Quarentena da Rede Virtual Privada (VPN)

Publicado em: 4 de Novembro de 2005

Por Tony Bailey
Microsoft Senior Product Manager
Security and Compliance Solutions
Confira outras Colunas de Dica de Segurança do Mês (em inglês)

Embora uma rede virtual privada (VPN) forneça acesso seguro, criptografando os dados através de um túnel VPN, ela não previne intrusões de softwares maliciosos, como vírus ou worms que iniciam a partir do computador de acesso remoto. Os ataques de vírus e worms podem resultar de computadores infectados que se conectam à LAN.

A quarentena da VPN funciona, atrasando a conectividade total a uma rede privada, enquanto examina e valida a configuração do computador de acesso remoto contra padrões organizacionais. Se o computador que conecta não é compatível com a política da organização, o processo de quarentena pode instalar service packs, atualizações de segurança e definições de vírus antes de permitir que o computador se conecte a outros recursos de rede. A quarentena da VPN não garante solução completa de segurança, mas ajuda a prevenir que os computadores que possuem configurações inseguras se conectem a uma rede privada. No entanto, uma quarentena da VPN não protege uma rede privada contra usuários maliciosos que obtiveram uma série válida de credenciais e que efetuam logon usando computadores que estão de acordo com a política de bem-estar do computador da organização. A quarentena da VPN não protege contra um usuário não autorizado que se conecta a um computador que supre os requisitos de segurança e depois decide realizar um ataque malicioso.

Uma solução de quarentena da VPN pode tanto usar um RADIUS (Remote Authentication Dial-In User Service) ou uma autenticação do Windows, mas o RADIUS é o método preferido. O IAS (Internet Authentication Service) é a implementação da Microsoft do RADIUS.

A quarentena da VPN implementa um processo modificado quando o usuário tenta se conectar a uma rede remota. O processo inclui os seguintes passos:

  1. O computador realiza uma verificação de prévia da conexão para garantir que o computador esteja suprindo certos requisitos básicos. Isso inclui hotfixes, atualizações de segurança e assinaturas de vírus. O script de conexão prévia armazena os resultados desta verificação localmente. Uma organização também pode executar verificações de pós-conexão.

  2. Após ter sido feita as verificações de pré-conexão com sucesso, o computador se conecta ao servidor de acesso remoto usando a VPN.

  3. O servidor de acesso remoto autentica as credenciais do usuário com o servidor RADIUS junto com um nome de usuário e senha armazenados no serviço de diretório do Active Directory. O RADIUS é um componente opcional neste processo.

  4. Se o Active Directory autentica o usuário, o servidor de acesso remoto utiliza a política de acesso remoto da quarentena da VPN para colocar o cliente em quarentena. O acesso do computador cliente de acesso remoto é limitado aos recursos de quarentena especificados pela política de acesso remoto. A quarentena pode ser reforçada de duas possíveis maneiras no computador cliente de acesso remoto: usando um período de intervalo, para que o computador cliente não permaneça em quarentena indefinidamente ou usando um filtro de IP que restrinja o tráfego do IP somente aos recursos específicos de rede.

  5. O script de pós-conexão notifica o servidor de acesso remoto que o cliente obedece aos requisitos especificados. Se a conexão não suprir os requisitos no intervalo especificado, o script notifica o usuário e finaliza a conexão.

  6. O servidor de acesso remoto remove o computador cliente do modo de quarentena removendo o filtro do IP e garante acesso apropriado aos recursos de rede especificados pela política de acesso remoto.

Se a conexão falhar, o usuário recebe uma mensagem que descreve o motivo da falha.

Para mais informações sobre a quarentena da VPN, consulte o Implementando Serviços de Quarentena com o Manual de Planejamento do Microsoft Virtual Private Network (em inglês).