[MEU 50º LIVRO]: BANCOS DE DADOS E ACESS - CURSO COMPLETO - DO BÁSICO AO VBA - 1602 páginas

Páginas: 1602 | Autor: Júlio Battisti | 40% de Desconto e 70h de Vídeo Aulas de Bônus

Você está em: PrincipalArtigosWindows 2003 Server › Capítulo 19 : 02
Quer receber novidades e e-books gratuitos?
›››
« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »
WINDOWS 2003 SERVER - CURSO COMPLETO
Autor: Júlio Battisti


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


Lição 169 - Capítulo 19 - Segurança e serviços de rede: Serviço de Acesso Remoto – Fundamentação Teórica

 

Pré-Requisitos: Conhecimento básico de redes.
Metodologia: Apresentar os conceitos teóricos sobre o Serviço de Acesso Remoto.

A necessidade de acesso remoto aos recursos disponíveis na rede da empresa é uma realidade, ninguém questiona. Existem dezenas de exemplos de empresas que melhoraram o funcionamento de diversas atividades com a implementação do acesso remoto à rede da empresa. Vou descrever apenas um deles, mas que salienta exatamente os benefícios do acesso remoto.

Uma grande distribuidora de bebidas de São Paulo enfrentava problemas em relação aos pedidos. A sistemática em uso era a seguinte: Cada vendedor era responsável por uma determinada região e visitava os estabelecimentos da sua região de responsabilidade. Os pedidos eram preenchidos a mão. Ao final do dia o vendedor entregava o bloco de pedidos na sede da empresa. Um funcionário era responsável pela digitação dos pedidos. Após a digitação, as informações eram repassadas para equipe do depósito, a qual carregava os caminhões de acordo com os pedidos do dia. Na manhã seguinte, os pedidos eram entregues. Neste processo ocorriam problemas em diversas etapas. Alguns vendedores tem uma letra parecida com letra de médico, ou seja, quem consegue entender. Isso acarretava muitos erros de digitação, o que fazia com que os caminhões fossem carregados com quantidades incorretas. O resultado prático é que alguns clientes não recebiam o pedido no dia seguinte e um novo envio tinha que ser feito e alguns produtos retornavam para o depósito. Além disso, os pedidos somente eram enviados no dia seguinte, o que poderia ser um problema para clientes que estivessem sem mercadoria, devido a demandas imprevistas. Se houvesse uma nova promoção, a empresa teria que ligar para cada um dos vendedores avisando e por aí vai.

Como esta empresa solucionou estes problemas usando o acesso remoto? A empresa configurou um dos servidores da empresa como um servidor de acesso remoto e instalou neste servidor uma quantidade de modems suficiente para atender o número de vendedores da empresa. Cada vendedor visita o cliente munido de um dispositivo como um Notebook ou PDA. Chegando no cliente, o vendedor faz o pedido (agora digitando no teclado e não escrevendo seus “belos garranchos”). Após finalizar o pedido o vendedor utiliza a linha do cliente e um número 0800 (para que o cliente não tenha que pagar a ligação) para conectar com a rede da empresa e transmitir o pedido. Caso o cliente seja um dos grandes clientes da empresa, o vendedor pode consultar o histórico de vendas para este client e fazer ofertas personalizadas. Esta possibilidade tem ajudado a aumentar as vendas. O vendedor também pode consultar informações na Intranet da empresa e responder rapidamente as dúvidas do cliente. Os dados do pedido são transmitidos diretamente para o banco de dados da empresa, o que evita que eles tenham que ser manualmente digitados. Como os pedidos são transmitidos ainda durante a visita do cliente, o caminhão já pode ser carregado. Com isso, os pedidos feitos na parte da manhã, são entregues a tarde. No caso de grandes clientes, o podido pode ser entregue ainda pela manhã, principalmente se o cliente estiver com um baixo estoque.

Todas estas novas funcionalidades, propiciadas pelo acesso remoto, tem favorecido um aumento nas vendas, os problemas de erro de digitação foram minimizados, conseqüentemente os erros na carga dos caminhões também. Observe que tudo é uma corrente, com uma coisa sendo conseqüência da outra. Com a redução nos erros de digitação, que implicaram em redução nos erros de carga, também reduz-se as ocorrências de clientes que não recebem os produtos na data prevista e de produtos retornando para o depósito. Além disso, o vendedor tem condições de, a qualquer momento, acessar a rede da empresa para obter informações completas sobre o cliente, consultar listas de preço, novas promoções e quaisquer informações disponíveis na rede da empresa. O próximo passo será implementar um sistema de pagamentos e financiamento diretamente na Intranet da empresa. Com isso, o vendedor acessará a rede da empresa remotamente, estando no cliente, e terá condições de consultar os pagamentos do cliente, se existe alguma pendência, alterar prazos e fazer uma análise de crédito, com base no histórico do cliente. Estando conectado, o vendedor poderá enviar a solicitação de crédito via email para o gerente. Em poucos instantes, o gerente poderá aprovar a solicitação de crédito e retornar a autorização para o vendedor, o qual fecha a venda com o cliente, com base nas condições aprovadas pelo gerente. Ou seja, tudo em tempo real, sem utilizar dezenas de formulários e semanas de prazo.

Claro que para implementar esta infra-estrutura de acesso remoto existem custos. Por exemplo, o hardware necessário (banco de modems a ser conectado ao servidor de acesso remoto, para receber as ligações), os equipamentos de acesso remoto utilizados pelos vendedores, tais como Notebook, PDA ou Palm e o custo do desenvolvimento das soluções de software. Mas não tenha dúvidas, que um projeto de acesso remoto bem planejado e corretamente implementado, tem uma relação custo x benefício extremamente favorável. Pelo menos é o que tem mostrado a experiência prática de dezenas de empresas que implementaram projetos bem sucedidos de acesso remoto aos recursos de suas redes.

A seguir falarei sobre os aspectos teóricos do serviço de acesso remoto no Windows Server 2003 e na seqüência você aprenderá a configurar o RRAS.

Visão geral sobre o acesso remoto do Windows Server 2003

A idéia básica do serviço de acesso remoto no Windows Server 2003 (e também no Windows 2000 Server) é permitir que os usuários possam se conectar à rede da empresa através de uma conexão remota, quer seja uma conexão discada, um link ISDN, ADSL ou qualquer outra tecnologia para acesso remoto. Para o RRAS, a conexão remota é como se fosse uma conexão de rede local (evidentemente que a uma velocidade de conexão bem inferior à velocidade do barramento da rede local). Ou seja, para o usuário e para os programas, a conexão remota aparece como se fosse uma conexão de rede local. Ao fazer a conexão remota o usuário será autenticado e fará o logon no domínio normalmente, como se estivesse fazendo o logon em um computador da rede local. Em resumo, a tecnologia de acesso remoto, permite que o usuário se conecte a rede “remotamente”, usando qualquer uma das tecnologias de conexão suportadas pelo RRAS.

Os usuários executam o software de acesso remoto e iniciam uma conexão com o servidor de acesso remoto. O software de acesso remoto pode ser algo tão simples como configurar uma conexão discada, via Dial-up. O servidor de acesso remoto, que é um computador que executa o Windows Server 2003 e o serviço de roteamento e acesso remoto, autentica sessões de usuários e serviços (por exemplo, um usuário lendo o seu email ou acessando uma pasta compartilhada em um servidor), até que a sessão seja terminada pelo usuário ou administrador da rede. Todos os serviços normalmente disponíveis a um usuário conectado à rede local, incluindo compartilhamento de arquivos e impressão, acesso a Intranet e email, estarão disponíveis pela conexão de acesso remoto.

