• Artigo

Rede

Configuração de acesso remoto VPN com o ISA Server 2006

Alan Maddison

 

Visão geral:

  • Protocolos VPN
  • Configuração de uma conexão VPN site a site
  • Configuração de uma conexão VPN de acesso remoto
  • Novos recursos do ISA Server 2006

As redes virtuais privadas (VPNs) proporcionam um alto nível de adaptabilidade, escalabilidade e controle sobre a conectividade de rede. Além de aumentarem a segurança, elas podem significar economias significativas

em comparação com as conexões ponto a ponto dedicadas tradicionais. E ainda são flexíveis.

Há muitos tipos de VPNs. Algumas são usadas na conexão de usuários móveis à rede corporativa; já outras são usadas para conectar duas redes separadas geograficamente. Os protocolos usados por essas VPNs e os recursos que elas oferecem variam. Algumas oferecerão recursos de segurança como, por exemplo, autenticação e criptografia, e outras talvez sequer forneçam recursos de segurança internos. E, é claro, algumas são mais simples de configurar e gerenciar do que outras.

Neste artigo, abordarei como é possível implementar uma VPN usando o Internet Security and Acceleration (ISA) Server 2006. Eu me concentrarei especialmente em como a funcionalidade VPN ISA pode ser usada em dois cenários bastante comuns: como uma forma de fornecer conexões de acesso remoto VPN para usuários e como um meio de oferecer conexões VPN site a site. Ambas as implementações incluem recursos de segurança para garantir a privacidade dos dados e oferecer proteção a recursos de rede internos.

Nesse primeiro cenário – uma conexão VPN de acesso remoto –, um cliente remoto inicia uma conexão VPN com o ISA Server pela Internet. Em seguida, o ISA Server conecta o cliente remoto à rede interna, oferecendo ao usuário pleno acesso aos recursos de rede internos, inclusive dados e aplicativos. Já o segundo cenário, uma conexão VPN site a site, é um pouco mais complexa por conta do uso de um roteador, que pode ser o próprio ISA. Mas esse tipo de conexão dá a possibilidade de conectar diretamente diferentes endereços comerciais ou filiais entre si ou a uma matriz.

Há várias vantagens adicionais em se usar o ISA Server 2006 na implementação de uma VPN. Uma das mais significativas acontece por conta da natureza integrada do ISA Server, o que significa que as funcionalidades VPN e de firewall trabalham juntas. Além disso, o ISA Server oferece um recurso de quarentena VPN que usa o recurso Network Access Quarantine Control do Windows Server® 2003 para colocar em quarentena um computador de acesso remoto até que sua configuração seja validada por um script de servidor. Isso acrescenta uma outra camada de proteção, oferecendo um meio de verificar coisas como o status de definição do antivírus e a diretiva do firewall local do computador remoto antes que você permita a ele acessar os recursos de rede internos.

Entre as maiores vantagens administrativas oferecidas pelo ISA Server como solução VPN estão o gerenciamento centralizado de diretivas, o monitoramento, o registro em log e a geração de relatórios. Para suas responsabilidades administrativas do dia-a-dia, esses recursos podem se mostrar imprescindíveis. Em especial, os recursos de monitoramento em tempo real e a filtragem de log dão uma idéia melhor do tráfego da rede e das conexões que passam pelo ISA Server.

Protocolos VPN

Os principais protocolos de encapsulamento usados em uma conexão VPN ISA oferecem a primeira linha de defesa para proteger as conexões. O ISA Server dá suporte a três protocolos – protocolo L2TP (Layer 2 Tunneling Protocol) sobre IPSec, protocolo PPTP (Point-to-Point Tunneling Protocol) e modo de encapsulamento IPSec. Só há suporte para esse último em conexões site a site, sendo ele principalmente usado na interoperabilidade com roteadores e outros sistemas operacionais que não dão suporte a L2TP ou a PPTP.

