Guia de Planejamento de Implementação dos Serviços de Quarentena com VPN da Microsoft

  • Artigo

Capítulo 4 - Projeto da solução

Atualizado em: 24/5/2005

Nesta página

Introdução
Implementar o acesso remoto para telecomutadores
Considerações adicionais
Implementar o monitoramento e o gerenciamento
Resumo

Introdução

Agora que você está familiarizado com os fatores que devem ser abordados pela solução VPN (rede virtual privada), poderá iniciar o processo de design. Esse processo abrange a identificação dos elementos essenciais de planejamento e a realização de uma análise lógica dos requisitos da solução.

O Woodgrove National Bank realizou a avaliação das questões comerciais, técnicas e de segurança que devem ser tratadas pela solução. Este capítulo descreve as questões de planejamento consideradas por arquitetos do sistema, as conclusões alcançadas e as decisões resultantes tomadas para a criação da solução escolhida.

Implementar o acesso remoto para telecomutadores

Os telecomutadores do Woodgrove National Bank que trabalham em locais remotos requerem uma conexão consistente e confiável com a rede corporativa. Dificuldades ou atrasos de conexão excessivos resultam em frustração e na perda de confiança no serviço. A implementação da quarentena VPN poderia aumentar a frustração do usuário, em virtude do maior tempo necessário para se conectar à rede. A equipe de TI do Woodgrove National Bank deve monitorar os atrasos de conexão e tomar medidas para minimizar esses atrasos. Os scripts de conexão devem informar os usuários sobre o status da conexão a cada estágio do processo de conexão.

Os administradores de rede requerem que os computadores de acesso remoto sigam as diretivas de acesso à rede antes de acessarem os recursos da rede. A melhor maneira de proteger a rede corporativa consiste em colocar em quarentena os computadores de acesso remoto e garantir que eles atendam às diretivas de segurança da rede antes de acessarem os recursos desta.

Conceito da solução

A solução usa uma combinação de scripts pré-conexão, agentes clientes e componentes do Microsoft® Windows Server™ 2003 com Service Pack 1 (SP1). Os computadores clientes iniciam a conexão VPN usando um perfil personalizado do Gerenciador de Conexões. O perfil do Gerenciador de Conexões é um executável de auto-extração criado como o CMAK (Kit de Administração do Gerenciador de Conexões), que contém scripts e configurações. Um script de ação de pré-encapsulamento requer que o cliente faça atualizações de segurança antes de criar a conexão VPN. Os computadores de acesso remoto obtêm as atualizações de servidores conectados à Internet gerenciados pelo Woodgrove National Bank, pelo fornecedor de antivírus e a partir do site do Windows Update.

O computador cliente estabelece uma conexão VPN após obter as atualizações necessárias e autentica as credenciais do usuário no serviço de diretório Active Directory® usando o IAS (Serviço de Autenticação da Internet). Em seguida, o servidor de acesso remoto restringe a conexão de entrada usando filtros de pacotes de quarentena que permitem somente acesso limitado a recursos. Depois que o agente cliente confirmar que o computador atende aos requisitos de segurança necessários, o servidor de acesso remoto eliminará as restrições de quarentena, permitindo que o computador cliente acesse todos os recursos de intranet autorizados.

Pré-requisitos da solução

Antes de iniciar um projeto dessa natureza, é necessário atender a certos pré-requisitos. A seção a seguir apresenta alguns pré-requisitos gerais da quarentena VPN.

Consultar usuários e grupos

Uma das etapas mais importantes no planejamento de uma alteração que afeta um serviço de usuário consiste em consultar os usuários e grupos envolvidos. Os usuários fazem comentários relevantes sobre o desempenho e os problemas de um serviço existente, podendo também indicar os recursos e a experiência que gostariam de obter em um novo serviço. Eles devem entender o que devem esperar ou não do serviço. O gerenciamento das expectativas pode constituir a chave para obter a aceitação do usuário. Se objetivos mensuráveis forem definidos, a organização poderá julgar o êxito do projeto.

O Woodgrove National Bank opera em vários países/regiões do mundo e tem centros de suporte regionais. A equipe inicial analisou exaustivamente os comentários dos usuários e das equipes de suporte, a fim de identificar e engajar usuários, grupos e pessoal de suporte potenciais para fazer parte dos testes.

Recrutar a equipe do projeto

É importante considerar a combinação necessária de recursos humanos e habilidades para implementar um projeto dessa natureza. A equipe do projeto deve considerar se as habilidades necessárias estão disponíveis internamente ou se há necessidade de recrutar outras pessoas. Como nem todas as pessoas são necessárias em todos os estágios do projeto, você deve verificar a disponibilidade de um indivíduo em todo o plano do projeto. As funções necessárias incluem arquitetos de rede, gerenciamento de rede, equipe de gerenciamento de servidores, desenvolvedores, equipe de segurança de infra-estrutura e equipe de gerenciamento de projetos.

Planejamento da solução

Durante o processo de planejamento, o Woodgrove considerou a necessidade de:

  • Implementar pilotos ou testes.

  • Administrar os servidores de rede de perímetro com Serviços de Terminal.

  • Atualizar os scripts de quarentena.

  • Coletar dados de desempenho.

