Implementando serviços de quarentena com o Guia de Planejamento de Implementação dos Serviços de Quarentena com VPN da Microsoft

  • Artigo

Capítulo 2 - Abordagens da quarentena da rede virtual privada

Atualizado em: 24 de maio de 2005

Nesta página

Introdução
Visão geral da quarentena da rede virtual privada
Componentes do cliente
Componentes de servidor
Requisitos de rede

Introdução

As conexões de acesso remoto por VPN (rede virtual privada) são uma tecnologia em crescente desenvolvimento. Entretanto, o conceito de quarentena para conexões VPN é mais recente. Este capítulo apresenta os seguintes elementos que oferecem serviços de quarentena de VPN:

  • Componentes com base em cliente

  • Componentes com base em servidor

  • Componentes de rede

Observação: O Microsoft® Windows Server™ 2003 com Service Pack 1 (SP1) oferece uma implementação de quarentena de VPN com suporte. Embora o Microsoft ISA (Internet Security and Acceleration) Server 2004 também ofereça controle de quarentena de VPN, os serviços de atendimento ao consumidor da Microsoft não oferecem suporte integral a esta implementação do controle de quarentena de VPN.

Visão geral da quarentena da rede virtual privada

As tecnologias VPN permitem que os usuários tenham acesso a uma rede privada através de conexão segura e autenticada que é estabelecida por meio de serviços de rede públicos como a Internet. Essas conexões usam um protocolo de encapsulamento que lacra (criptografa) digitalmente cada pacote antes de roteá-los pela rede pública. Os detalhes desse processo variam de acordo com o mecanismo VPN usado. A rede de destino recebe os pacotes e os descriptografa. O computador cliente tem a impressão de ter uma conexão direta com a rede privada.

A quarentena de VPN atrasa a conectividade completa com a rede privada enquanto examina e valida a configuração do computador de acesso remoto em relação a padrões da empresa. Se o computador que estabelece a conexão não estiver compatível com a diretiva da empresa, o processo de quarentena poderá instalar pacotes de serviços, atualizações de segurança e definições de vírus antes que o computador se conecte com outros recursos da rede. Como a quarentena de VPN se baseia em verificações realizadas pelo cliente, um usuário mal-intencionado pode ignorar as verificações do computador. A quarentena de VPN não foi desenvolvida para proteger a rede de determinado invasor, mas para ajudar a evitar que os usuários autorizados tenham computadores inadvertidamente incompatíveis com os requisitos de configuração da empresa.

Observação: A quarentena de VPN não é garantia de uma solução de segurança completa, mas ajuda a impedir que os computadores que possuem configurações inseguras conectem-se a uma rede privada. Contudo, a quarentena de VPN não protege a rede privada de usuários mal-intencionados que tenham obtido um conjunto válido de credenciais e que façam logon em computadores compatíveis com a diretiva de integridade dos computadores da empresa. A quarentena de VPN também não protege contra usuários autorizados que se conectam a computadores que atendem aos requisitos de segurança e, então, executam um ataque.

A implementação da quarentena de VPN requer os seguintes componentes:

  • Clientes de acesso remoto compatíveis com quarentena

  • Servidor de acesso remoto compatível com quarentena

  • Servidor RADIUS (serviço de usuário dial-in de acesso remoto) compatível com quarentena (opcional)

  • Recursos de quarentena

  • Banco de dados de contas

  • Diretiva de acesso remoto de quarentena

Esta seção contém uma visão geral de como esses componentes funcionam em conjunto para garantir a solução de quarentena de VPN

Observação: Uma solução de quarentena de VPN pode usar autenticação RADIUS ou Windows, embora o método RADIUS seja o preferencial. A seção sobre como implementar o IAS (Serviço de Autenticação da Internet) neste capítulo contém mais informações sobre o IAS, que é a implementação RADIUS da Microsoft.