O L2TP se assemelha ao IPSec pois não tem nenhum mecanismo próprio para oferecer privacidade de dados. Quando somada ao IPSec, que oferece métodos de autenticação e de criptografia eficientes, a combinação proporciona uma solução convincente. O PPTP usa o protocolo MS CHAP (Microsoft® Challenge Handshake Authentication Protocol) versão 2 ou o protocolo EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) para autenticação e a MPPE (Criptografia Ponto a Ponto da Microsoft) para, como você deve imaginar, criptografia.

Se uma organização deve optar pelo L2TP sobre IPSec ou pelo PPTP é algo que normalmente depende de fatores específicos dela. O L2TP sobre IPSec permitirá que você use uma criptografia mais complexa e sofisticada e dará suporte a mais tipos de redes (inclusive IP, X.25, Frame Relay e ATM). No entanto, o PPTP é mais fácil de implementar e normalmente tem menos requisitos. Dito isso, em situações nas quais não há nenhuma restrição organizacional, é considerada uma prática recomendada a implementação do L2TP sobre IPsec.

Conexão VPN site a site

O ISA Server 2006 deu um passo gigantesco ao simplificar a configuração de uma VPN site a site. Nas versões anteriores, havia muitas etapas envolvidas. Para este exemplo, eu abordarei um único site remoto que está se conectando a uma matriz usando o L2TP sobre IPSec com ISA Server em ambos os locais. O processo exige que você configure o ISA Server da matriz antes de configurar o site remoto.

A primeira etapa do processo é configurar as contas de usuário locais obrigatórias em ambos os ISA Servers. Essa identidade do usuário fornecerá o contexto de segurança no qual a conexão com o ISA Server remoto ou principal será estabelecida. O nome dessa conta deve corresponder ao da conexão VPN criada por você no console de administração do ISA. Por exemplo, uma boa convenção de nomenclatura seria configurar o nome de usuário "Site VPN" no ISA Server localizado na matriz (apontando para o site remoto) e "HQ VPN" no ISA Server remoto. Assim que tiver criado essas contas, você precisa acessar as propriedades da conta, abrir a guia Discagem e verificar se a opção Permitir Acesso está selecionada.

Depois que você tiver criado a conta de usuário local, a próxima etapa é criar o certificado de infra-estrutura de chave pública (PKI) a ser usado na autenticação entre os dois sites. Você tem a opção do uso de uma chave pré-compartilhada, mas usar um certificado é sempre um método preferível. A forma mais simples de instalar um certificado para uma conexão VPN é se conectando diretamente à sua própria autoridade de certificação corporativa e solicitando um certificado no site do servidor de certificados. Mas, para isso, você talvez precise criar uma regra de acesso para permitir que o ISA Server se conecte ao servidor de certificados via HTTP.

Se estiver familiarizado com versões anteriores do ISA Server, você perceberá que a interface do ISA Server 2006, mostrada na Figura 1, está muito mais intuitiva. Quando você seleciona VPN no painel à esquerda, a configuração e as opções da tarefa são exibidas nos painéis central e à direita.

Figura 1 O ISA Server 2006 tem uma interface mais intuitiva

Figura 1** O ISA Server 2006 tem uma interface mais intuitiva **(Clique na imagem para aumentar a exibição)

Inicie o assistente da VPN site a site clicando na tarefa Criar Conexão VPN Site a Site no painel à direita. Quando iniciado, o assistente solicita o nome de uma rede site a site; ele deve corresponder ao nome da conta do usuário criada por você anteriormente. Depois de digitar o nome, pressione o botão Avançar. Na tela seguinte (consulte a Figura 2), selecione o protocolo VPN a ser usado – no meu exemplo, ele é L2TP sobre IPSec. Pressione Avançar, e o assistente felizmente o avisa de que uma conta de usuário correspondente ao nome da rede deve estar disponível – como você foi cuidadoso e fez isso, basta pressionar OK para avançar à próxima tela.

Figura 2 Selecione o protocolo VPN que deseja usar.