Implementar pilotos ou testes

O tamanho e o dimensionamento da organização controlam o tamanho e o número de pilotos. A equipe de TI do Woodgrove implementou dois pilotos: o primeiro para testar o conceito e incentivar usuários de acesso remoto experientes a destacar os pontos fracos potenciais e minimizar problemas comerciais e tecnológicos. O piloto inicial permitia acesso limitado a recursos corporativos para garantir que nenhum computador que aparentemente atendesse aos requisitos de segurança tivesse problemas de segurança. Ao implementar uma solução de quarentena VPN, qualquer organização deve ficar satisfeita em saber que nenhum computador que esteja infectado ou que não tenha as atualizações adequadas poderá deixar de se submeter às verificações de segurança da quarentena antes que a solução seja implementada e exponha potencialmente a rede corporativa. O segundo piloto envolveu uma base de usuários muito maior e incluiu vários usuários inexperientes para permitir um teste mais realista dos problemas de suporte que possam surgir.

Administrar os servidores de rede de perímetro com Serviços de Terminal

A equipe de TI do Woodgrove usa o modo de administração de Serviços de Terminal para gerenciar servidores existentes na rede de perímetro. A equipe de TI do Woodgrove deve adicionar a essa lista os servidores de atualização conectados à Internet e os servidores de acesso remoto VPN. Além disso, deve considerar a atualização e a manutenção desses importantes servidores.

Atualizar os scripts de quarentena

Com o tempo, os scripts de quarentena devem ser atualizados com novos projetos dos perfis do Gerenciador de Conexões. O Woodgrove optou por distribuir esses perfis através de um servidor Web que requer autenticação do usuário. Os usuários de acesso remoto recebem um email para notificá-lo sobre um ponto de distribuição.

Coletar dados de desempenho

A medição do desempenho é um fator importante para o aprimoramento do serviço. A equipe de TI do Woodgrove deve monitorar o desempenho, a confiabilidade e a segurança dos servidores. A equipe de rede deve ser capaz de integrar a solução de quarentena VPN à estrutura existente de monitoramento e gerenciamento.

Arquitetura da solução

A solução de quarentena VPN no Woodgrove National Bank requer os seguintes componentes:

  • Computadores clientes executando o Windows XP Professional com SP2 ou posterior.

  • Perfis do Gerenciador de Conexões criados com o CMAK.

  • Scripts do cliente incorporados nos pacotes clientes do Gerenciador de Conexões.

  • Componente cliente da quarentena VPN.

  • Um servidor de acesso remoto que execute o Windows Server 2003 com SP1 ou posterior e que tenha o Serviço de Quarentena de Acesso Remoto instalado.

  • Um filtro de porta IP de quarentena.

  • IAS (Serviço de Autenticação da Internet) executado no Windows Server 2003.

  • Active Directory.

A princípio, o departamento de TI do Woodgrove pensou em oferecer suporte para todas as versões do Windows atualmente implantadas. Contudo, o maior conhecimento das ameaças a computadores conectados à Internet levou esse departamento a padronizar os sistemas operacionais dos computadores para o Windows XP Professional com SP2. Embora o departamento de TI do Woodgrove não pudesse permitir que computadores executando o Windows XP Home Edition com SP2 se conectassem pela VPN, ele decidiu não oferecer suporte a essa configuração porque um computador baseado no Windows XP Home Edition não pode ingressar em um domínio. Quando o departamento de TI implementa a solução inicial, o Woodgrove tenta estender a solução para computadores domésticos de funcionários.

Uma das verificações pré-conexão destina-se a confirmar se o Windows Firewall está ativado. Embora o Woodgrove não especifique nenhuma exceção no script, ele define exceções como, por exemplo, uma conexão posterior de área de trabalho remota.

O CMAK é a ferramenta usada para configurar o perfil do Gerenciador de Conexões que contém todos os softwares licenciados necessários para iniciar a tentantiva de conexão, incluindo o componente de notificação do cliente (RQC.exe) e o script de quarentena inicial. O Woodgrove National Bank usa um servidor Web para distribuir esses perfis. Quando esse banco atualiza o perfil do Gerenciador de Conexões, notifica os usuários por email de que o novo perfil é obrigatório até determinada data.

Observação: Estratégias alternativas poderiam usar qualquer mecanismo de distribuição de software, como uma diretiva de grupo, o Microsoft Systems Management Server (SMS) 2003, ou para os usuários que queiram se conectar à rede corporativa a partir de computadores domésticos, incluindo o perfil em uma chave USB protegida por senha.

O acesso remoto no Windows Server 2003 oferece recursos adequados para atuarem como host e roteador VPN. O Windows Server 2003 com SP1 inclui o RQS (Serviço de Quarentena de Acesso Remoto), um componente importante na solução de quarentena VPN. O RQS é o componente de escuta do servidor, implementado como um arquivo executável, o RQS.exe. O CMAK inclui o componente de notificação (RQC.exe).

O filtro de porta de quarentena somente permite a comunicação entre um cliente VPN colocado em quarentena e recursos limitados na rede. Os filtros de pacote permitem que o agente cliente se comunique com o componente de escuta no servidor de acesso remoto, além de permitir a autenticação do usuário.

O IAS em execução no Windows Server 2003 é a implementação da Microsoft de um servidor RADIUS e um servidor proxy RADIUS. A IETF (Internet Engineering Task Force) descreve o RADIUS nos RFCs 2865 e 2866. O IAS autentica as solicitações de acesso remoto e fornece informações sobre acompanhamento de conta. A equipe de TI do Woodgrove tem contratos com vários provedores de serviços de Internet, que permitem o roaming do acesso à Internet em vários países/regiões. O provedor de serviços de Internet configura os servidores RADIUS para que passem as solicitações de autenticação através dos servidores IAS do Woodgrove. Esse processo de autenticação requer o uso de um proxy RADIUS com os servidores RADIUS nesse provedor, configurado para apontar de volta para os servidores IAS do Woodgrove. Usando o IAS para autorização, o Woodgrove pode aproveitar os recursos contábeis do RADIUS para controlar o uso de VPN no acesso remoto.