A Figura 19.1, da Ajuda do Windows Server 2003, resume bem como funciona o serviço RRAS no Windows Server 2003, com uma conexão do tipo Dial-up:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.1 O servidor RRAS em uma conexão Dial-up.

Os clientes de acesso remoto usam ferramentas padrão para acessar os recursos. Por exemplo, em um computador que esteja executando o Windows Server 2003, os clientes podem usar o Windows Explorer para pastas e impressoras compartilhadas. Isso tudo, porque a conexão via acesso remoto é como se fosse uma conexão de rede local. Com isso todos os programas que funcionam na rede local, irão funcionar normalmente via acesso remoto, com a única diferença sendo a velocidade do link em relação à velocidade da rede local. As conexões são persistentes: os usuários não precisam reconectar-se a recursos da rede durante as sessões remotas. Como as letras das unidades e os nomes da Universal Naming Convention (UNC, convenção universal de nomenclatura) têm suporte total de acesso remoto, a maioria dos aplicativos comerciais e personalizados funcionam sem modificação. Isso também é conseqüência da conexão remota ser “vista” pelo Windows como uma conexão de rede local.

Um servidor de acesso remoto que esteja executando o Windows Server 2003 possibilita dois tipos diferentes de conectividade de acesso remoto:

• Rede dial-up. Conexão discada tradicional, como a que a maioria de nós ainda utiliza para fazer acesso à Internet. Rede dial-up é quando um cliente de acesso remoto efetua uma conexão dial-up, não permanente com uma porta física de um servidor de acesso remoto, usando o serviço de um provedor de telecomunicações, como um telefone analógico (linha telefônica comum), ISDN (Integrated Services Digital Network, rede digital de serviços integrados) ou X.25. O melhor exemplo de rede dial-up é o de um cliente de rede dial-up que disca o número de telefone de uma das portas de um servidor de acesso remoto. Por exemplo, o vendedor que está no cliente e usa o seu Notebook, equipado com uma placa de Fax/Modem, para fazer uma conexão com o servidor RRAS da empresa, usando uma linha telefônica comum (e provavelmente um número 0800, para que o cliente não tenha que pagar o custo da ligação). O papel da rede dial-up, fazendo uma conexão através de um telefone analógico ou ISDN é efetuar uma conexão física direta entre o cliente e o servidor da rede dial-up, ou seja, estabelecer uma caminho físico, para que os dados possam ser transmitidos do cliente para o servidor e vice-versa. Os dados enviados através de uma conexão deste tipo poderão ser criptografados.

• Virtual Private Network (Rede virtual privada) – VPN: Rede virtual privada é a criação de conexões seguras, ponto a ponto em uma rede privada ou pública, como a Internet. Em outras palavras, é criar uma conexão segura, usando um meio não seguro, como a Internet. Um cliente de rede virtual privada usa protocolos especiais com base em TCP/IP denominados protocolos de encapsulamento para efetuar uma chamada virtual para uma porta virtual em um servidor de rede virtual privada. O melhor exemplo é o de um cliente de rede virtual privada que efetua uma conexão de rede virtual privada com um servidor de acesso remoto que está conectado à Internet. O servidor de acesso remoto responde a chamada virtual, autentica o cliente, além de transferir dados entre o cliente da rede dial-up e a rede da empresa de forma segura, usando técnicas de criptografia.

Em comparação com a rede dial-up, a rede virtual privada é sempre uma conexão lógica e indireta entre o cliente e o servidor de rede virtual privada. Para garantir a privacidade, é preciso criptografar os dados enviados na conexão. Um exemplo típico de uso de VPN seria o de uma empresa que usa a Internet, para conectar pequenos escritórios à rede da empresa. Estes pequenos escritórios não tem necessidade de estar conectados 24 horas a rede da empresa. Com isso, a solução adotada é contratar um acesso discado à Internet. Quando o escritório precisa acessar a rede da empresa, quer seja para enviar, quer seja para receber dados, primeiro o escritório estabelece uma conexão com a Internet. Esta é uma conexão comum, baseada em uma linha telefônica ou outra tecnologia de Internet qualquer. Bem, com a conexão à Internet, o pequeno escritório já tem um caminho, um meio físico para enviar e receber dados para um ou mais servidores da rede da empresa, servidores estes que podem ser acessados via Internet. Mas acontece que a Internet não é, por padrão, um meio seguro para transporte de dados, a não ser que sejam utilizadas tecnologias de criptografia de dados. O próximo passo é estabelecer uma conexão virtual, para estabelecer uma VPN com a rede da empresa. Observe que neste caso foi criada uma rede privada (do escritório com a matriz da empresa) e virtual (que só existira enquanto o escritório estiver conectado à rede da empresa). Esta segunda conexão, que cria a VPN, é que garante a segurança dos dados, utilizando técnicas de criptografia e tecnologias tais como os protocolos PPTP ou L2TP com IPSec, os quais serão analisados mais adiante. A segunda conexão, a qual cria a VPN é feita entre o cliente que está no escritório e  o servidor RRAS da rede da empresa, o qual deve estar configurado para aceitar conexões do tipo VPN.

A Figura 19.2, da ajuda do Windows Server 2003, resume bem como funciona uma conexão do tipo VPN. A conexão VPN é como se fosse um “túnel seguro”, criado dentro de um meio não seguro, que é a Internet. Neste caso a Internet é o meio físico, que garante que existe um caminho entre a origem e o destino. E a VPN é o conjunto de tecnologias que garante a segurança na transmissão e recepção dos dados.

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.2 O servidor RRAS em uma conexão VPN.

O servidor RRAS como servidor de conexões Dial-up.

Conforme descrito no item anterior, o servidor RRAS pode atuar com um servidor de acesso remoto, para conexões do tipo Dial-up e do tipo VPN. Neste item falarei sobre os componentes de uma rede onde o Windows Server 2003 atua como um servidor de acesso remoto para conexões do tipo Dial-up. Também apresentarei detalhes sobre clientes Dial-up e servidores Dial-up. Você verá quais as capacidades dos clientes Dial-up, disponíveis com as diferentes versões do Windows.

Um rede com um servidor RRAS do Windows Server 2003 atuando como servidor para conexões remotas do tipo Dial-up, é formado pelos seguintes componentes (representados na Figura 19.1):

Servidores da rede dial-up

Você pode configurar um servidor de acesso remoto que esteja executando o Windows Server 2003, para atuar como um servidor de acesso remoto, aceitando conexões dial-up. O serviço que disponibiliza esta funcionalidade é o RRAS, o qual é automaticamente instalado, quando o Windows Server 2003 é instalado. Porém este serviço, por padrão, está desabilitado. O administrador terá que habilitar este serviço, para que ele passe a aceitar conexões externas. Na parte prática mostrarei como habilitar o servidor RRAS, para que ele aceita chamadas remotas.

O servidor que irá atuar também necessita de hardware para dar suporte as conexões remotas. São necessários um ou mais modems instalados (dependendo do número de usuários que deverão ser atendidos, simultaneamente) e uma ou mais linhas telefônicas. Caso o servidor de acesso remoto forneça acesso aos recursos da rede (situação mais comum), também é necessário a instalação de uma placa de rede com as configurações que permitam ao servidor acesso à rede da empresa.

No Windows Server 2003, Web Edition, and Windows Server 2003, Standard Edition, é possível criar até 1000 portas PPTP, e 1000 portas L2TP. Cada porta significa um usuário que poderá se conectar simultaneamente, desde que haja modems e linhas em número suficiente. O Windows Server 2003, Web Edition, aceita somente uma conexãoVPN. O Windows Server 2003, Standard Edition, aceita até 1000 conexões VPN simultâneas.

NOTA: Mais adiante apresentarei detalhes sobre os protocolos PPTP e L2TP que são protocolos utilizados para conexões do tipo VPN.