Figura 2** Selecione o protocolo VPN que deseja usar. **(Clique na imagem para aumentar a exibição)

Agora você precisa criar um pool de endereços IP. Há duas opções aqui: é possível criar um pool de endereços estáticos no ISA Server ou usar o servidor DHCP existente para lidar com a atribuição de endereços. Como ambos os métodos são aceitáveis, a decisão deve ser tomada com base nos procedimentos da empresa no que eles se referem à opção em especial. Agora a tela pede para que você informe o nome do servidor remoto. Digite o nome de domínio totalmente qualificado (FQDN) do servidor remoto e, em seguida, as credenciais do usuário para a conexão. Não se esqueça de que é preciso especificar as informações da conta criada por você no ISA Server remoto. Neste exemplo, a conta de usuário seria HQ VPN, como mostra a Figura 3.

Figura 3 Digite o FQDN do servidor remoto

Figura 3** Digite o FQDN do servidor remoto **(Clique na imagem para aumentar a exibição)

Na tela seguinte, selecione o método de autenticação de saída. (Como eu disse anteriormente, é sempre preferível usar um certificado.) Em seguida, digite o intervalo de endereços IP usado na rede interna do site remoto.

Depois disso, se você estiver usando o ISA Server 2006 Enterprise Edition, o assistente permitirá que você configure os endereços IP dedicados com Balanceamento de Carga de Rede do site remoto. Caso você esteja usando o ISA Server 2006 Standard Edition, ignore a etapa do balanceamento de carga e vá diretamente para a próxima tela (consulte a Figura 4), onde você cria a regra de rede usada para rotear o tráfego do site remoto para a rede local.

Figura 4 Crie a regra de rede que roteia o tráfego

Figura 4** Crie a regra de rede que roteia o tráfego **(Clique na imagem para aumentar a exibição)

Você também precisa criar uma regra de acesso, a próxima etapa do processo. Ao configurar a regra de acesso, há três opções para permitir que os protocolos sejam usados – você pode optar por permitir todo o tráfego de saída, permitir todo o tráfego de saída com exceção de determinados protocolos ou permitir apenas protocolos específicos. Na maior parte das situações, você deverá selecionar a opção de todo o tráfego de saída.

Você está quase acabando. Neste ponto, o assistente apresentará um resumo da configuração e, assim que você pressionar o botão Concluir, a conexão VPN site a site será criada. Uma caixa de diálogo será exibida indicando que uma regra de diretiva do sistema precisa estar habilitada para downloads da lista de certificados revogados – pressione Sim para habilitá-la. Em seguida, o assistente dará informações sobre todas as etapas de configuração adicionais que talvez sejam necessárias. Depois de concluir a configuração do ISA Server no site principal, você precisa seguir todas as mesmas etapas para configurar o site remoto. Assim que todas forem concluídas, os usuários em ambos os sites poderão se comunicar em toda a VPN.

Conexão VPN de acesso remoto

Configurar uma conexão VPN de acesso remoto para o acesso do cliente é bem mais simples (consulte a Figura 5). A primeira etapa é selecionar VPN no painel à esquerda do console de administração do ISA Server. Em seguida, selecione a tarefa Habilitar Acesso do Cliente VPN no painel à direita. Você verá um aviso de que isso pode causar a reinicialização do serviço de Roteamento e Acesso Remoto. (Como isso pode causar problemas de conexão, você talvez queira implementar essa alteração durante uma janela de manutenção programada.) Clique em OK para desconsiderar o aviso; o ISA Server possibilita o acesso ao ISA Server a uma diretiva do sistema que permite o tráfego do cliente VPN. É possível exibir essa regra selecionando Diretiva de Firewall no console de administração do ISA Server e escolhendo a regra Mostrar Regras de Diretiva do Sistema.

Figura 5 Configure uma conexão VPN de acesso remoto

Figura 5** Configure uma conexão VPN de acesso remoto **(Clique na imagem para aumentar a exibição)

Uma regra de rede padrão também é habilitada para permitir o roteamento entre a rede interna e as duas redes VPN (Clientes VPN e Clientes VPN em Quarentena). Essa regra de rede pode ser exibida ou editada selecionando-se Redes no painel à esquerda e abrindo a guia Regras de Rede no painel central.

Agora você precisa configurar o acesso do cliente VPN. Há três parâmetros adicionais que precisam ser configurados: os grupos de segurança do Windows que têm permissão de acesso, os protocolos que podem ser usados pelos clientes e o mapeamento de usuário. A caixa de diálogo para configurá-los é mostrada na Figura 6.

Figura 6 Configure o acesso do cliente VPN

Figura 6** Configure o acesso do cliente VPN **

A guia Grupos exige apenas que você selecione os grupos do Windows que têm permissão de acesso remoto via VPN. De uma perspectiva administrativa, eu acho uma boa idéia criar um único grupo ao qual a permissão é concedida. Isso facilita muito o gerenciamento de acesso remoto.

A guia Protocolos mostra que apenas o PPTP está habilitado por padrão. Você certamente deve habilitar o L2TP sobre IPSec caso isso seja totalmente viável no ambiente.

Mapeamento de Usuário permite que você mapeie contas de usuário a partir de namespaces como, por exemplo, o serviço RADIUS (Remote Authentication Dial-In User Service), para contas do Windows para garantir a aplicação correta dessas diretivas de acesso. Assim que completar essas opções de configuração e aplicar as alterações no ISA Server, você estará pronto. Agora os clientes podem acessar diretamente os dados e os aplicativos internos da sua rede usando uma conexão VPN.

Aprimoramentos no ISA Server 2006

O ISA Server 2006 apresenta vários aprimoramentos que aumentam sua eficiência e desempenho em comparação com versões anteriores. Esses recursos – que incluem a compactação HTTP, o suporte ao Serviço de Transferência Inteligente em Segundo Plano (BITS) e a Qualidade de Serviço (QoS) – oferecem várias técnicas para otimizar o uso da rede. É claro que, mesmo com essas técnicas, você também deve continuar usando as tecnologias de otimização de largura de banda mais comuns, que são a base do ISA Server, inclusive o cache.

Já existe o suporte à compactação HTTP em vários produtos Microsoft há algum tempo – ela está no Internet Explorer® desde a versão 4 e no Windows Server desde o Windows® 2000. No entanto, essa é a primeira versão do ISA Server a dar suporte à compactação HTTP, bem como aos algoritmos GZIP e Deflate, que são padrões do setor.

O que isso significa? Com suporte à compactação HTTP, um navegador da Web compatível com HTTP 1.1 pode solicitar conteúdo compactado de qualquer site. Mas não se esqueça de que apenas as respostas são compactadas, e não as conexões de saída iniciais do cliente.

A compactação HTTP é uma configuração de diretiva HTTP global que se aplica a todo o tráfego HTTP que passa pelo ISA Server, em lugar da associação a uma regra de rede específica. No entanto, você tem a opção de implementar a compactação HTTP por ouvinte; isso é configurado por meio do assistente Ouvinte da Web.

A compactação HTTP, que pode ser acessada por meio da opção Geral no painel à esquerda, permanece habilitada por padrão. Mas como mostra a Figura 7, você precisa configurar os elementos de rede em que a compactação deve ser usada. Continuando com o exemplo da VPN site a site, você precisa selecionar a guia Retornar Dados Compactados e adicionar o elemento de rede VPN do Site criado anteriormente. Neste ponto, você também tem a opção de configurar os tipos de conteúdo a serem compactados. O ISA Server 2006 acompanha uma lista dos tipos de conteúdo padrão, mas é possível adicionar tipos de conteúdo personalizados por meio do painel de tarefas Diretiva de Firewall na guia Caixa de Ferramentas. Lembre-se de que a guia Retornar Dados Compactados se refere à compactação de dados pelo ISA Server antes que eles retornem ao cliente. Você precisa usar a guia Solicitar Dados Compactados para que haja a solicitação do ISA Server para um servidor Web lidar com a compactação antes que os dados sejam enviados para o ISA Server.

Figura 7 Configure a compactação HTTP

Figura 7** Configure a compactação HTTP **(Clique na imagem para aumentar a exibição)

Serviço de Transferência Inteligente em Segundo Plano é um sistema de transferência de arquivos assíncrono para os tráfegos HTTP e HTTPS. O Windows Server 2003 inclui o BITS versão 1.5, que dá suporte a downloads e uploads, embora estes também exijam os Serviços de Informações da Internet (IIS) versão 5.0 ou posterior. Por ser um serviço de transferência de arquivos inteligente, o BITS tem a possibilidade de examinar o tráfego de rede e de usar apenas a parte ociosa da largura de banda. Além disso, a transferência de arquivos é dinâmica, e o BITS suportará picos no tráfego de rede normal voltando a limitar o uso da rede. A vantagem aqui é que o BITS garante que downloads e uploads de arquivos maiores não terão um impacto negativo sobre outros usos da rede. Do ponto de vista do administrador, isso significa que você deve receber muito menos reclamações sobre o mau desempenho da rede. Boas notícias!

O BITS oferece outras vantagens capazes de aprimorar a experiência do usuário e de melhorar o desempenho da rede. Por exemplo, uma transferência de arquivos que usa o BITS é binária, o que significa que ele pode continuar transferências (sem ter que recomeçar) interrompidas por fatores como, por exemplo, falhas na rede. E o ISA Server 2006 inclui suporte interno para um recurso de cache do Microsoft Update que usa o cache do BITS na otimização das atualizações.

O protocolo DiffServ (Serviços Diferenciados) permite a priorização dos pacotes (ou QoS) para tráfegos HTTP e HTTPS. Em outras palavras, dependendo da configuração do ISA Server, determinados tráfegos terão prioridade. Isso é muito útil em redes com largura de banda limitada, ou por conta do volume de tráfego, ou por conta da velocidade de conexão da rede. De acordo com a Internet Engineering Task Force (IETF), o DiffServ é um mecanismo de gerenciamento do tráfego com base na classe. Por isso, DiffServ é capaz de diferenciar os tipos de tráfego e de gerenciá-los de acordo, garantindo que o tráfego de maior prioridade tenha preferência.

Para fornecer esse recurso, o ISA Server funciona em conjunto com roteadores compatíveis com QoS. É importante garantir que os bits DiffServ do ISA Server correspondam às prioridades nos roteadores, caso você deseja que os pacotes sejam roteados com a mesma priorização.

Conforme implementado no ISA Server, esse tipo de priorização dos pacotes é uma configuração de diretiva HTTP global e aplicada em todo o tráfego HTTP que passa pelo ISA Server 2006 usando um filtro da Web DiffServ. Isso quer dizer que o ISA Server não dá suporte ao DiffServ para outros protocolos e pode, na verdade, descartar bits DiffServ existentes em tráfego não-HTTP.

Como mostra a Figura 8, o DiffServ é implementado como sendo um filtro da Web e pode ser acessado selecionando-se Suplementos no painel à esquerda. É importante que você não altere as configurações padrão ou a ordem de prioridade do filtro DiffServ devido à necessidade do ISA Server de inspecionar o tamanho da solicitação/resposta no momento do processamento.

Figura 8 Veja o filtro da Web DiffServ

Figura 8** Veja o filtro da Web DiffServ **(Clique na imagem para aumentar a exibição)

Se olhar bem a Figura 8, você deverá notar que o filtro DiffServ não permanece habilitado por padrão. Para habilitá-lo, basta selecionar Habilitar Filtros Selecionados no painel Tarefas e configurar o filtro. Como a priorização dos pacotes DiffServ no ISA Server se baseia em URLs ou em domínios específicos, você precisa adicionar essas informações às preferências do DiffServ. Para isso, selecione Geral no painel à esquerda do console de gerenciamento e, em Configurações Globais da Diretiva HTTP, selecione Especificar Preferências de DiffServ. Ao especificar essas preferências, você deve definir as prioridades, além das URLs e dos domínios que devem ser priorizados. O ISA Server 2006 oferece novos recursos eficientes para configurar o acesso remoto destinado a clientes VPN ou para criar VPNs site a site. Ele deve encabeçar a sua lista quando você pensar em qual solução VPN implementar.

Alan Maddison é consultor sênior em aplicação da tecnologia Microsoft da MTI Technology Corporation. Ele se concentra principalmente em Active Directory, Exchange Server e virtualização.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..