijd en overal kunnen werken. Het nieuwe werken waarbij plaats en tijd niet meer belangrijk zijn. Echter, wanneer het omslachtig of lastig wordt is de animo vaak al snel verdwenen. Verder zijn ict-afdelingen, hoewel facilitair ingesteld, vaak huiverig voor externe toegang vanaf omgevingen die ze niet zelf beheren.
Mogelijk is DirectAccess, beschikbaar in Windows 7, een interessante oplossing omdat dit transparant is voor de eindgebruiker en het internetverkeer niet onnodig door dezelfde verbinding stuurt zoals met traditionele VPN gebeurt. DirectAccess stuur het normale internetverkeer rechtstreeks het internet op en niet via het kantoornetwerk. Dit is feitelijk ook geen verkeer dat je wilt monitoren.
Met DirectAccess wordt er automatisch, voordat de gebruiker inlogt, een veilige verbinding gemaakt met het kantoornetwerk (end-to-end of end-to-edge). Daar wordt bepaald wat deze gebruiker mag zoals het opstarten van een bepaalde applicatie of volledige toegang tot alle servers. Wanneer dit wordt uitgebreid met network access protection, krijg je een goed beheersbare omgeving. Op deze manier is ook de achterdeur goed beveiligd.
Om het geheel te latenwerken zijn er wel enkele randvoorwaarden. De DirectAccess-server moet natuurlijk Windows server 2008 R2 zijn. Het domain en dus de domain controllers moeten op 2008-niveau draaien en last but not least Windows 7 op de client.
Is al dit moois voldoende om te migreren of is het een brug te ver?
Microsoft maakt werk van remote access. Een markt die nu nog vooral wordt gedomineerd door netwerk en security leveranciers zoals Cisco, Juniper en Checkpoint. Deze leveranciers bieden al zeker een jaar of 8 SSL VPN oplossingen aan en hebben al een groot deel van de IPsec markt vervanger met de SSL VPN technologie. SSL VPN is een remote access oplossing die ook makkelijk op te zetten is en ook vanuit bedrijfsnetwerken werkt (tenzij http(80) en de https (443) geblokkeerd wordt op Firewalls, wat niet waarschijnlijk is omdat gebruikers dan ook niet kunnen internetten) en vaak ge?ntegreerd met Network Access Control (NAC) oplossing, wat Microsoft NAP (Network Access Protection) noemt.
Erg interessant dat Microsoft de IPv6 standaard support (standaard al aanwezig in Microsoft Vista) nu doortrekt en de standaard IPsec ondersteuning in het IPv6 protocol gebruikt om hun nieuwe productlijnen Windows 2008 R2 en Windows 7 te promoten. Erg positief dat Microsoft IPv6 (inclusief ingebouwde security features) actief promoot. Microsoft is hier natuurlijk zelf ook bij gebaat, daar het impliciet gebruikers dwingt om naar Microsoft Vista, Windows 7 en Windows 2008 over te stappen.
Microsoft is al een aantal jaren bezig om het security imago van het bedrijf te verbeteren. Dit zal belangrijk zijn wil Microsoft een serieuze speler worden in de remote access markt, net als ze moeite hebben om de ISA server als Firewall te positioneren en de ISA voornamelijk als proxy ingezet wordt, ondanks verwoede poging om de ISA server als Firewall te positioneren. Dit terwijl Microsoft zijn producten qua security sterk heeft verbeterd. Tot die tijd verwacht ik dat het merendeel van de markt zal blijven kiezen voor gehardende appliances van security leveranciers ondanks de premium die eindgebruikers hiervoor moeten betalen.
Jako Boonekamp
Solution Consultant
Orange Business Services
Ik heb twee opmerkingen bij dit artikel:
Ten eerste sluit het aan bij mijn mening dat netwerk intelligentie naar de randen verschuift. Windows 7 heeft blijkbaar de mogelijkheden om zuinig om te gaan met de beschikbare bandbreedte door slimme caching en protocol optimalisatie. Deze optimalisatie werd voorheen
voor rekening genomen door netwerk apparatuur die hierin
gespecialiseerd is.
Ten tweede zie ik vanuit het oogpunt van beveiliging nog wel een probleem met het gelijktijdig hebben van een verbinding met internet en met het bedrijfsnetwerk. Door deze constructie geef je kwaadaardige
code een eenvoudige kans om via de open internet verbinding te communiceren met het “thuisfront”. Toch vervelend als een keylogger al je toetsaanslagen van het vertrouwelijk document direct doorstuurt naar een hacker. De maatregel die hier tegen getroffen kan worden is om centraal af te dwingen dat verkeer van een bepaald type of naar bepaalde (kwaadaardige) webservers geblokkeerd kan worden. Dit gaat dan werken als de gedistribueerde corporate firewall en proxy. Met dit
model schuift de intelligentie van proxy en firewall of zelfs intrusion detection dan naar de client.