As contas de usuários e as participações em grupo armazenadas no Active Directory regulam a conectividade remota e o acesso subseqüente aos recursos corporativos do Woodgrove National Bank. O Woodgrove National Bank também usa GPOs (objetos de diretiva de grupo) para configurar as estações de trabalho do Windows para que atendam às diretivas de segurança de rede corporativas.

Como funciona a solução

A figura a seguir ilustra como o Woodgrove National Bank implementou sua solução de quarentena VPN.

Dd459123.PGFG0401_s(pt-br,TechNet.10).gif

Figura 4.1 Processo da quarentena VPN no Woodgrove National Bank

A solução de quarentena VPN do Woodgrove National Bank funciona da seguinte maneira:

  1. O usuário seleciona o perfil de conexão VPN. Como alternativa, um aplicativo pode solicitar um recurso na intranet corporativa.

  2. O perfil do Gerenciador de Conexões inicia uma conexão com a Internet usando uma entrada dial-up. Se o cliente já tiver se conectado à Internet, o Gerenciador de Conexões ignorará essa etapa.

  3. As ações personalizadas de pré-encapsulamento executam scripts para garantir que o computador tenha atualizações de segurança e assinaturas antivírus atualizadas. O computador cliente se conecta ao Windows Update para instalar essas atualizações. Para obter exemplos dos scripts personalizados adequados para ações personalizadas de pré-encapsulamento, consulte o Apêndice A, "Exemplos de scripts de quarentena", neste guia.

  4. Se as atualizações forem aplicadas com êxito, o perfil do Gerenciador de Conexões se conectará ao servidor VPN. Se houver falha em alguma dessas atualizações, esse perfil informará o usuário e encerrará a tentativa de conexão VPN.

  5. O computador cliente de acesso remoto passa as credenciais de autenticação para o servidor de acesso remoto, o qual envia uma mensagem de solicitação de acesso RADIUS para o servidor IAS. O IAS autentica as credenciais do usuário no Active Directory. Se as credenciais forem válidas, o IAS verificará as diretivas de acesso remoto desse usuário.

  6. O servidor VPN aceita a conexão e define os atributos de tempo limite de quarentena e de filtro IP. O servidor IAS envia uma mensagem de aceitação e acesso RADIUS que contém os atributos MS-Quarantine-IPfilter e MS-Quarantine-Session-Timeout. O servidor VPN aplica esses atributos ao filtro de quarentena e define o timer da sessão. O computador cliente de acesso remoto pode transmitir com êxito o tráfego que corresponde somente aos filtros de quarentena. O cliente de acesso remoto deve notificar o servidor de acesso remoto de que o script de quarentena foi concluído com êxito, antes da expiração do tempo especificado no contador MS-Quarantine-Session-Timeout.

  7. O componente de escuta informa o servidor de acesso remoto de que o cliente atende aos requisitos de diretiva. O servidor de acesso remoto recebe essa notificação porque ele atende à regra de tráfego (porta 7250) especificada no atributo MS-Quarantine-IPfilter. Esse servidor remove da conexão as configurações MS-Quarantine-IPfilter e MS-Quarantine-Session-Timeout, e configura as restrições normais de conexão, prescritas na diretiva de acesso remoto.

  8. Agora, o usuário poderá acessar recursos de rede autorizados.

Observação: Um script pós-conexão verifica a versão do pacote do Gerenciador de Conexões. Se a versão no computador remoto for superior a uma versão principal ou a duas versões secundárias desatualizadas, o computador remoto baixará o pacote mais recente do Gerenciador de Conexões, informará o usuário e encerrará a conexão. Agora, o computador remoto tem a lista mais recente de hotfixes, e o usuário pode se conectar novamente.

Para implementar essa solução, é necessário que vários processos estejam em execução no cliente e no servidor. A próxima seção explica esses requisitos.

Implementar ações personalizadas usando scripts

Os scripts executados em diferentes pontos do ciclo de conexão realizam a maioria das operações no cliente para a solução de quarentena VPN. Um elemento essencial dessa solução depende de certas verificações serem executadas como pré-encapsulamento ou pós-conexão. Se uma verificação específica for executada fora de seqüência, ela poderá expor um computador a vulnerabilidades desnecessárias e criar outras dificuldades. A seção a seguir contém a lista de verificações criada para essa solução.

Implementar verificações pré-encapsulamento

Se o cliente ainda não estiver conectado, o Gerenciador de Conexões iniciará uma conexão com a Internet. Depois que o cliente se conectar à Internet, as ações síncronas de pré-encapsulamento executarão as verificações de segurança obrigatórias antes de estabelecerem o encapsulamento VPN.

O Gerenciador de Conexões executa em seqüência todas as verificações de segurança necessárias e implementa cada verificação como uma série de scripts. As etapas a seguir fornecem a lógica de trabalho necessária para os scripts.

  1. Sistema operacional cliente com suporte?

    • Em caso negativo, exibe uma caixa de mensagem ao usuário e apresenta falha na conexão.

    • Em caso positivo, continua.

  2. Software antivírus instalado e em execução? 

    • Em caso negativo, exibe uma caixa de mensagem ao usuário e apresenta falha na conexão. Qualquer software licenciado necessário como parte de uma ação de pré-encapsulamento deve ser incorporado à instalação do Gerenciador de Conexões para evitar a necessidade de fazer a instalação a partir de um servidor remoto.