Conectar-se usando a rede virtual privada

Quando um computador inicia uma conexão VPN com um servidor de acesso remoto com base no Microsoft Windows®, o servidor executa estas ações:

  1. O servidor de acesso remoto permite qpermite a conexão ao realizar comparações com as diretivas de acesso remoto configuradas.

  2. O servidor de acesso remoto verifica se o usuário está qualificado para conectar-se remotamente.

  3. O servidor de acesso remoto autentica as credenciais do usuário no serviço de diretórios ou de autenticação.

  4. O computador de acesso remoto atribui um endereço IP ao computador remoto.

Em implementações VPN padrão, o usuário tem acesso a todos os recursos de rede autorizados após a conclusão bem-sucedida dessas quatro etapas. Em nenhum momento, o computador procura atualizações de segurança, proteção antivírus e outros.

Conectar-se usando a quarentena de rede virtual privada

A figura a seguir ilustra uma abordagem à quarentena de VPN que utiliza servidores de recursos localizados em uma sub-rede de quarentena.

Dd459121.PGFG0201(pt-br,TechNet.10).gif

Figura 2.1 O caminho do processo de quarentena de VPN

A quarentena de VPN implementa um processo modificado quando o usuário tenta conectar-se à rede remota. O processo inclui as seguintes etapas:

  1. O computador realiza uma verificação pré-conexão para garantir que o computador atenda a certos requisitos básicos. Elas podem incluir hotfixes, atualizações de segurança e assinaturas de vírus. O script de pré-conexão armazena os resultados dessa verificação localmente. Caso queira, a empresa também pode executar verificações de segurança pós-conexão.

  2. Após as verificações pré-conexão, o computador conecta-se ao servidor de acesso remoto com a utilização da VPN.

  3. O servidor de acesso remoto autentica as credenciais do usuário com o servidor RADIUS após compará-las ao nome de usuário e à senha armazenados no serviço de diretórios Active Directory®. O RADIUS é um componente opcional nesse processo.

  4. Se o Active Directory autenticar o usuário, o servidor de acesso remoto colocará o cliente em quarentena usando a diretiva de acesso remoto de quarentena de VPN. O acesso do computador cliente de acesso remoto limita-se aos recursos de quarentena especificados pela diretiva de acesso remoto. A quarentena pode ser aplicada de duas maneiras ao computador cliente de acesso remoto: com um período de tempo limite específico para que o computador cliente não fique em quarentena indefinidamente ou com um filtro IP que restrinja o tráfego IP somente à rede com os recursos especificados.

  5. O script de pós-conexão notifica o servidor de acesso remoto de que o cliente atende aos requisitos especificados. Se a conexão não cumprir com os requisitos no período de tempo limite determinado, o script notificará o usuário e cancelará a conexão.

  6. O servidor de acesso remoto retira o computador cliente do modo de quarentena ao remover o filtro IP, e concede acesso adequado aos recursos de rede especificados pela diretiva de acesso remoto.

Observação: Se a conexão falhar, o usuário receberá uma mensagem com a descrição do motivo da falha.

Enquanto estiver no modo de quarentena, o cliente só terá acesso aos recursos localizados em uma rede de quarentena. Esta rede pode consistir em uma sub-rede de quarentena separada ou um conjunto definido de servidores conectados à Internet. A rede de quarentena oferece recursos para que um computador remoto atenda integralmente aos requisitos de segurança prescritos. Em geral, esses recursos incluem um servidor DNS para resolver nomes, um servidor Web para publicar instruções do usuário e um servidor de arquivos para baixar atualizações, pacotes de serviços e utilitários antivírus necessários. O servidor de acesso remoto implementa um filtro IP personalizado que restringe o cliente a determinados recursos de quarentena. O filtro IP personalizado permite a comunicação somente através de portas limitadas a computadores nomeados em uma sub-rede separada.