Obs: No Windows 2000 Server o número máximo de conexões simultâneas está limitado a 256.

Clientes da rede dial-up

Os clientes de acesso remoto que estiverem executando o Windows NT e Windows 2000, Windows 98, Windows 95, Windows for Workgroups, MS-DOS, rede dial-up ou acesso remoto do LAN Manager e Apple Macintosh poderão conectar-se com um servidor de acesso remoto que execute baseado no Windows Server 2003. O cliente deve ter instalado um modem, uma linha telefônica analógica ou outra conexão de WAN e um software de acesso remoto.

Você pode conectar-se automaticamente aos servidores de acesso remoto usando o recurso Discagem automática do Windows. A Discagem automática registra todas as conexões feitas por meio do link de acesso remoto e as reconecta automaticamente ao acessar um recurso pela segunda vez. Por exemplo, você fez uma conexão remota e acessou uma pasta compartilhada em um servidor da rede. Em seguida você cancelou a conexão. Na próxima vez que você tentar acessar este mesmo compartilhamento (por exemplo, através de um drive mapeado ou de um atalho para o compartilhamento), o Windows detecta a necessidade de fazer a conexão com o servidor remoto e inicia a discagem automaticamente. A conexão é estabelecida e o acesso ao compartilhamento é liberado.
O protocolo padrão para conexão via rede Dial-up é o protocolo PPP – Point-to-point Protocol. Na Tabela da Figura 19.3, são listadas as funcionalidades suportadas pelos clientes Dial-up das diversas versões do Windows, usando o protocolo PPP para conexão com o servidor RRAS:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.3 Funcionalidades suportadas pelos diferentes clientes.

NOTA: O servidor de acesso remoto também aceita conexões de clientes PPP não Microsoft. Os clientes PPP, não Microsoft, que utilizam TCP/IP ou AppleTalk podem acessar um servidor de acesso remoto baseado no RRAS do Windows Server 2003. O servidor de acesso remoto negocia automaticamente a autenticação com os clientes PPP. Não é necessária nenhuma configuração especial do servidor de acesso remoto que executa o RRAS do Windows Server 2003 para clientes PPP não Microsoft, exceto garantir que tanto o servidor de acesso remoto quanto o cliente PPP não Microsoft sejam configurados para a mesma rede local e para os mesmos protocolos de autenticação.

Protocolos LAN e de acesso remoto

Os programas de aplicativo usam protocolos LAN para transportar informações. Os protocolos de acesso remoto são utilizados para negociar conexões e fornecer o serviço de transporte de pacotes para os dados de protocolos de LAN, enviados através de conexões de WAN. Por exemplo, na rede local é utilizado o protocolo TCP/IP. Porém as diversas redes locais de uma empresa, são conectadas remotamente usando protocolos de WAN, tais como X.25, Frame Relay e assim por diante. Os pacotes de informação, circulam na rede local, no formato definido pelo protocolo TCP/IP. Para serem transmitidos através dos links de WAN, tem que ser encapsulados em pacotes no formato utilizado pelo protocolo de WAN. Chegando no destino, tem que ser feito o “desempacotamente” para voltar ao formato do TCP/IP da rede local de destino. O acesso remoto suporta protocolos LAN, como TCP/IP e AppleTalk, que possibilitam o acesso a recursos da Internet, UNIX e Apple Macintosh e Novell NetWare. O acesso remoto dá suporte a protocolos de acesso remoto, como, por exemplo, PPP.

Opções de WAN

Os clientes podem discar usando linhas telefônicas padrão e um modem ou pool de modems. É possível fazer conexões mais rápidas utilizando conexões de alta velocidade, no padrão ISDN ou ADSL. Você também pode conectar clientes de acesso remoto a servidores de acesso remoto usando X.25 ou ATM (Asynchronous Transfer Mode, modo de transferência assíncrona). Conexões diretas também são suportadas com um cabo de modem nulo RS-232C, uma conexão de porta paralela ou uma conexão por infravermelho.

O servidor RRAS como servidor de conexões VPN.

Conforme descrito no item anterior, o servidor RRAS pode atuar com um servidor de acesso remoto, para conexões do tipo Dial-up e do tipo VPN. Neste item falarei sobre os componentes de uma rede onde o Windows Server 2003 atua como um servidor de acesso remoto para conexões do tipo VPN. Também apresentarei detalhes sobre os clientes e protocolos utilizados neste tipo de conexão.

Um rede com um servidor RRAS do Windows Server 2003 atuando como servidor para conexões remotas do tipo VPN, é formado pelos seguintes componentes (representados na Figura 19.2):

Servidores VPN

Um servidor Windows Server 2003, com o serviço de acesso remoto habilitado, pode atuar como um servidor para receber conexões VPN. O servidor pode ser configurado para permitir que os clientes conectados tenham acesso a todos os recursos da rede ou apenas aos recursos do próprio servidor de acesso remoto.

Em uma configuração típica, o servidor de acesso remoto, que aceita conexões VPN, tem uma conexão permanente com a Internet. Caso o provedor de Internet dê suporte a conexões sob demanda, não é necessário manter uma conexão permanente. Neste caso uma conexão será inicializada automaticamente, sempre que for feita uma requisição de conexão com o servidor VPN. Se o servidor VPN irá fornecer acesso para os recursos da rede, deve ser instalada uma placa de rede adicional e configurada com os parâmetros da rede local onde está o servidor. Se o servidor VPN oferecer acesso apenas aos seus próprios recursos, não será necessária a placa de rede adicional.

SS== Clientes VPN
 
Um cliente VPN pode ser um usuário que fez a conexão VPN com o servidor de acesso remoto ou um roteador que fez uma conexão VPN com outro roteador. Estas conexões VPN entre roteadores são utilizadas para criar um “túnel” seguro através da Internet, pelo qual serão enviados os dados de maneira segura. O serviço RRAS do Windows Server 2003 suporta conexões de clientes baseados no Windows Server 2003, Windows 2000, Windows NT 4.0, Windows 95, Windows 98 e Windows Me. Servidores baseados no Windows Server 2003, no Windows 2000 Server com RRAS ou no NT Server 4.0 com RRAS, podem criar conexões VPN do tipo roteador-para-roteador. Os clientes VPN podem utilizar um dos seguintes protocolos: Point-to-Point Tunneling Protocol (PPTP) client or Layer Two Tunneling Protocol (L2TP) sendo que o L2TP é utilizado em conjunto com o protocolo Internet Protocol security (IPSec), conforme detalharei mais adiante.

NOTA: Clientes baseados no NT3.5x não suportam os protocolos PPTP ou L2TP.

Na tabela da Figura 19.4 são exibidas informações sobre os protocolos de VPN suportados por cada versão do Windows.

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.4 Protocolos de VPN suportados por diferentes versões do Windows.

Na tabela da Figura 19.5 são exibidas informações sobre os protocolos de autenticação suportados por cada versão do Windows.

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.5 Protocolos de autenticação suportados por diferentes versões do Windows.

NOTA: Mais adiante falarei sobre os protocolos PPTP e L2TP e sobre os diversos protocolos de autenticação disponíveis e em que situações cada protocolo deve ser utilizado.

Protocolos de LAN

Para conexões VPN são suportados os mesmos protocolos de LAN, suportados em conexões DIal-up, tais como TCP/IP e AppleTalk, os quais possibilitam o acesso a recursos da Internet, UNIX e Apple Macintosh e Novell NetWare.

Protocolos de Tunneling (Tunelamento):

São suportados os protocolos PPTP e L2TP, conforme descrito na tabela da Figura 19.4. Você aprenderá mais sobre estes protocolos, mais adiante, neste capítulo.