    • Em caso positivo, continua.

  3. Atualizar arquivos de assinatura antivírus

    • Se bem-sucedido, continua.

    • Se malsucedido, exibe um aviso e continua, ou exibe uma caixa de mensagem ao usuário e apresenta falha na conexão.

  4. Cliente da Atualização Automática do Windows configurado?

    • Em caso negativo, configura o cliente do Serviço de Atualização Automática do Windows.

    • Se bem-sucedido, continua.

    • Se malsucedido, exibe um aviso e continua, ou exibe uma caixa de mensagem ao usuário e apresenta falha na conexão.

    • Em caso positivo, continua.

  5. Baixar e instalar atualizações de software de alta prioridade

    • Se bem-sucedido, continua.

    • Se malsucedido, exibe um aviso e continua, ou exibe uma caixa de mensagem ao usuário e apresenta falha na conexão.

  6. Uso necessário de “Fazer logon usando uma conexão dial-up” (opcional)

    • Se for usado, continua.

    • Se não for usado, exibe um aviso e continua, ou exibe uma caixa de mensagem ao usuário e apresenta falha na conexão. O uso dessa verificação significa que somente os computadores membros do domínio podem se conectar e que os clientes remotos devem ingressar no domínio conectando-se à LAN corporativa pelo menos uma vez. Se essa opção for usada, o ingresso no domínio através de uma conexão remota será impossível, a menos que o departamento de TI do Woodgrove apresente uma exceção temporária às verificações de segurança obrigatórias (consulte o tópico Tratar exceções e exclusões, mais adiante neste capítulo).

  7. Executar verificações de segurança personalizadas adicionais (opcional)

    Como o acesso à Internet está disponível somente nesse ponto do processo de conexão, você deve se lembrar dessa limitação ao criar as verificações de segurança personalizadas.

Observação: Para obter uma descrição de um conjunto de scripts de exemplo, consulte o Apêndice A, "Exemplos de scripts de quarentena", deste guia.

O Gerenciador de Conexões inclui os resultados dessas ações de pré-encapsulamento no Registro sob a seguinte chave:

HKEY_CURRENT_USER\Software\MyCompany\MyConnectionManager\PreTunnelResults.

As ações de pré-encapsulamento sempre devem ser bem-sucedidas, e a ação pós-conexão do agente do Serviço de Quarentena de Acesso Remoto deve verificar esses resultados para determinar o status a ser enviado ao servidor VPN. Esse método permite o gerenciamento flexível de exceções sem modificar o Gerenciador de Conexões. A figura a seguir mostra a lógica do script de ação personalizada de pré-encapsulamento usada pelo Woodgrove National Bank.

Dd459123.PGFG0402(pt-br,TechNet.10).gif

Figura 4.2 Ações de pré-encapsulamento do Woodgrove National Bank

Ver imagem em tamanho normal

Implementar verificações pós-conexão

Depois que o cliente passa pelas verificações de pré-encapsulamento, o Gerenciador de Conexões estabelece a conexão VPN. Os scripts pós-conexão podem executar verificações não obrigatórias adicionais e ações de gerenciamento após o acesso do cliente à rede corporativa.

  1. Conexão VPN

    Após concluir todas as ações de pré-encapsulamento, o Gerenciador de Conexões estabelece conexão com o servidor VPN.

  2. Enviar notificação

    O Gerenciador de Conexões usa o componente cliente (RQC.exe) para enviar a chave compartilhada para o Serviço de Quarentena de Acesso Remoto (RQS.exe) no servidor VPN, que, em seguida, descarta a diretiva de quarentena.

  3. Expiração da senha

    O Woodgrove National Bank executa um script que verifica a expiração de senhas pendentes e notifica o usuário se uma alteração for necessária.

    Observação: A notificação de expiração de senha ocorre somente quando um cliente usa a opção Fazer logon usando uma conexão dial-up para se conectar remotamente à rede corporativa.

  4. Atualização da diretiva de grupo

    Se um cliente membro do domínio não usar a opção Fazer logon usando uma conexão dial-up para se conectar remotamente à rede corporativa, as atualizações da diretiva de grupo não serão aplicadas. Isso poderá gerar exposição da segurança quando a diretiva de grupo for usada para definir opções de segurança críticas em clientes. Para minimizar esse problema potencial, o Woodgrove National Bank executa um script pós-conexão que atualiza a diretiva de grupo após o logon do usuário. Um script usa o comando gpupdate.exe /force /wait:0  para atualizar imediatamente as configurações de diretiva de grupo. Para obter mais informações sobre os utilitários de Atualização de Diretiva de Grupo, consulte A Description of the Group Policy Update Utility em https://support.microsoft.com/default.aspx?scid=kb;en-us;298444 (site em inglês)

A figura a seguir fornece detalhes sobre a lógica do script de ação personalizada pós-conexão.

Dd459123.PGFG0403(pt-br,TechNet.10).gif

Figura 4.3 Ações pós-conexão do Woodgrove National Bank

Ver imagem em tamanho normal

Criar e distribuir perfis do Gerenciador de Conexões

O Gerenciador de Conexões fornece um mecanismo conveniente para conceder aos usuários acesso rápido, simples e confiável a recursos corporativos. O Woodgrove National Bank decidiu implementar suas conexões VPN personalizadas através dos perfis do Gerenciador de Conexões criados pelo departamento de TI por meio do CMAK.

Como o Woodgrove National Bank configura conexões para dezenas de milhares de clientes e centenas de números de telefone de acesso, o departamento de TI do Woodgrove deve examinar as seguintes informações antes da configuração:

  • As configurações de conexões dial-up ou VPN variam de acordo com fatores como local, horário etc.

  • Para impedir a ocorrência de erros, os usuários não podem configurar nem modificar as propriedades da conexão dial-up ou VPN.

  • Algumas funções devem ser dinâmicas, e a equipe de TI do Woodgrove gerencia esses valores para garantir conformidade com a segurança.

  • O método de configuração deve se adaptar a uma empresa global.

A tabela a seguir apresenta alguns recursos do Gerenciador de Conexões para as conexões de acesso remoto usadas pela equipe de TI do Woodgrove.

Tabela 4.1: Recursos do Gerenciador de Conexões usados pela equipe de TI do Woodgrove

Recurso

Capacidade

Identificação de marca

Gráficos, ícones, mensagens e conteúdo da Ajuda personalizados conferem uma aparência corporativa ao pacote. Os pacotes do Gerenciador de Conexões podem fornecer números de suporte locais para usuários em trânsito.

Ações personalizadas

Para executar atualizações de logs e aplicativos.

A equipe de TI do Woodgrove pode distribuir os perfis do Gerenciador de Conexões para usuários remotos por CD, emails, sites da Web ou compartilhamento de arquivos. O Woodgrove National Bank já distribui softwares e atualizações através de um site conectado à Internet. Como a infra-estrutura de suporte já foi implementada, o Woodgrove optou por usar esse método para distribuir os perfis do Gerenciador de Conexões.

Usar filtros IP para o acesso de rede de quarentena

A combinação de ações personalizadas e suporte para atributos específicos de fornecedor permite que o Gerenciador de Conexões dê suporte ao acesso de rede colocado em quarentena. Os atributos específicos de fornecedor são extensões permitidas do padrão RADIUS, que não são definidas pela RFC 2138 desse padrão. Estes são os atributos de fornecedor da Microsoft especificados pela versão Windows Server 2003 do IAS:

  • MS-Quarantine-IPFilter

  • MS-Quarantine-Session-Timeout

Configuração MS-Quarantine-IPFilter

Esta configuração permite o tráfego de entrada do componente de notificação do cliente (RQC) após a conclusão bem-sucedida do script. Por exemplo, a rede do Woodgrove National Bank deve permitir o uso dos protocolos DNS e DHCP, de modo que um cliente remoto possa se comunicar com os servidores de infra-estrutura durante as operações de quarentena.

Observação: O uso de filtros para permitir protocolos específicos diminui a segurança geral. Inclua esses protocolos na definição de quarentena somente se necessário.

A tabela a seguir mostra as portas TCP/IP que são abertas pelo filtro IP de quarentena do Woodgrove National Bank.

Tabela 4.2: Portas TCP/IP abertas no filtro de quarentena VPN

Número da porta

Uso

Comentários

UDP 67, 68

DHCP

Solicita um endereço IP para o cliente

UDP 53

DNS

Resolução de nomes

UDP 137

WINS

Resolução de nomes NetBIOS

TCP 139, 445

Compartilhamento de arquivos

Ativar somente se absolutamente necessário; permite o compartilhamento de sessões NetBIOS e de arquivos SMB

TCP 7250

RQC, RQS

Permite a comunicação entre o agente do cliente de quarentena VPN e o componente de escuta no servidor
MS-Quarantine-Session-Timeout

Este atributo define o tempo limite máximo para que o computador cliente permaneça em quarentena. Se o script não for concluído nesse período, o servidor de acesso remoto desconectará o computador cliente. O Woodgrove National Bank implementou um tempo limite de 120 segundos e, desse modo, menos de um por cento das conexões de entrada é descartado.

A figura a seguir ilustra os atributos específicos de fornecedor que requerem configuração na diretiva de acesso remoto para oferecer suporte à quarentena VPN.

Dd459123.PGFG0404(pt-br,TechNet.10).gif

Figura 4.4 Atributos específico do fornecedor de MS-Quarantine necessário para a Quarentena VPN.

Ver imagem em tamanho normal

Durante o processo de teste piloto, verifique se a remoção de alguma das portas permitidas no filtro IP de quarentena impede a conexão do cliente. Reduza o valor do tempo limite para a configuração mais baixa possível e, em seguida, adicione uma permissão para maior latência de rede ou conexões lentas.

Considerações adicionais

Esta seção aborda algumas áreas adicionais consideradas pela equipe de TI do Woodgrove na implementação da quarentena VPN.

Configurar logs e cálculos estatísticos

O suporte interno para registrar as conexões clientes através do RADIUS é uma vantagem de usar o IAS. O Woodgrove National Bank deseja monitorar os funcionários que se conectam à rede corporativa. O registro em log não é um requisito para a implementação de uma solução de acesso remoto com a quarentena VPN, mas é altamente recomendável pela Microsoft. O RADIUS/IAS permite ao Woodgrove analisar as tendências de conexão, com o objetivo de melhorar o serviço.

Cada servidor RADIUS IAS coleta os dados de sessão de usuário no SQL Server 2000 Desktop Engine (MSDE 2000), que é um banco de dados local do SQL Server 2000. Esse banco de dados pode coletar os dados de desempenho do servidor de infra-estrutura e dados específicos de clientes, e ser executado em cada servidor IAS que coleta os dados de sessão de usuário.

O servidor IAS transfere os dados do MSDE para um banco de dados SQL Server 2000 central praticamente em tempo real. Esse esquema garante uso eficaz em termos de custo do licenciamento do SQL Server e não prejudica o desempenho.

O Woodgrove National Bank implantou servidores regionais de coleta de dados baseados no SQL Server para coletar dados de sessão de acesso remoto. Para obter mais informações sobre como configurar os logs do SQL Server no IAS, consulte o tópico Deploying SQL Server Logging with Windows Server 2003 Internet Authentication Service (IAS) em www.microsoft.com/downloads/details.aspx?FamilyId=6E4357F7-4070-4902-95F1-3AD411D963B2\&displaylang=en (site em inglês)

Fazer implantações pilotos

Antes de implantar qualquer solução de acesso remoto em um ambiente de produção, você deve testá-la em uma implantação piloto. Teoricamente, a implantação piloto é uma versão resumida da solução planejada.

O Woodgrove National Bank implementou dois programas pilotos: um piloto inicial para usuários experientes e, em seguida, um piloto mais geral com um intervalo mais abrangente de participantes. A equipe de TI do Woodgrove monitorou o piloto e usou os resultados para corrigir o design final.  

Garantir alta disponibilidade

Como o Woodgrove National Bank opera em um ambiente global com locais em todo o mundo, o cenário da solução deve ser altamente confiável. Portanto, esse banco deve considerar provisões para disponibilidade, que incluem:

  • Vários servidores VPN com balanceamento de carga.

  • Servidores IAS com balanceamento de carga.

  • Servidores de atualização de software e de atualização de antivírus tolerantes a falhas.

  • Os caminhos de rede interna redundantes garantem que uma falha de roteador ou de comutador não impeça o acesso a servidores internos.

A equipe de TI do Woodgrove usa o Microsoft Application Center 2000 para oferecer suporte a NLB (Balanceamento de carga de Rede) e clusters de aplicativos da Web para seus sites. O Centro de Aplicativos e o NLB também fornecem tolerância a falhas para os servidores de atualização conectados à Internet. O Woodgrove National Bank usa o NLB, um recurso padrão do Windows Server 2003 Enterprise Edition para balancear a carga dos servidores IAS.

Garantir largura de banda adequada à rede

Os arquitetos de sistemas devem considerar os caminhos de rede atuais, os tempos de conexão esperados e o tipo e extensão do tráfego de acesso remoto esperados. A banda larga adicional de que os usuários de acesso remoto precisam não deve ser subestimada.

As implantações pilotos devem ajudar na análise do tráfego de acesso remoto e no efeito que ele possa produzir na infra-estrutura existente. É importante que os testes incluam funcionários típicos com utilizações normais, pois a solução não poderá ser bem-sucedida se o serviço for deficiente. Os comutadores de rede que incorporam a criação de perfis de banda larga podem reduzir os efeitos do tráfego de acesso remoto sobre outros usuários.

O Woodgrove National Bank estabelece conexões adequadas com a Internet com alta largura de banda. O banco usa a maior parte da banda larga existente para acesso interno à internet para navegação na Web e email; portanto, ajustes podem ser necessários para lidar com o tráfego adicional de acesso remoto.

Tratar exceções e exclusões

Os arquitetos de sistema do Woodgrove National Bank entendem que qualquer solução deve abranger situações em que as necessidades de negócios requerem a capacidade de conceder a um ou mais dispositivos uma exceção temporária em relação aos requisitos de quarentena. Por exemplo, a equipe de TI talvez precise conceder uma exceção para o acesso de executivos durante uma reunião importante. Por isso, a solução de acesso VPN deve oferecer suporte a exceções.

A incapacidade de fornecer exceções a computadores únicos poderia forçar o administrador a remover os requisitos de acesso remoto. A menos que a organização possa lidar com exceções individuais, a equipe de TI não poderá implantar a solução.

Observação: O grupo de segurança do departamento de TI do Woodgrove deve ser a única autoridade capaz de determinar se uma necessidade empresarial de uma isenção justifica o risco de segurança.

A organização deve considerar os seguintes cenários de exceção:

  • Membros fora do domínio. As corporações podem permitir o acesso à rede por clientes remotos que não sejam membros de um domínio. Contudo, essa exceção resulta em sobrecarga de gerenciamento adicional, pois muitas outras opções de gerenciamento e segurança requerem diretiva de grupo. A diretiva de grupo só está disponível para computadores membros de um domínio.

  • Opção de logon no domínio. O usuário em um computador membro de um domínio se conectará com credenciais armazenadas no cache se não selecionar a opção de logon do Windows quando fizer logon usando o Gerenciador de Conexões. Pode haver falha na autenticação dessas credenciais quando as senhas mudam ou expiram.

  • Tempos limite de aplicativos. Poderá haver falha em um aplicativo se um computador permanecer em quarentena por um longo período e o tempo limite do aplicativo for esgotado por causa do atraso. Esse efeito poderá resultar na corrupção dos dados.

Uma solução alternativa para esse problema final consiste em criar filtros de pacotes de entrada para que o tráfego do aplicativo funcione conforme o esperado enquanto o cliente de acesso remoto estiver em quarentena. A desvantagem desse método é a sobrecarga gerada pela identificação do tráfego de rede do aplicativo e pela criação de filtros de pacotes adicionais.

A Microsoft recomenda que você mantenha o mínimo de filtros de pacotes de quarentena e use ações personalizadas de pré-encapsulamento para superar esse problema. A implementação de filtros incorretos de pacotes de quarentena pode expor os controladores de domínio à rede de quarentena.

