Une fonctionnalité assez méconnue. Par défaut, UAG configure toujours DirectAccess en mode “Split-Tunneling”. Cela signifie que le poste de travail client détermine de lui même s’il doit faire passer son trafic dans les tunnels IPSEC. Concrètement, on peut accéder à la fois à l’intranet et l’Extranet. Cela implique que du point de vue du pare-feu, le poste est connecté à la fois au réseau de l’entreprise mais aussi au réseau Internet. Paradoxal non? Pourtant lorsqu’on regarde les solutions VPN/SSL tierces, beaucoup interdisent ce mode de fonctionnement par défaut.
Le Demonstrate UAG SP1 RC DirectAccess Force Tunneling, permet de démonter qu’il est possible de reconfigurer simplement (depuis le SP1) les clients pour router tout le trafic sortant dans les tunnels IPSEC. Ce scénario a pour conséquence que le seul protocole de transition vers IPv6 utilisable sera IP-HTTPS.
Ce scénario n’est pas sans intérêt. En effet, si tout le trafic réseau du poste de travail passe par le tunnel IPSEC, cela signifie que toute l’activité Internet de l’utilisateur est gérée par le proxy d’accès Internet de l’entreprise, appliquant la politique d’accès à Internet (Au passage, un petit peu de pub sur le SafeSearch de TMG SP1,).
BenoîtS – Simple and Secure by Design but Business compliant.