¿Cuál es la diferencia entre DirectAccess y Always On VPN?
On diciembre 17, 2021 by admin
DirectAccess ha existido durante muchos años, y con Microsoft ahora moviéndose en la dirección de Always On VPN, a menudo me preguntan «¿Cuál es la diferencia entre DirectAccess y Always On VPN?» Fundamentalmente, ambos proporcionan un acceso remoto transparente y sin fisuras, siempre activo. Sin embargo, Always On VPN tiene una serie de ventajas sobre DirectAccess en términos de seguridad, autenticación y gestión, rendimiento y soporte.
Seguridad
DirectAccess proporciona una conectividad de red completa cuando un cliente se conecta de forma remota. Carece de funciones nativas para controlar el acceso de forma granular. Es posible restringir el acceso a los recursos internos colocando un cortafuegos entre el servidor DirectAccess y la LAN, pero la política se aplicaría a todos los clientes conectados.
Windows 10 Always On VPN incluye soporte para el filtrado granular del tráfico. Mientras que DirectAccess proporciona acceso a todos los recursos internos cuando está conectado, Always On VPN permite a los administradores restringir el acceso de los clientes a los recursos internos de diversas maneras. Además, las políticas de filtrado de tráfico pueden aplicarse por usuario o por grupo. Por ejemplo, los usuarios de contabilidad pueden tener acceso sólo a los servidores de su departamento. Lo mismo podría hacerse para RRHH, finanzas, TI y otros.
Autenticación y gestión
DirectAccess incluye soporte para la autenticación fuerte de usuarios con tarjetas inteligentes y soluciones de contraseña de un solo uso (OTP). Sin embargo, no hay ninguna disposición para conceder acceso basado en la configuración o la salud del dispositivo, ya que esa característica se eliminó en Windows Server 2016 y Windows 10. Además, DirectAccess requiere que los clientes y los servidores estén unidos a un dominio, ya que todos los ajustes de configuración se gestionan mediante la política de grupo de Active Directory.
Windows 10 Always On VPN incluye compatibilidad con la autenticación y la gestión modernas, lo que se traduce en una mejor seguridad general. Los clientes de Always On VPN pueden unirse a un Directorio Activo de Azure y también se puede habilitar el acceso condicional. También se admite la autenticación moderna mediante Azure MFA y Windows Hello for Business. Always On VPN se gestiona mediante soluciones de gestión de dispositivos móviles (MDM) como Microsoft Intune.
Rendimiento
DirectAccess utiliza IPsec con IPv6, que debe encapsularse en TLS para enrutarse por la Internet pública IPv4. El tráfico IPv6 se traduce entonces a IPv4 en el servidor DirectAccess. El rendimiento de DirectAccess suele ser aceptable cuando los clientes tienen conexiones a Internet fiables y de alta calidad. Sin embargo, si la calidad de la conexión es regular o pobre, la alta sobrecarga de protocolo de DirectAccess con sus múltiples capas de encapsulación y traducción a menudo produce un rendimiento pobre.
El protocolo de elección para las implementaciones de Windows 10 Always On VPN es IKEv2. Ofrece la mejor seguridad y rendimiento en comparación con los protocolos basados en TLS. Además, Always On VPN no depende exclusivamente de IPv6 como lo hace DirectAccess. Esto reduce las numerosas capas de encapsulación y elimina la necesidad de complejas tecnologías de transición y traducción de IPv6, mejorando aún más el rendimiento con respecto a DirectAccess.
Soportabilidad
DirectAccess es una solución propietaria de Microsoft que debe desplegarse utilizando Windows Server y Active Directory. También requiere un servidor de localización de red (NLS) para que los clientes determinen si están dentro o fuera de la red. La disponibilidad del NLS es crucial y garantizar que los clientes internos siempre puedan acceder a él puede suponer un reto, especialmente en organizaciones muy grandes.
La infraestructura de soporte de la VPN Always On de Windows 10 es mucho menos compleja que la de DirectAccess. No se requiere un NLS, lo que significa menos servidores que aprovisionar, gestionar y supervisar. Además, Always On VPN es completamente independiente de la infraestructura y puede implementarse utilizando servidores VPN de terceros como Cisco, Checkpoint, SonicWALL, Palo Alto, etc.
Resumen
Windows 10 Always On VPN es el camino del futuro. Proporciona una mejor seguridad general que DirectAccess, tiene un mejor rendimiento y es más fácil de administrar y dar soporte.
Aquí hay un resumen rápido de algunos aspectos importantes de VPN, DirectAccess y Windows 10 Always On VPN.
| VPN tradicional | DirectAccess | Always On VPN | |
| Sin fisuras y transparente | No | Sí | Sí |
| Opciones de conexión automática | Ninguna | Siempre activada | Siempre activada, app triggered |
| Soporte de protocolos | IPv4 e IPv6 | Sólo IPv6 | IPv4 e IPv6 |
| Filtro de tráfico | No | No | Sí |
| Integración de Azure AD | No | No | Sí |
| Gestión moderna | Sí | No (sólo política de grupo) | Sí (MDM) |
| Los clientes deben ser dominio¿se han unido? | No | Sí | No |
| Requiere infraestructura de Microsoft | No | Sí | No |
| Soporta Windows 7 | Sí | Sí | Sólo Windows 10 |
Siempre en manos de VPN-On Training
Si está interesado en aprender más sobre Windows 10 Always On VPN, considere inscribirse en una de mis clases de formación práctica. Más detalles aquí.
Deja una respuesta