Os servidores VPN são conectados à Internet através de conexões WAN permanentes, como linhas T1 ou Frame Relay. Os clientes VPN são conectados à Internet através de conexões WAN permanentes ou de discagem para um provedor de serviços de Internet (ISP – Internet Service Provider) local usando linhas telefônicas analógicas padrão ou uma tecnologia de conexão em alta velocidade, tais como ISDN ou ADSL.

Protocolos utilizados para conexões do tipo Dial-up.

Agora você já conhece os princípios básicos do servidor de acesso remoto do Windows Server 2003 e sabe quais elementos compõem uma solução de acesso remoto via Dial-up e quais compõem uma solução de acesso remoto via VPN. O próximo passo é entender os protocolos envolvidos em cada uma destas situações. Por exemplo, para uma conexão via Dial-up, normalmente é utilizado o protocolo PPP (Point-to-Point Protocol). Já para conexões via VPN, os protocolos utilizados são PPTP ou L2TP.

O objetivo deste tópico é apresentar os diferentes tipos de protocolos disponíveis para as conexões do tipo Dial-up. No próximo tópico falarei sobre os protocolos utilizados para as conexões do tipo VPN.

Point-to-point Protocol – PPP (Protocolo ponto a ponto)

O Windows Server 2003 (e também o Windows 2000 Server) dá suporte ao PPP (Point-to-Point Protocol, protocolo ponto a ponto), um conjunto de protocolos e autenticação padrão da indústria que permite às soluções de acesso remoto operar em uma rede de múltiplos fornecedores (com clientes, software e equipamentos de múltiplos fabricantes) . A utilização do PPP é recomendada, principalmente, pelo fato de ter um amplo suporte dos fabricantes de hardware e software. Ou seja, praticamente todos os equipamentos e programas envolvidos em acesso remoto, tem suporte ao protocolo PPP.

O suporte a PPP permite aos computadores que executam Windows, discar para redes remotas por meio de qualquer servidor compatível com o padrão PPP. A compatibilidade PPP também permite ao computador que executa o serviço de acesso remoto, receber chamadas e fornecer acesso a rede e a programas de software de outros fornecedores.

A arquitetura PPP também permite que os clientes usem qualquer combinação de IPX (Internetwork Packet Exchange), TCP/IP, NetBEUI e AppleTalk. Os clientes de acesso remoto que estejam executando o Windows NT e Windows 2000, Windows 98 e o Windows 95 podem usar qualquer combinação de TCP/IP, IPX e NetBEUI. Os clientes de acesso remoto da Microsoft não oferecem suporte ao uso do protocolo AppleTalk em uma conexão de acesso remoto.

Os padrões PPP estão definidos nas RFCs publicadas pela Internet Engineering Task Force (IETF) e outros grupos de trabalho. Em fim, o protocolo PPP é um padrão de fato, com suporte de todos (é isso mesmo), de todos os fabricantes de hardware e software de rede. Há, quando você se conecta à Internet, usando uma conexão discada, está utilizando PPP.

Serial Line Internet Protocol (SLIP)

O Serial Line Internet Protocol (SLIP, protocolo Internet para linhas seriais) é um padrão de acesso remoto mais antigo, geralmente utilizado por servidores de acesso remoto UNIX. Os clientes de acesso remoto que executam o Windows 2000 e o Windows Server 2003 oferecem suporte ao SLIP e podem conectar-se a qualquer servidor de acesso remoto que utiliza o padrão SLIP. Isso permite a conexão de clientes Windows NT  3.5 ou versão posterior à ampla base instalada de servidores UNIX. Um servidor de acesso remoto que executa o Windows 2000, Windows XP ou o Windows Server 2003 não oferece suporte aos clientes SLIP. Ou seja, estas versões do Windows somente podem atuar como clientes SLIP e não como servidores SLIP (apesar de o Windows XP Professional poder atuar como um servidor de acesso remoto, ele aceita uma única conexão simultânea).

NOTA: No Windows Server 2003, somente é possível se conectar a um servidor SLIP, usando o protocolo TCP/IP e uma porta Serial.

Protocolo Microsoft RAS

O protocolo Microsoft RAS (Remote Access Services) é um protocolo de acesso remoto proprietário da Microsoft, o qual fornece suporte ao padrão NetBIOS. Há suporte para o protocolo Microsoft RAS em todas as versões anteriores do acesso remoto da Microsoft e ele é utilizado em clientes Windows NT 3.1, Windows para Workgroups, MS-DOS e LAN Manager.

Um cliente de acesso remoto que está discando de um computar que executa o Windows NT 3.1 ou Windows for Workgroups deve usar o protocolo NetBEUI. O servidor de acesso remoto, então, atua como um gateway NetBIOS para o cliente remoto, fornecendo acesso aos recursos por meio dos protocolos NetBEUI, NetBIOS sobre TCP/IP ou NetBIOS sobre IPX. Utilizado apenas por questões de compatibilidade com clientes mais antigos.

Protocolos utilizados para conexões do tipo VPN.

Os protocolos utilizados em conexões de VPN são os seguintes: PPTP e L2TP. O protocolo L2TP é utilizado em conjunto com o protocolo IPSec, já que o L2TP não fornece os serviços de criptografia de dados, fundamentais para as conexões VPN. Neste caso, a criptografia de dados é fornecida pelo protocolo IPSec.

Point-to-Point Tunneling Protocol (PPTP):

De uma maneira simples, podemos dizer que o PPTP é o PPP com a adição de alguns mecanismos de criptografia, para garantir a segurança dos dados. O Point-to-Point Tunneling Protocol (PPTP) é um protocolo de encapsulamento criado pela Microsoft em conjunto com mais algumas empresas e que primeiro teve suporte no Windows NT 4.0. O PPTP é uma extensão do Point-to-Point Protocol (PPP) e aproveita os mecanismos de autenticação, compactação e criptografia do PPP (confirma a idéia de que o PPTP é o PPP com algumas adições). Mas o fato concreto é que, como se diz popularmente, o PPTP “não pegou”. Não foi adotado amplamente pela indústria e o futuro deste protocolo é incerto.

O PPTP é instalado automaticamente quando o serviço de roteamento e acesso remoto. Por padrão, o PPTP é configurado para aceitar até 5 conexões simultâneas (5 portas PPTP). É possível ativar mais portas PPTP para acesso remoto de entrada e conexões de roteamento de discagem Dial-up utilizando o Assistente de roteamento e acesso remoto. Não são necessárias conexões adicionais para que servidor de acesso remoto possa aceitar conexões PPTP. Uma vez que o administrador habilita o servidor para aceitar chamadas, já estão disponíveis cinco conexões via PPTP. O administrador pode configurar este número, para adicionar um número maior de licenças de conexão remota via PPTP.

NOTA: Você aprenderá a fazer estas configurações na parte prática, mais adiante neste capítulo.

Para fazer uma conexão VPN, primeiro o cliente faz uma conexão PPP com o servidor de acesso remoto. Em seguida, já estando a conexão PPP estabelecida, o cliente faz uma conexão PPTP com o servidor de acesso remoto. O servidor RRAS recebe o pedido de conexão do cliente PPTP e faz a sua autenticação usando o protocolo de autenticação MS-CHAP v2. Ao invés do MS-CHAP v2, deve ser utilizado o protocolo EAP quando o cliente estiver utilizando um Smart Card para autenticação.

Uma vez estabelecida a conexão VPN, usando o PPTP, todo o tráfego entre o cliente e o servidor RRAS é criptografado. Esta criptografia é feita utilizando uma técnica conhecida como Encapsulamento, descrita logo a seguir.