Certas configurações podem minimizar o atraso sofrido por aplicativos quando eles se conectam a uma rede de quarentena. Embora a Microsoft não recomende configurações que exponham a rede, as organizações devem fornecer soluções alternativas para aplicativos essenciais. As seguintes soluções alternativas devem ser consideradas:

  • Enviar informações aos usuários

  • Usar somente um tempo limite de sessão de quarentena

  • Usar notificação imediata

Enviar informações aos usuários

Você pode informar os usuários, através da interface do Gerenciador de Conexões, de que eles estão no processo de conexão. Isso ajuda a minimizar a frustração que os usuários sentem quando acham que nada está acontecendo.

Usar somente um tempo limite de sessão de quarentena

Essa configuração envolve a definição do atributo MS-Quarantine-Session-Timeout, mas não do atributo MS-Quarantine-IPFilter. O servidor de acesso remoto concede acesso normal imediato ao cliente de acesso remoto, não restringido pelos filtros de pacotes de quarentena. No entanto, o cliente de acesso remoto ainda deve enviar uma mensagem de notificação informando que está em conformidade com as diretivas de rede. O servidor de acesso remoto desconectará o computador cliente se ele não enviar a notificação antes da expiração do tempo limite da sessão de quarentena.

As vantagens dessa configuração são que não há necessidade de configurar filtros de pacotes de quarentena e não há problemas de atraso nos aplicativos. O acesso remoto ocorre da mesma maneira como se não houvesse quarentena. A desvantagem dessa configuração é que o servidor de acesso remoto concede ao cliente de acesso remoto acesso normal à rede pelo tempo limite da sessão de quarentena, mesmo que ele não esteja em conformidade com as diretivas de rede. Essa situação apresenta uma óbvia brecha de segurança.

Usar notificação imediata

Nessa configuração, o script de quarentena executa o RQC.exe para enviar a notificação antes da conclusão de qualquer um dos testes. O servidor de acesso remoto remove as restrições de quarentena da conexão e o cliente de acesso remoto passa a ter acesso normal imediato. Dentro do script de quarentena, ainda são executados testes de conformidade com a diretiva de quarentena. Se houver falha em algum dos testes, o script de quarentena notificará o usuário sobre as ações corretivas necessárias e o desconectará automaticamente após determinado período, emulando o modo de quarentena e o uso de um timer de sessão de quarentena.

Observação: Nessa configuração, você ainda define o atributo MS-Quarantine-Session-Timeout ou MS-Quarantine-IPFilter para fornecer as restrições de quarentena necessárias quando o computador tem um pacote ou script desatualizado do Gerenciador de Conexões.

A vantagem de usar a notificação imediata é que não há problemas de atraso nos aplicativos. O acesso remoto ocorre da mesma maneira como se não houvesse quarentena. Contudo, esse não é um método recomendável.

Aplicar práticas recomendadas

Esta seção apresenta algumas das principais práticas recomendadas da solução do Woodgrove. Essas práticas recomendadas consistem em:

  • Usar uma diretiva de quarentena para bloquear todo o tráfego.

  • Oferecer suporte ao logon usando uma conexão dial-up.

  • Usar ações personalizadas de pré-encapsulamento para verificações de segurança obrigatórias.

  • Incluir software licenciado no pacote cliente.

Usar uma diretiva de quarentena para bloquear todo o tráfego

Após a conexão, o servidor DHCP atribui ao cliente um endereço IP. O componente de notificação do cliente (RQC.exe) tenta passar a chave compartilhada para o componente de escuta do servidor (RQS.exe) no servidor de acesso remoto. O RQS escuta somente no endereço IP interno do servidor de acesso remoto. Esse é o único endereço IP com o qual a diretiva de quarentena deve permitir comunicação. O filtro IP deve bloquear todo o tráfego até que o RQS receba com êxito a chave compartilhada do RQC e o servidor de acesso remoto descarte a quarentena.

Oferecer suporte ao logon usando uma conexão dial-up

Quando os usuários selecionam a opção de logon do Windows Fazer logon usando uma conexão dial-up, os clientes VPN podem receber a atualização da diretiva de grupo praticamente da mesma maneira que clientes LAN. Essa configuração permite a administração unificada de clientes internos e remotos.

Observação: Não há nenhum método disponível que possa aplicar scripts de inicialização e atribuições de software em uma conexão dial-up.

O uso dessa opção permite que usuários recebam notificações sobre expiração de senhas e também que computadores atualizem suas contas quando necessário. Como as configurações de diretiva de grupo se aplicam aos clientes remotos após o processo de conexão, a primeira ação pós-conexão no Gerenciador de Conexões deve ser remover a quarentena VPN. Um atraso na remoção da quarentena pode causar falha na atualização da diretiva de grupo, na notificação de expiração de senha e na atualização da conta do computador.

Para garantir que as configurações de diretiva de grupo se apliquem igualmente a clientes VPN e clientes LAN, desative a configuração Detecção de vínculo lento em pelo menos um objeto de diretiva de grupo que se aplique a todos os clientes. A organização deve testar e avaliar cuidadosamente o impacto total dessa configuração, antes de considerar a implementação. Você só deve implementar essa opção se for absolutamente necessária. Para obter mais informações sobre as configurações de diretiva de grupo, consulte Introduction to Group Policy in Windows Server 2003 em www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx (site em inglês).

Para obter mais informações sobre Detecção de vínculo lento, consulte Specifying Group Policy for Slow Link Detection em www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dmebb\_gpu\_fvfu.asp (site em inglês)

Usar ações personalizadas de pré-encapsulamento para verificações de segurança obrigatórias

Para evitar atrasos desnecessários no modo de quarentena, execute todas as verificações de segurança como ações personalizadas de pré-encapsulamento. Se o cliente de acesso remoto processar essas atualizações antes da conexão, a experiência do usuário será mais positiva.