O uso de uma sub-rede de quarentena requer um tempo limite de sessão longo para garantir que o computador cliente possa baixar todas as atualizações necessárias se você localizar os recursos na sub-rede de quarentena. Usar servidores de atualizações conectados à Internet e atualizar antes de estabelecer a conexão VPN tem a vantagem de manter o tempo limite de quarentena reduzido. Nos dois casos, o script realiza as atualizações do cliente, e não da rede de quarentena.

A diretiva de acesso de quarentena de VPN especifica um valor de tempo limite configurável. O servidor de acesso remoto encerrará a conexão se o cliente não passar no teste de compatibilidade de rede no período estabelecido. Para obter mais informações sobre configurações de quarentena de VPN, consulte o Capítulo 4, "Projeto da solução".

Ao implementar a quarentena de VPN, é importante que você verifique se todos os componentes da soluções interoperam corretamente. A próxima seção analisa esses componentes e avalia rapidamente os problemas de planejamento de cada um.

Componentes do cliente

Como a quarentena de VPN utiliza componentes executados no cliente remoto, é importante conhecer a função e a configuração desses componentes. O Gerenciador de Conexões e o CMAK (Kit de Administração do Gerenciador de Conexões) são de particular importância.

Visão geral do Gerenciador de Conexões

O Gerenciador de Conexões centraliza e automatiza o estabelecimento e o gerenciamento de conexões de rede. Ele também oferece suporte a diversas áreas-chave da configuração da quarentena de VPN:

  • Verificações de segurança pré-conexão para gerenciar as configurações do computador cliente automaticamente.

  • Verificações de segurança e validações de logon pós-conexão.

A equipe administrativa instala o software discador do cliente do Gerenciador de Conexões em cada cliente de acesso remoto. Esse software pode incluir recursos mais avançados do que os fornecidos por uma conexão de acesso remoto configurada manualmente.

Simplificar o processo de conexão

O Gerenciador de Conexões também simplifica o processo de conexão para o usuário. Ele limita o número de opções de configuração que um usuário pode modificar, o que ajuda a garantir o sucesso das conexões. Os seguintes exemplos mostram áreas em que as empresas podem personalizar entradas do Gerenciador de Conexões:

  • Os usuários podem selecionar em uma lista de números de telefone de acordo com sua localização física.

  • Os usuários vêem elementos gráficos, ícones, mensagens e Ajuda personalizados.

  • O Gerenciador de Conexões pode criar uma conexão dial-up com a Internet antes de estabelecer a conexão VPN.

  • O Gerenciador de Conexões pode executar ações personalizadas durante o processo de conexão, como as ações de pré e pós-conexão. Os exemplos incluem a redefinição do perfil do discador ou a configuração do Firewall do Windows para que ignore exceções às regras de filtragem de pacote.

Para implementar uma solução gerenciável, os administradores devem poder criar e implantar as configurações do Gerenciador de Conexões em diversos computadores, o que requer a criação de perfis do Gerenciador de Conexões.

Criar um perfil do Gerenciador de Conexões

Os perfis do Gerenciador de Conexões são pacotes de discadores do cliente do Gerenciador de Conexões na forma de arquivo executável de extração automática. Os administradores de rede podem usar o CMAK para criar esses perfis. As empresas podem usar a Diretiva de Grupo do Active Directory ou outros mecanismos de instalação de software, como um servidor Web conectado à Internet, a distribuição de software no Microsoft Systems Management Server 2003 para implantar os perfis resultantes do Gerenciador de Conexões em computadores cliente.

O executável instala o perfil no computador local com as configurações corretas para conectar-se aos servidores de acesso remoto. O usuário só tem que iniciar o nome do perfil no menu Conectar-se do Windows XP, e o perfil estabelecerá automaticamente as conexões dial-up e VPN apropriadas.

Personalizar um perfil do Gerenciador de Conexões

A estrutura flexível do Gerenciador de Conexões permite que os administradores de TI desenvolvam e insiram módulos de acordo com requisitos específicos de gerenciamento ou segurança. O assistente do Kit de Administração do Gerenciador de Conexões o orienta em uma variedade de opções quando você configura um perfil do Gerenciador de Conexões. Para obter mais informações sobre o Kit de Administração do Gerenciador de Conexões, consulte o tópico Kit de Administração do Gerenciador de Conexões em https://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag\_CMAKtopnode.asp (site em inglês).

