Microsoft Forfront Unified Acces Gateway et Direct Access

Microsoft Forfront Unified Acces Gateway et Direct Access

 Accès en tout lieu

Quel que soit l’emplacement des utilisateurs ou des terminaux utilisés, Forefront UAG sert de passerelle consolidée via un portail unique.
Forefront UAG Simplifie et sécurise l’accès à distance, il prend en charge une vaste gamme d’applications Microsoft (Microsoft SharePoint®, Microsoft Exchange Server, Remote Desktop Services et Microsoft Dynamics® CRM) via des modules d’optimisation prédéfinis. Ces modules analysent le comportement des applications, des interactions navigateur-serveur et des exigences de l’appareil utilisé pour créer des paramètres optimaux et des règles de sécurité spécifiques.
De plus, UAG met DirectAccess à la portée des applications et des ressources exécutées sur l’infrastructure existante, il prend en charge les postes clients de version antérieure ou non-Windows via un VPN SSL ou une autre connexion.

Sécurité intégrée

Afin d’améliorer la sécurité et de renforcer la conformité de l’entreprise, Forefront UAG limite l’exposition avec des contrôles d’accès fins, permet d’une part, une analyse détaillée de l’état des terminaux et des autorisations de l’utilisateur. D’autre part, il permet aux administrateurs d’élaborer des règles précisant les conditions que les postes clients doivent remplir à chaque transaction.

 Administration simplifiée

Forefront UAG Offre plus de souplesse en proposant plusieurs types d’équipements dont des appliances matérielles, des appliance virtuelles ou des logiciels serveurs. Il facilite le regroupement de plusieurs serveurs Forefront UAG en une grille dont tous les membres partagent la même configuration et qui sont gérés comme une seule entité. Il utilise aussi des assistants pour simplifier le déploiement initial et les tâches courantes. Et il s’intègre à Microsoft SQL Server et à System Center Operations Manager pour simplifier respectivement la journalisation et l’administration.

Forefront UAG et DirectAccess

Forefront Unified Access Gateway (UAG) DirectAccess supporte les dernières innovations de Microsoft dans le domaine de mobilité, en particulier il intègre le DirectAccess. Forefront UAG DirectAccess permet aux utilisateurs distants avec l’expérience d’une connexion transparente au réseau interne en tout moment d’avoir accès à Internet. Lorsque Forefront UAG DirectAccess est activé, les demandes de ressources réseau interne (telles que les serveurs de courrier électronique, les dossiers partagés, les serveurs de gestion, ou les sites Web intranet) sont bien dirigées vers le réseau interne, sans avoir besoin de se connecter à un VPN.

C’est quoi DirectAccess ?

DirectAccess permet de se connecter à distance au réseau de son entreprise. Cependant, cela diffère d’une connexion VPN puisqu’il n’y a pas besoin d’établir une connexion dans le gestionnaire de connexion. Une fois connecté, l’utilisateur accède au réseau comme s’il était à son entreprise.
Grâce à DirectAccess, il est possible de manager facilement le parc d’ordinateurs d’une entreprise puisque les mises à jour des GPO ou les mises à jour software par exemple, se feront indépendamment de la connexion ou non d’un utilisateur. L’ordinateur client est donc constamment à jour avec les normes de sécurité de l’entreprise. L’interconnexion entre les postes se fait donc de façon bilatéral.
IPsec et IPv6 qui sont utilisés pour DirectAccess permettent notamment une encryption des données en utilisant différents algorithmes comme AES ou 3DES. Ainsi les communications restent protégées. Mais il est aussi possible de décider à quelles applications ou quels serveurs auront accès les utilisateurs.

CLiCours.com :  Interfaces of Our Methodolgoy

Le puzzle DirectAccess

DirectAccess est un sujet à la fois simple et complexe. C’est simple car ce n’est que l’assemblage de technologies existantes, c’est complexe car il faut en maîtriser l’assemblage. Nous sommes donc en face d’un puzzle qui, une fois assemblé, donne entière satisfaction. Passons en revue les pièces qui le composent :
• IPv6 : DirectAccess est basé nativement sur le couple IPv6 / IPsec. Bien évidemment, la technologie IPv4 étant encore massivement répandue et IPv6 n’étant pas près de la remplacer avant plusieurs années, des technologies ont été mises au point afin d’encapsuler des paquets IPv6 dans des paquets IPv4 ;
En fonction du type de réseau il est préférable d’utiliser certaines technologies :
Tableau n° 2: technologies de transition vers IPv6
• IPSec : la sécurisation des flux de données échangées entre un client en situation de mobilité et le réseau interne de l’entreprise repose sur des tunnels IPSEC. On distinguera plusieurs types de tunnels IPSEC :
 Tunnel d’infrastructure : Ce premier tunnel est initialisé par le système d’exploitation entre le client DirectAccess et le serveur Microsoft
Forefront Unified Access Gateway. L’authentification de ce tunnel repose sur le certificat « ordinateur » ainsi que sur une authentification.
Ce tunnel est limité au système d’exploitation pour lui permettre d’accéder à des ressources d’infrastructure (DNS, Antivirus, …) et d’administrer le poste de travail ;
 Tunnel utilisateur : Ce second tunnel est initialisé par l’utilisateur quand il tente d’accéder à une ressource de l’entreprise. Il est initialisé entre le client DirectAccess et le serveur Microsoft ForeFront Unified Access
Gateway. L’authentification de ce tunnel repose sur le certificat « ordinateur » ainsi que sur l’authentification. Ce tunnel est dédié à l’utilisateur pour accéder aux ressources internes de l’entreprise. Il est possible de mettre en œuvre une authentification forte à ce niveau ;
 Tunnel application : Ce dernier type de tunnel est optionnel. Il permet de configurer un groupe de serveurs de l’entreprise pour établir un tunnel IPSEC qui se terminera sur ces serveurs. L’intérêt de cette démarche est de pouvoir exiger d’appliquer de nouveaux critères pour l’authentification (utilisateur ou ordinateur appartenant à un groupe donné, authentification carte à puce obligatoire, exigence de conformité du poste de travail, …).
• Pare-Feu personnel : Depuis Windows Vista, le pare-feu personnel du système d’exploitation intègre la prise en charge d’IPSEC. Pour cette raison, il est nécessaire de conserver un pare-feu sur le poste de travail. Côté client, celui du système d’exploitation peut être conservé, Côté serveur, c’est la même chose. nous conservons le pare-feu personnel de Windows Server 2008 R2 ;
• Systèmes d’exploitation : côté client seules les éditions Entreprise et Ultimate de Windows 7 sont éligibles à DirectAccess, ces systèmes sont nécessairement membre d’un domaine. Côté serveur, les seuls systèmes d’exploitation supportés sont Windows Server 2008 R2 standard et ultérieurs;

Cours gratuitTélécharger le cours complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *