Pourquoi ais-je besoin d’ISATAP pour DirectAccess?

DirectAccess peut faire peur. Pourtant, ce n’est ni plus ni moins que l’assemblage de briques existantes. L’une d’entre elle est IPv6. Invariablement, c’est lorsqu’on arrive à l’utilisation d’IPv6 sur le LAN qu’on commence à avoir des problèmes.

 

Un des principaux avantages d’UAG 2010, est sa capacité à proposer l’accès à des ressources “IPv4 only” aux clients DirectAccess. D’un certain point de vue, c’est parfait, presque trop même. A ce stade, il n’est pas rare que certains clients réagissent en se disant que NAT64/DNS64 permet de se passer d’IPV6 sur le LAN et donc d’ISATAP. De leur point de vue, c’est plus rassurant puisqu’il n’y aura que de l’IPv4 sur le LAN, IPv6 sera limité à Internet.

 

Au premier abord, cela se défend. Cependant, il ne faut pas oublier un détail. NAT64/DNS64 assure bien la translation IPv6 vers IPv4, mais uniquement dans ce sens. Cela signifie qu’il n’e sera pas possible d’établir des communications depuis le LAN vers les clients DirectAccess en situation de mobilité. On parle de quoi à ce niveau ?

  • Prise de main à distance d’un utilisateur en situation de mobilité
  • Gestion du poste de travail à distance au travers des outils de télédistribution / antivirus

 

C’est ce qu’on appelle les scénarios “Manage Out”. Donc ne pas utiliser IPv6 sur le LAN, c’est se priver d’un avantage important de DirectAccess, à savoir la capacité à gérer ses postes de travail en situation de mobilité. DirectAccess ne serait plus qu’une solution comparable aux autres VPN/SSL sinon qu’elle est transparente pour l’utilisateur.

 

Pour ceux qui veulent en savoir plus, je recommande :

 

Maintenant, il n’y a plus d’argument pour refuser ISATAP sur son LAN.

 

Benoîts – Simple and Secure by Design  but Business compliant!

Benoit

Simple, yes, Secure Maybe, by design for sure, Business compliant always!

Les derniers articles par Benoit (tout voir)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.