Implementar ações personalizadas no Gerenciador de Conexões

Você pode usar o assistente do CMAK para incluir ações personalizadas nos perfis do Gerenciador de Conexões a fim de iniciar programas automaticamente quando os usuários se conectarem à rede. O assistente do CMAK permite que você especifique ações personalizadas para serem executadas em cinco pontos diferentes durante o processo de conexão:

  • Ações de pré-inicialização. Assim que os usuários iniciam o Gerenciador de Conexões, as ações de pré-inicialização são executadas. Essas ações são executadas antes que a tela de logon do Gerenciador de Conexões seja exibida. Lembre-se de que as ações de pré-inicialização do Gerenciador de Conexões são executadas quando você clica na caixa de diálogo Propriedades ou no perfil de serviço.

  • Ações de pré-conexão. Assim que o usuário clica em Conectar-se, o Gerenciador de Conexões executa as ações de pré-conexão especificadas no perfil de serviço. As ações de pré-conexão são executadas antes que o Gerenciador de Conexões estabeleça uma conexão com o serviço de acesso remoto. Para as ações relacionadas especificamente a encapsulamento, o Gerenciador de Conexões usa ações de pré-encapsulamento.

  • Ações de pré-encapsulamento (para VPN). O Gerenciador de Conexões executa ações de pré-encapsulamento após estabelecer uma conexão com o provedor de serviços de Internet, mas antes de estabelecer um encapsulamento com o servidor VPN. Esse tipo de ação só estará disponível se a VPN integrar um perfil de serviço do Gerenciador de Conexões.

  • Ações de pós-conexão. O Gerenciador de Conexões executa ações de pós-conexão após estabelecer um encapsulamento. Você pode configurar cada ação de pós-conexão especificada no assistente do CMAK toda vez que o usuário se conectar ao serviço de acesso remoto.

  • Ações de desconexão. O Gerenciador de Conexões executa ações de desconexão antes de desconectar-se do serviço. Você pode usar as ações de desconexão para administração de rotina; por exemplo, para coletar dados sobre o total de minutos online. O usuário poderá, em seguida, verificar essas informações. A equipe de operações também poderá usar os dados para analisar a experiência do usuário.

    Observação: As ações de desconexão são executadas mesmo que o Gerenciador de Conexões não provoque a desconexão. Por exemplo, se uma interrupção do serviço de telefonia encerrar a conexão do usuário, o Gerenciador de Conexões tentará executar as ações de desconexão que o perfil de serviço especifica após a desconexão inesperada.

Uma ação normal de pré-encapsulamento pode executar um script de requisitos da diretiva de rede para verificar a compatibilidade do computador cliente. Para obter descrições de um script de requisitos da diretiva de rede, consulte o apêndice A, "Modelos de scripts de quarentena", neste documento.

O Agente de Quarentena do Acesso Remoto

No momento, a quarentena de VPN requer um agente de cliente separado que funcione com o componente de escuta executado no servidor de acesso remoto. O agente de cliente informa ao componente de servidor que o cliente passou nas verificações necessárias, de forma que o servidor de acesso remoto pode conceder acesso a recursos da intranet.

O Windows Server 2003 com SP1 tem um agente de cliente (RQC.exe) que se comunica com o Serviço de Quarentena do Acesso Remoto (RQS.exe) através da porta TCP 7250. No ponto da conexão em quarentena, o componente de escuta (RQS) envia ao cliente (RQC) uma chave secreta compartilhada. Se atender às condições necessárias, o cliente enviará ao servidor a chave compartilhada para que o servidor de acesso remoto possa revogar a quarentena. Você instala o Agente de Quarentena do Acesso Remoto como parte do Kit de Administração do Gerenciador de Conexões.