Importante: Não esqueça que, para estabelecer uma conexão do tipo VPN são realizadas duas conexões. A primeira é uma conexão PPP padrão. Esta conexão estabelece a ligação, um caminho físico entre o cliente e o servidor RRAS. A próxima etapa é estabelecer a conexão VPN propriamente dita, utilizando um dos protocolos disponíveis (PPTP ou L2TP). O objetivo desta segunda conexão é garantir a segurança dos dados, através do uso de técnicas de criptografia e encapsulamento.

Encapsulamento

O processo de encapsulamente, consiste em adicionar um cabeçalho GRE (Generic Routing Encapsulation ) e um cabeçalho IP, ao pacote do protocolo PPP [o qual contém datagramas do protocolo IP, IPX ou AppleTalk). No cabeçalho IP estão os endereços IP de origem e de destino que correspondem ao cliente e ao servidor VPN.

Criptografia:

O quadro PPP é criptografado com a Microsoft Point-to-Point Encryption (MPPE, criptografia ponto a ponto da Microsoft) utilizando chaves de criptografia geradas pelo processo de autenticação de MS-CHAP (Microsoft Challenge Authentication Protocol) ou EAP-TLS (Extensible Authentication Protocol - Transport Layer Security). Os clientes da rede virtual privada devem utilizar o protocolo de autenticação MS-CHAP ou EAP-TLS para criptografar os pacotes PPP. O PPTP aproveita a criptografia do PPP e encapsula quadros PPP previamente criptografados.

Um dos pontos mais criticados do PPTP é em relação a segurança. Especialistas em segurança já demonstraram que o PPTP não é um protocolo seguro e está sujeito a ataques de segurança. Com o Windows Server 2003 é fornecida a versão 2 do protocolo: PPTP v2. Só o tempo dirá se esta versão está mais segura e confiável. Outro problema de segurança com o PPTP é que a fase de autenticação entre o cliente e o servidor acontece antes que o túnel criptografado seja estabelecido. Com isso informações da fase de autenticação poderão ser capturadas e utilizadas posteriormente, para tentar quebrar a criptografia dos dados transmitidos. Este é um dos motivos que podem leva-lo a se decidir pelo uso de Smart Cards em conjunto com o protocolo TCP/IP. Com o uso de Smart Cards, a fase de autenticação também está protegida contra acessos indevidos, uma vez que os dados são criptografados em todas as fases do processo.

Uma das vantagens (talvez a única) do protocolo PPTP é a sua simplicidade e o fato de ele ser suportado por clientes mais antigos do Windows, tais como o Windows 98. Já o protocolo L2TP é suportado apenas por clientes mais novos (veja tabela da Figura 19.4), tais como o Windows 2000, Windows XP e Windows Server 2003.

Observações:

• É possível ter uma conexão PPTP sem criptografia, na qual o quadro PPP é enviado em texto simples. Entretanto, não é recomendável uma conexão PPTP sem criptografia para conexões VPN na Internet, porque comunicações desse tipo não são seguras.

• O suporte ao protocolo IPX/SPX não está disponível nas versões de 64 bits do Windows XP e do Windows Server 2003.

• O número máximo de portas PPTP que podem ser criadas, no servidor de acesso remoto é 1000. O número máximo de portas L2TP que podem ser criadas, no servidor de acesso remoto é 1000. Já o Windows Server 2003 Web Edition aceita somente uma conexão VPN simultânea.

• O protocolo PPTP é um protocolo de nível de aplicação (camada 7 no modelo OSI).

Layer Two Tunneling Protocol (L2TP Protocolo de encapsulamento de camada 2)

O Layer Two Tunneling Protocol (L2TP) é um protocolo de encapsulamento com base em padrões definidos em RFCs e destinado a ser o padrão da indústria. Diferentemente do PPTP (Point-to-Point Tunneling Protocol, protocolo de encapsulamento ponto a ponto), o L2TP não utiliza a Microsoft Point-to-Point Encryption (MPPE, criptografia ponto a ponto da Microsoft) para criptografar datagramas PPP. O L2TP trabalha em conjunto com o protocolo Internet Protocol Security (IPSec) para serviços de criptografia. A combinação de L2TP e IPSec é conhecida como L2TP através de IPSec. O 2 significa de camada 2 do modelo OSI. Lembrando que as camadas do modelo OSI, começando da 1 são: Física, Enlace, Rede, Transporte, Autenticação, Apresentação e Aplicação.
O resultado é que conexões de rede virtual privada baseadas em L2TP são uma combinação de L2TP e IPSec. O L2TP e o IPSec devem ter suporte do cliente e servidor de acesso remoto com o qual serão estabelecidas as conexões VPN.

O L2TP é instalado, automaticamente, quando o RRAS com o RRAS. Por padrão, o L2TP é configurado para aceitar até cinco conexões L2TP, simultâneas. O administrador pode configurar um número de portas L2TP maior do que cinco, de acordo com as necessidades da sua rede, sendo que o número máximo permitido é de 1000 portas, com exceção do Windows Server 2003 Web Edition, que aceita uma única conexão.

O uso de L2TP através de IPSec oferece os principais serviços VPN de encapsulamento e criptografia de dados privados. O encapsulamento de L2TP através de pacotes IPSec consiste em duas camadas:  o encapsulamento L2TP e o encapsulamento IPSec. Na Figura 19.6, da Ajuda do Windows Server 2003,  é apresentada uma visão geral deste processo de encapsulamento no L2TP em conjunto com o IPSec.

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.6 O duplo encapsulamento: L2TP e IPSec.
 
Criptografia: A mensagem L2TP é criptografada com mecanismos de criptografia IPSec que utilizam chaves de criptografia geradas pelo processo de autenticação IPSec.

NOTA: É possível ter uma conexão L2TP que não se baseie em IPSec (sem criptografia) quando o quadro PPP é enviado em texto simples. No entanto, não é recomendável usar uma conexão L2TP sem criptografia para conexões VPN na Internet, porque comunicações desse tipo não são seguras.

Algumas considerações importantes sobre o uso do protocolo L2TP:

• O uso do L2TP exige que você tenha implementado uma infra-estrutura de chave pública (PKI – Public Key Infrastructure) na rede da empresa, pois o L2TP dependo do uso de certificados digitais. Não precisa ser, necessariamente, uma infra-estrutura de PKI baseada em tecnologia Microsoft. Porém neste caso, você terá mais algumas tarefas administrativas a considerar, tais com a emissão manual de certificados, para os computadores que irão utilizar o L2TP.

• O L2TP é um “terrível monstro consumidor de processador”. Em outras palavras, o uso do L2TP cria uma carga adicional, considerável, no processador. Isso ocorre porque o algoritmo de criptografia utilizado pelo L2TP (3DES) é bem mais complexo (e também bem mais seguro) do que o algoritmo utilizado pelo PPTP (MPPE – Microsoft Point-to-point Encryption). Além disso, com o L2TP, a assinatura digital de cada pacote é verificada. Uma das maneiras de reduzir o impacto no processador e melhorar o desempenho dos computadores que usam o L2TP/IPSec, é instalando placas de rede equipadas com co-processadores de IPSec na própria placa. Embora melhore bastante o desempenho, é importante salientar que estas placas tem um custo bem mais elevado do que as placas sem o co-processador de IPSec.

• Um problema que pode ser difícil de resolver é o fato que o protocolo IPSec não é, digamos assim, muito amigo dos Firewall. O que acontece é que a maioria dos Firewall bloqueia a passagem dos pacotes IPSec.

Na tabela da Figura 19.7, apresento um resumo das características e as principais diferenças entre os protocolos PPTP e L2TP com IPSec.

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.7 Diferenças entre PPTP e L2TP/IPSec.

Métodos de autenticação no servidor de acesso remoto.