Incluir software licenciado no pacote cliente

A organização deve garantir que o computador remoto tenha todos os softwares licenciados necessários para estabelecer a conexão. Você deve distribuir esse software como parte do pacote do Gerenciador de Conexões para reduzir as ligações para obter suporte e os problemas de configuração.

Implementar o monitoramento e o gerenciamento

Uma solução de quarentena VPN deve permitir a atribuição e o monitoramento de alarmes e limites adequados para monitorar a integridade operacional da solução. Essa solução deve oferecer a capacidade de monitorar a rede inteira, um único ativo ou listas de ativos em tempo real. O monitoramento deve mostrar os indicadores necessários à organização que possui suporte operacional. O impacto de não atender a esse requisito é que o departamento de segurança se tornará incapaz de determinar se a solução protegerá as conexões de acesso remoto.

Monitorar operações de quarentena

A seção a seguir apresenta algumas considerações adicionais para o monitoramento das operações de quarentena VPN. Elas incluem:

  • Garantir a cooperação mútua entre várias equipes distribuídas em diversos fusos horários durante a solução de problemas de clientes remotos em organizações de grande porte. Testes rigorosos e uma implantação piloto apropriada ajudam a reduzir requisitos de solução de problemas.

  • Compreender totalmente os cenários de acesso remoto, as ameaças de segurança e as vantagens e desvantagens entre eles. O gerenciamento sênior deve priorizar os ativos que precisam de maior proteção e determinar o equilíbrio adequado entre custo e risco.

  • Prever desafios técnicos, como rotinas de instalação e a distribuição de CDs. Considere a necessidade de ferramentas adicionais de gerenciamento empresarial no processo de planejamento.

  • Monitorar e gerenciar problemas potenciais de desempenho e definir antecipadamente as expectativas dos usuários. Por exemplo, os usuários remotos que não fizeram logon na rede recentemente usando o acesso remoto podem experimentar períodos de logon demorados se usarem a opção de Logon do Windows. Se o cliente necessitar de um service pack, o logon poderá demorar várias horas dependendo da velocidade de conexão do cliente. A equipe de TI do Woodgrove pode evitar esse atraso enviando um email ao usuário para oferecer a opção de enviar-lhe um CD ou usar um site de download.

  • Atualizar para a tecnologia mais recente no início do design geral do projeto para computadores servidores e clientes. Isso proporciona uma plataforma de solução de linha de base, eliminando assim a grande maioria dos problemas que a organização possa ter durante a implantação da solução. A estabilidade do serviço deve aumentar e o custo do suporte ao usuário deve diminuir em virtude desse esforço.

  • Implementar o projeto em várias fases e alocar um intervalo de tempo adequado entre elas para que o usuário possa assimilá-las e para que haja estabilização do processo, do ajuste e do sistema de rede. A sobreposição de fases pode afetar negativamente os usuários do serviço, assim como aumentar significativamente as dificuldades de identificação e isolamento de problemas no serviço.

  • Lembre-se de que os computadores domésticos dos funcionários são suas propriedades pessoais e não são gerenciados pelo departamento de TI da empresa. Se um funcionário não quiser ou não conseguir instalar a solução de software e hardware necessária para o acesso remoto a partir desse computador, outras opções estarão disponíveis. Por exemplo, o Microsoft Outlook® Web Access fornece uma alternativa global segura que permite conexões criptografadas de funcionários aos seus dados pessoais (emails, contatos, tarefas e funções de calendário) e a pastas públicas do Microsoft Exchange Server 2003.

Estender a solução

A solução de quarentena VPN não impede que alguém roube as credenciais de um usuário e depois tente fazer logon na rede. Para reduzir a probabilidade de que isso ocorra, considere estender a solução para incluir o uso de certificados digitais contidos em cartões inteligentes.

A utilização de mecanismos de autenticação de dois fatores como, por exemplo, cartões inteligentes para autenticar as conexões de acesso remoto aumenta a segurança da rede e, ao mesmo tempo, permite que outros funcionários possam trabalhar em locais remotos. A implementação de cartões inteligentes requer o protocolo EAP-TLS (Extensible Authentication Protocol – Transport level Security).

O Woodgrove National Bank já tem uma PKI (Infra-estrutura de Chave Pública) bem desenvolvida em funcionamento e, portanto, pode estender a solução de acesso remoto para incluir cartões inteligentes. Para obter mais informações sobre como planejar a autenticação de dois fatores, consulte Guia de Planejamento de Acesso Seguro Usando Cartões Inteligentes em https://www.microsoft.com/brasil/security/guidance/topics/scpgc/default.mspx.

Resumo

Os novos recursos do Windows Server 2003 com SP1 permitem que as organizações implementem a quarentena VPN de maneira confiável e com total suporte. O planejamento adequado da implantação da quarentena VPN é essencial para impedir interrupções desnecessárias do serviço para usuários remotos. Este guia considerou os fatores e os processos envolvidos no planejamento da implementação de quarentena VPN e descrever como o Woodgrove National Bank implementou a solução para sua rede. Para obter mais informações sobre como implementar a quarentena VPN, consulte o Apêndice C, "Links relacionados" neste documento.

Neste artigo
Download

Dd459123.icon_exe(pt-br,TechNet.10).gifGuia de Planejamento de Implementação dos Serviços de Quarentena com VPN da Microsoft