Componentes de servidor

O componente central da quarentena de VPN é o servidor de acesso remoto VPN, que desempenha as seguintes funções:

  • Executa o Serviço de Quarentena do Acesso Remoto

  • Aplica a diretiva de acesso remoto para acesso de quarentena

  • Negocia comunicações com o agente de cliente

  • Recebe notificação de compatibilidade da diretiva do agente de cliente

  • Aplica a diretiva de acesso remoto para acesso irrestrito

O Serviço de Quarentena do Acesso Remoto no Windows Server 2003 com SP1 oferece suporte às APIs (interfaces de programação de aplicativo) necessárias para colocar um computador remoto em quarentena, e removê-lo das restrições de quarentena depois que o agente de cliente notifica a compatibilidade.

O Serviço de Quarentena do Acesso Remoto é um componente opcional no Windows Server 2003 com SP1. O Serviço de Quarentena do Acesso Remoto consiste em um executável (RQS.exe) que aguarda por uma notificação do agente de cliente na porta TCP 7250. O componente Serviço de Quarentena do Acesso Remoto no Windows 2003 Server com SP1 é a única versão do serviço de quarentena que tem o suporte dos Serviços de Suporte Técnico da Microsoft.

Observação: Todo firewall entre o servidor de acesso remoto e o cliente deve permitir tráfego na porta 7250. O servidor de acesso remoto precisa que você permita tráfego de entrada na porta TCP 7250.

As restrições de quarentena impostas a conexões VPN individuais consistem em:

  • Filtros de pacote de quarentena que restringem o tráfego que o cliente de acesso remoto em quarentena pode enviar ou receber.

  • Um timer de sessão de quarentena que limita o tempo que o cliente pode permanecer conectado no modo de quarentena antes de ocorrer uma desconexão forçada.

Requisitos de rede

Os componentes de rede necessários para uma solução de quarentena de VPN incluem:

  • Servidores IAS (Serviço de Autenticação da Internet)

  • Servidores SUS (Serviço de Atualização de Software) (componente opcional)

  • Windows Update (componente opcional)

  • Componentes de rede adicionais

A rede também deve fornecer a largura de banda necessária para dar suporte à solução. Além disso, a rede deve oferecer as rotas e os gateways para garantir a eficácia da transmissão de pacotes.

Implementar o Serviço de Autenticação da Internet

O RADIUS oferece flexibilidade superior para a autenticação de usuários em conexões VPN, como o suporte a padrões EAP. O protocolo EAP habilita controles de autenticação de dois fatores com certificados digitais ou cartões inteligentes.  

As empresas só precisam de servidores IAS se quiserem configurar o servidor de acesso remoto para usar o RADIUS como provedor de autenticação. Há diversas vantagens envolvidas com o uso do IAS para autenticação RADIUS em um cenário de quarentena de VPN. O uso do IAS:

  • Permite a autorização e autenticação centralizadas do usuário.

  • Integra-se ao Active Directory.

  • Oferece uma grande variedade de opções de autorização e autenticação.

O servidor IAS gerencia o processo de autenticação, que entrega informações de logon e solicitações de autenticação do usuário ao Active Directory. O Active Directory compara as informações de logon às credenciais desse usuário remoto, e se as credenciais corresponderem, o IAS autenticará o usuário. Para obter mais informações sobre o IAS, consulte o site do Serviço de Autenticação da Internet em www.microsoft.com/windowsserver2003/technologies/ias/default.mspx (site em inglês).

Observação: Somente o IAS do Windows Server 2003 oferece suporte à configuração dos atributos avançados nos perfis de diretivas de acesso remoto necessários para configurar a quarentena de VPN. Outras implementações RADIUS talvez não ofereçam suporte a esse recurso. Para obter mais informações, consulte o Capítulo 4, "Projeto da solução".