Este é um tópico muito importante. O administrador tem que conhecer bem quais os métodos de autenticação disponíveis no servidor RRAS, para que possa determinar a compatibilidade dos clientes de rede em se conectar com o servidor RRAS. Muitas vezes clientes com versões mais antigas do Windows não estão conseguindo estabelecer uma conexão, por questões relacionadas a autenticação. Por outro lado, ao habilitar métodos de autenticação para dar suporte aos clientes mais antigos, o administrador está abrindo portas que podem representar problemas em relação á segurança. Por isso que é importante conhecer os protocolos de autenticação disponíveis, para que você possa avaliar bem o risco x benefício, ao habilitar protocolos de autenticação menos seguros, para dar suporte a clientes mais antigos.

O primeiro passo é entender a diferença entre autenticação e autorização.

Autenticação x Autorização.

A distinção entre autenticação e autorização é importante para compreender os motivos pelos quais as tentativas de conexão são aceitas ou negadas.

A autenticação é a verificação das credenciais (por exemplo, nome de usuário e senha) da tentativa de conexão. Esse processo consiste no envio de credenciais do cliente de acesso remoto para o servidor de acesso remoto em um formulário de texto simples ou criptografado usando um protocolo de autenticação.

A autorização é a verificação de que a tentativa de conexão é permitida. A autorização ocorre após a autenticação bem sucedida.

Por exemplo, o usuário jsilva informa o seu nome de logon e senha e clica no botão conectar. A primeira coisa que será feita é a verificação das credenciais (nome de logon e senha), fornecidos pelo usuário jsilva. Este processo é necessário para que o servidor de acesso remoto “saiba” quem é o usuário que está tentando a conexão. Muito bem, uma vez que ou servidor sabe quem é o usuário que está tentando a conexão (o usuário foi autenticado, o usuário existe, o usuário é “autêntico”), é hora de verificar se o usuário está autorizado a fazer a conexão com o servidor de acesso remoto (verificar a autorização do usuário para fazer a conexão). Em palavras mais simples, a autenticação verifica quem é o usuário e a autorização verifica se o usuário, já identificado, tem permissão para realizar a conexão.

Para um tentativa de conexão ser aceita, ela deve ser autenticada e autorizada. É possível que uma tentativa de conexão seja autenticada usando credenciais válidas, mas não seja autorizada. Nesse caso, a tentativa de conexão será negada. Pode ser o exemplo de um usuário que pertence a um grupo que teve as permissões de acesso “negadas” no servidor de acesso remoto. Você aprenderá a configurar as permissões de acesso, na parte prática.

Se um servidor de acesso remoto for configurado para autenticação do Windows, a segurança do Windows Server 2003 será usada para verificar as credenciais da autenticação e as propriedades de discagem da conta de usuário e as diretivas de acesso remoto armazenadas localmente serão usadas para autorizar a conexão. Se a tentativa de conexão for autenticada e autorizada, ela será aceita.

Se o servidor de acesso remoto for configurado para autenticação RADIUS, as credenciais da tentativa de conexão serão passadas para o servidor RADIUS para autenticação e autorização. Se a tentativa de conexão for autenticada e autorizada, o servidor RADIUS enviará uma mensagem de aceitação para o servidor de acesso remoto e a tentativa de conexão será aceita. Se a tentativa de conexão não for autenticada nem autorizada, o servidor RADIUS enviará uma mensagem de rejeição para o servidor de acesso remoto e o processo de conexão será negado.

Se um servidor RADIUS for um computador que executa o Windows Server 2003 e o Internet Authentication Service (IAS, serviço de autenticação de Internet), o servidor IAS executará a autenticação por meio da segurança do Windows Server 2003 e a autorização por meio das propriedades de discagem da conta de usuário e diretivas de acesso remoto armazenadas no servidor IAS.

O servidor RADIUS é indicado em uma situação onde você tem grupos de usuários bem distintos. Por exemplo, usuários que acessam a rede só localmente, na própria empresa e usuários que só acessam a rede remotamente, como por exemplo consultores externos e trabalhadores que executam suas tarefas em casa. Neste caso você pode querer separar estes dois grupos, criando contas separadas, em um servidor configurado com o protocolo RADIUS, para os usuários que fazem o acesso somente remotamente. Um único servidor RADIUS pode ser utilizado como servidor de autenticação para vários servidores de acesso remoto. Com isso você pode manter o cadastro de usuários centralizado em um único servidor, bem como as políticas de segurança. Claro que estas facilidades também estão disponíveis se você utilizar a autenticação integrada do Windows, baseada nas contas do Active Directory.

Agora vamos a descrição dos protocolos de autenticação disponíveis.

Extensible Authentication Protocol - EAP

Com o Extensible Authentication Protocol (EAP), um mecanismo de autenticação aleatória é responsável pela validação uma conexão de acesso remoto. O esquema exato de autenticação a ser usado é negociado pelo cliente de acesso remoto e o autenticador (o servidor de acesso remoto ou o servidor IAS (Internet Authentication Service). Você pode usar o EAP para oferecer suporte aos esquemas de autenticação com cartões do tipo Smart-card, MD5-Challenge, Transport Level Security (TLS). Você pode instalar outros módulos de autenticação EAP, fornecidos por terceiros, para disponibilizar outras formas de autenticação via EAP. Por exemplo, você pode adquirir um sistema de reconhecimento através da íris do olho. Junto com o sistema, o fabricante pode fornecer o software EAP para ser instalado e utilizado pelo servidor de acesso remoto do Windows Server 2003.

O EAP permite uma conversação direta entre o cliente de acesso remoto e o autenticador. A conversação consiste em solicitações de informações de autenticação feitas pelo autenticador e as respostas enviadas pelo cliente de acesso remoto. Por exemplo, quando o EAP é usado com cartões do tipo Smart-card, o autenticador pode consultar separadamente o cliente de acesso remoto para localizar um nome, número de identificação pessoal ou um valor de cartão. À medida que cada consulta é feita e respondida, o cliente de acesso remoto passa para outro nível de autenticação. Quando todas as perguntas tiverem sido respondidas satisfatoriamente, o cliente de acesso remoto será autenticado.

Um esquema de autenticação EAP é conhecido como um tipo EAP. Tanto o cliente de acesso remoto quanto o autenticador devem dar suporte ao mesmo tipo de EAP para que ocorra uma autenticação bem sucedida.

O Windows Server 2003 inclui em sua infra-estrutura de EAP, dois tipos de EAP e a capacidade de passar mensagens EAP para um servidor RADIUS (EAP-RADIUS).

Infra-estrutura EAP

No Windows Server 2003, o EAP é um conjunto de componentes internos que oferece suporte de arquitetura a qualquer tipo de EAP na forma de um módulo plug-in (veja exemplo do uso de equipamento de reconhecimento através da íris, descrito anteriormente). Para uma autenticação bem sucedida, tanto o cliente de acesso remoto quanto o autenticador devem ter o mesmo módulo de autenticação EAP instalado. O Windows Server 2003 fornece dois tipos de EAP: EAP-MD5 CHAP e EAP-TLS. O tipo EAP-TLS somente está disponível para membros do domínio, isto é, não pode ser utilizado para autenticação via servidor RADIUS. Você também pode instalar tipos de EAP adicionais. Os componentes de um tipo de EAP devem ser instalados em todos os clientes de acesso remoto e em todos os autenticadores (servidores de acesso remoto que fazem a autenticação dos usuários).

Não esqueça: Se você está estudando para os exames do MCSE 2003, não esqueça que para a autenticação usando cartões do tipo Smart-card, é necessária a habilitação do protocolo EAP no servidor de acesso remoto e também nos clientes. O EAP-TLS é um tipo de EAP usado em ambientes de segurança baseados em certificado. Se você está usando cartões inteligentes (Smart-card) para autenticação de acesso remoto, deve utilizar o método de autenticação EAP-TLS. A troca de mensagens EAP-TLS proporciona a autenticação mútua, negociação do método de criptografia e troca segura de chave particular entre o cliente de acesso remoto e o autenticador. O EAP-TLS proporciona o método mais seguro de troca de chaves e autenticação. O EAP-TLS recebe suporte apenas em um servidor de acesso remoto que executa o Windows Server 2003 (ou Windows 2000 Server) que é um membro de um domínio (member server ou DC). Um servidor de acesso remoto configurado como stand-alone server (não pertencente a um domínio) não tem suporte ao EAP-TLS.

Microsoft Challenge Handshake Authentication Protocol - MS-CHAP

O Windows Server 2003 (e também o Windows 2000 Server) inclui suporte para o Microsoft Challenge Handshake Authentication Protocol (MS-CHAP), também conhecido como MS-CHAP versão 1. O MS-CHAP é um protocolo de autenticação de senha criptografada não-reversível. O processo envolve uma troca de informações e um desafio enviado pelo servidor para o cliente, conforme os passos descritos a seguir:

• O servidor de acesso remoto envia um desafio ao cliente de acesso remoto que consiste em um identificador da sessão e uma seqüência arbitrária de caracteres de desafio.

• O cliente de acesso remoto envia uma resposta que contém o nome do usuário e uma criptografia não-reversível da seqüência de caracteres do desafio, o identificador da sessão e a senha.

• O autenticador verifica a resposta e, caso seja válida, autentica as credenciais do usuário.

Se você usa o MS-CHAP como o protocolo de autenticação, então pode usar o Microsoft Point-to-Point Encryption (MPPE) para criptografar os dados enviados na conexão PPP ou PPTP no caso de uma conexão de VPN. O MS-CHAP, como o próprio nome sugere, é proprietário da Microsoft e, portanto, limitado a clientes Microsoft.
Para ativar a autenticação baseada no MS-CHAP, você deve cumprir as etapas indicadas a seguir:

• Ativar o MS-CHAP como um protocolo de autenticação no servidor de acesso remoto. Você aprenderá este procedimento na parte prática. O MS-CHAP é ativado por padrão, ou seja, ao habilitar o servidor de acesso remoto para aceitar chamadas externas, o protocolo MS-CHAP será automaticamente habilitado. Se for necessário você poderá desabilita-lo.
 
• Ativar o MS-CHAP na diretiva de acesso remoto apropriada. Você aprenderá este procedimento na parte prática.. O MS-CHAP é ativado por padrão nas diretivas de acesso remoto.

• Ativar o MS-CHAP no cliente de acesso remoto que executa o Windows Server 2003 ou o Windows 2000. Você aprenderá a habilitar o MS-CHAP no cliente. Isso é feito na guia segurança, da janela de propriedades da conexão Dial-up ou da conexão VPN no cliente.

NOTA: Por padrão, o MS-CHAP v1 para o Windows 2000 e Windows Server 2003 oferece suporte à autenticação do LAN Manager. Se você deseja proibir o uso da autenticação do LAN Manager com o MS-CHAP v1 para sistemas operacionais mais antigos como o Windows NT 3.5x e o Windows 95, você deve definir a seguinte chave da Registry com o valor 0, no servidor de acesso remoto:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\
Allow LM Authentication

MS-CHAP v2

O Windows 2000 e também o Windows Server 2003, inclui suporte para a versão 2 do Microsoft Challenge Handshake Authentication Protocol (MS-CHAP v2). Esta versão oferece maior segurança para conexões de acesso remoto. O MS-CHAP v2 soluciona algumas questões do MS-CHAP versão 1, como mostra a tabela da Figura 19.8:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.8 Problemas do MS-CHAP solucionados pelo MS-CHAP v2.

O MS-CHAP v2 é baseado em uma senha criptografada unidirecional, e em um processo de autenticação mútua que funciona da seguinte maneira:

• O servidor de acesso remoto que está fazendo a autenticação do usuário, envia um desafio ao cliente de acesso remoto que consiste em um identificador da sessão e uma seqüência de desafio gerada aleatoriamente.

• O cliente de acesso remoto envia uma resposta que contém:
- O nome de usuário.
- Uma seqüência de desafio arbitrária de mesmo nível.
- Uma criptografia unidirecional da seqüência de desafio recebida, a seqüência de desafio de mesmo nível, o identificador da sessão e a senha do usuário.

• O autenticador verifica a resposta do cliente e envia uma resposta que contém:
- Uma indicação do sucesso ou falha da tentativa de conexão.
- Uma resposta autenticada baseada na seqüência de desafio enviada, a seqüência de desafio de mesmo nível, a resposta criptografada do cliente e a senha do usuário.

• O cliente de acesso remoto verifica a resposta de autenticação e, se estiver correta, usa a conexão. Se a resposta de autenticação não estiver correta, o cliente de acesso remoto termina a conexão.

Para ativar a autenticação baseada no MS-CHAP v2, você deve cumprir as etapas indicadas a seguir:

• Ativar o MS-CHAP v2 como um protocolo de autenticação no servidor de acesso remoto. Você aprenderá este procedimento na parte prática. O MS-CHAP v2 é ativado por padrão, ou seja, ao habilitar o servidor de acesso remoto para aceitar chamadas externas, o protocolo MS-CHAP v2 será automaticamente habilitado. Se for necessário você poderá desabilita-lo.
 
• Ativar o MS-CHAP v2 na diretiva de acesso remoto apropriada. Você aprenderá este procedimento na parte prática.. O MS-CHAP v2 é ativado por padrão nas diretivas de acesso remoto.

• Ativar o MS-CHAP v2 no cliente de acesso remoto que executa o Windows Server 2003 ou o Windows 2000. Você aprenderá a habilitar o MS-CHAP v2 no cliente. Isso é feito na guia segurança, da janela de propriedades da conexão Dial-up ou da conexão VPN no cliente.

Challenge Handshake Authentication Protocol  - CHAP

O Challenge Handshake Authentication Protocol (CHAP) é um protocolo de autenticação de resposta de desafio que usa um esquema de hash padrão de indústria, para criptografar a resposta, padrão este conhecido como Message Digest 5 (MD5). O CHAP é usado por vários fornecedores de servidores e clientes de acesso remoto. Um servidor de acesso remoto que executa o Windows Server 2003 oferece suporte ao CHAP para que clientes de acesso remoto não Microsoft sejam autenticados.

Para ativar a autenticação baseada no protocolo CHAP, você deve seguir estes procedimentos:

• Ativar o CHAP como um protocolo de autenticação no servidor de acesso remoto, conforme você aprenderá a fazer na parte prática.

• Ativar o CHAP na diretiva de acesso remoto apropriada, conforme você aprenderá a fazer na parte prática. Lembre-se que as configurações de segurança, tais como determinar quais grupos podem se conectar ao servidor de acesso remoto e quais não podem; os protocolos de autenticação permitidos e assim por diante, são definidos nas políticas de acesso remoto, ou como prefere quem traduziu: nas diretivas de acesso remoto.

• Ativar o armazenamento de uma forma criptografada reversível da senha do usuário.
Você pode ativar o armazenamento de uma forma criptografada reversível da senha do usuário individualmente, em cada conta de usuário ou ativar em todas as contas de um domínio. Para ativar a esta funcionalidade em todo o domínio, edit a GPO Default Domain Policy (conforme descrito no Capítulo 18) e acesse o seguinte caminho: Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy. Nas opções que são exibidas no painel da direita, dê um clique duplo na opção: Store passwords using reversible encryption for all users in the domain. Na janela que é aberta selecione Enable. Clique em OK e feche o Group Policy Editor.