O IAS é o único servidor RADIUS que oferece suporte aos dois atributos específicos do fornecedor exigidos pela quarentena de VPN: MS-Quarantine-Session-Timeout e MS-Quarantine-IPFilter. Para obter mais informações sobre a importância desses atributos, consulte o Capítulo 4, "Projeto da solução".

Usar o Serviço de Atualização de Software

Para que os computadores remotos possam se conectar a recursos da intranet, verifique se esses computadores têm os mais recentes pacotes de serviços e atualizações de segurança. O SUS oferece um banco de dados centralizado de atualizações de software que podem atualizar computadores remotos. Os computadores cliente de acesso remoto procuram uma ação personalizada no perfil do Gerenciador de Conexões.

O SUS só é adequado para atualizar clientes depois que eles se conectam à rede corporativa. Pelo fato de utilizar largura de banda ociosa, o SUS demora muito a atualizar os computadores de acesso remoto. Para obter mais informações sobre o Serviço de Atualização de Software, consulte o acelerador de solução Microsoft Solutions for Management: Patch Management Using Microsoft Software Update Services em www.microsoft.com/downloads/details.aspx?FamilyId=38D7E99B-E780-43E5-AA84-CDF6450D8F99\&displaylang=en (site em inglês).

Usar o Windows Update

O Windows Update é um site da Internet que hospeda publicamente atualizações de segurança e hotfixes disponíveis para sistemas operacionais da Microsoft. Os computadores remotos podem usar o Windows Update para baixar atualizações antes de se conectarem à rede corporativa. Opcionalmente, o serviço Atualizações Automáticas do Windows XP pode verificar o site do Windows Update com regularidade e instalar atualizações de segurança automaticamente. O Windows Update independe do Active Directory.

Um script de pré-conexão pode verificar se o computador atende aos requisitos da rede corporativa. O script pode inicializar o Microsoft Internet Explorer e direcionar o usuário para o site do Windows Update. Para obter mais informações sobre o Windows Update, consulte o site do Windows Update em http://windowupdate.microsoft.com (site em inglês).

Implementar componentes de rede adicionais

A quarentena de VPN requer os seguintes componentes de rede adicionais:

  • Servidores DHCP (Dynamic Host Configuration Protocol). O DHCP oferece alocação de endereço IP automática para clientes remotos. (Recomendável)

  • Active Directory. O Active Directory oferece um método para autenticar as contas de usuário. O Active Directory integra-se ao IAS e oferece suporte a recursos de segurança adicionais, como a autenticação de cartões inteligentes. (Recomendável)

  • Servidores DNS (sistema de nomes de domínios). O DNS fornece serviços de resolução de nomes para que os computadores cliente na rede de quarentena possam se conectar aos servidores SUS, servidores WEB e servidores de arquivos que contêm os arquivos de antivírus e outras atualizações. (Recomendável)

  • Servidores de arquivos. Contêm as atualizações de antivírus e instalações completas do software antivírus. Os servidores de arquivos somente são necessários se você quiser atualizar os computadores de acesso remoto enquanto eles estiverem em quarentena. (Opcional)

  • Servidores Web. Oferecem instruções para usuários finais sobre o processo de remoção de seus computadores da quarentena, além de links para verificar se esse processo foi concluído. Você também pode usar um servidor Web para distribuir atualizações antes de estabelecer a conexão VPN. (Opcional)

Para obter mais informações sobre como planejar a implementação desses componentes, consulte o Capítulo 4, "Projeto da solução".

Este capítulo examinou os componentes que podem oferecer a quarentena de VPN, o que inclui recursos particulares do Windows Server 2003 com SP1. O capítulo 3, "Problemas e requisitos", examina as questões e restrições próprias que o Woodgrove National Bank enfrenta ao implementar essa tecnologia.

Neste artigo
Download

Dd459121.icon_exe(pt-br,TechNet.10).gifImplementando serviços de quarentena com o Guia de Planejamento de Implementação dos Serviços de Quarentena com VPN da Microsoft