• Forçar um reset da senha do usuário para que a nova senha seja armazenada usando critptografia reversível.Quando você ativa senhas para armazenamento em uma forma criptografada reversível, as senhas atuais não estarão em uma forma criptografada reversível e não serão automaticamente alteradas. Você deve resetar as senhas dos usuários ou marcar a opção para que as senhas de usuários sejam alteradas no próximo logon (veja o Capítulo 9). Após ter sido alterada, a senha será armazenada em usando criptografia reversível.

NOTA: Se você marcar a opção “Usuário deverá alterar a senha no próximo logon”, ele deverá efetuar o logon usando uma conexão de rede e alterar a senha antes de tentar efetuar o logon em uma conexão de acesso remoto usando o CHAP. Você não pode alterar senhas durante o processo de autenticação usando o CHAP — a tentativa de efetuar o logon não terá êxito. Uma solução para o usuário de acesso remoto é efetuar o logon temporariamente usando MS-CHAP para alterar a senha.

Nota da NOTA: Não se esqueça deste pequeno detalhes, se você estiver se preparando para os exames de Certificação do MCSE-2003 (ou 2000).

• Ativar o CHAP no cliente de acesso remoto

 
Observações:

- Se a sua senha expirar, o CHAP não poderá alterar senhas durante o processo de autenticação.

- Não é possível usar o Microsoft Point-to-Point Encryption (MPPE) em conjunto com CHAP. Lembre que o MPPE é utilizado para criptografar os dados em uma conexão VPN baseada em PPTP.

Password Authentication Protocol  - PAP

O Password Authentication Protocol (PAP) utiliza senhas de texto simples, sem criptografia e é o protocolo de autenticação menos sofisticado. O PAP normalmente é utilizado como um último recurso, somente se o cliente de acesso remoto e o servidor de acesso remoto não puderem negociar uma forma mais segura de validação. Isso se o PAP estiver habilitado em ambos, ou seja, no cliente e no servidor. O administrador pode desabilitar o protocolo PAP no servidor, de tal maneira que somente sejam aceitos protocolos de autenticação seguros.

Para ativar a autenticação baseada no PAP, você deve seguir estes procedimentos:

• Ativar o PAP como um protocolo de autenticação no servidor de acesso remoto.

• Ativar o PAP na diretiva de acesso remoto apropriada. O PAP é desativado por padrão.

• Ativar o PAP no cliente de acesso remoto que executa o Windows 2000.

Importante: Quando você ativa o PAP como um protocolo de autenticação, as senhas dos usuários são enviadas em forma de texto simples, sem nenhuma criptografia. Qualquer pessoa que capture os pacotes do processo de autenticação pode facilmente ler a senha e usá-la para obter acesso autorizado (que na prática seria não autorizado) à sua rede. Na prática você não deve usar o PAP. Se não for possível utilizar outros protocolos de autenticação, pense em mudar a solução de acesso remoto, mudar o cliente ou qualquer coisa do tipo, mas definitivamente, não use o PAP.

Observações:
- Desativando o suporte ao PAP no servidor de acesso remoto, não serão enviadas senhas em texto simples, não criptografado. A desativação do suporte ao PAP aumenta a segurança da autenticação, mas os clientes de acesso remoto que oferecem suporte apenas ao PAP não poderão se conectar.

- Se a sua senha expirar, o PAP não poderá alterar senhas durante o processo de autenticação.

Shiva Password Authentication Protocol  - SPAP

O Shiva Password Authentication Protocol (SPAP) é também um protocolo de criptografia reversível fabricado pela Shiva. Por exemplo, um computador executando o Windows XP Professional, quando se conecta com um equipamento Shiva LAN Rover, usará SPAP. O mesmo acontece com um cliente Shiva, fazendo a conexão com um servidor de acesso remoto baseado now Windows Server 2003. Esta forma de autenticação é mais segura do que PAP, porém não tem o mesmo nível de segurança do CHAP e do MS-CHAP.

Dica: Se você tem uma rede baseada somente em servidores de acesso remoto baseados no Windows 2000 ou Windows Server 2003, com clientes baseados nas versões mais novas do Windows, deve optar por usar MS-CHAP ou preferencialmente MS-CHAP v2. O único porém destes protocolos de autenticação é que eles somente são compatíveis com servidores e clientes Microsoft.

Para habilitar o protocolo SPAP, você deve seguir os seguintes passos:

• Habilite o protocolo SPAP como um protocolo de autenticação no servidor de acesso remoto.

• Habilite o protocolo SPAP nas políticas de acesso remoto aplicadas ao servidor de acesso remoto.

• Habilite o protocolo SPAP no cliente.
 
Importante: Quando você habilita o SPAP como um protocolo de autenticação, uma mesma senha será enviada sempre no mesmo formato de criptografia reversível. Este padrão torna o protocolo de autenticação SPAP suscetível a ataques do tipo reply, onde um pacote é capturado, copiado e depois reenviado, onde quem esta fazendo o ataque se faz passar pelo cliente que está tentando se autenticar. Isso é possível porque o pacote tem sempre o mesmo conjunto de dados. Por isso o uso do SPAP não é recomendado em conexões do tipo VPN, onde a segurança é o principal fator.

Observações:

-  Se a senha do usuário expirar, o protocolo SPAP não sera capaz de alterar a senha durante o processo de autenticação.

- Não é possível usar o Microsoft Point-to-Point Encryption (MPPE) em conjunto com SCHAP. Lembre que o MPPE é utilizado para criptografar os dados em uma conexão VPN baseada em PPTP.

Bem, por enquanto é isso de teoria. Agora você aprenderá a fazer uma série de configurações práticas no servidor de acesso remoto. Depois voltaremos com mais um pouco de teoria, para detalhar a questão das “Políticas de Acesso Remoto”, tão importantes em épocas que segurança é um assunto fundamental.


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »

Best Sellers de Excel do Julio Battisti

Todos com Vídeo Aulas, E-books e Planilhas de Bônus!

Aprenda com Júlio Battisti:
Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos - Passo a Passo

 Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

 

Autor: Júlio Battisti | Páginas: 540 | Editora: Instituto Alpha

 

[Livro]: Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 952 | Editora: Instituto Alpha

 

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1124 | Editora: Instituto Alpha

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1338 | Editora: Instituto Alpha

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

Todos os livros com dezenas de horas de vídeo aulas de bônus, preço especial (alguns com 50% de desconto). Aproveite. São poucas unidades de cada livro e por tempo limitado.

Dúvidas?

Utilize a área de comentários a seguir.

Me ajude a divulgar este conteúdo gratuito!

Use a área de comentários a seguir, diga o que achou desta lição, o que está achando do curso.
Compartilhe no Facebook, no Google+, Twitter e Pinterest.

Indique para seus amigos. Quanto mais comentários forem feitos, mais lições serão publicadas.

Quer receber novidades e e-books gratuitos?
›››

Novidades e E-books grátis

Fique por dentro das novidades, lançamento de livros, cursos, e-books e vídeo-aulas, e receba ofertas de e-books e vídeo-aulas gratuitas para download.



Institucional

  • Quem somos
  • Garantia de Entrega
  • Formas de Pagamento
  • Contato
  • O Autor
  • Endereço

  • Júlio Battisti Livros e Cursos Ltda
  • CNPJ: 08.916.484/0001-25
  • Rua Vereador Ivo Cláudio Weigel, 537 Universitário
  • Santa Cruz do Sul/RS
  • CEP 96816-208
  • Todos os direitos reservados, Júlio Battisti 2001-2017 ®

    [LIVRO]: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2010 - PASSO-A-PASSO

    APRENDA COM JULIO BATTISTI - 1124 PÁGINAS: CLIQUE AQUI