Selecionar e configurar as VPNs
Ao planejar VPNs, a Contoso deve considerar vários fatores, incluindo o protocolo de túnel apropriado e o método de autenticação. Eles também devem considerar a melhor maneira de configurar seus servidores VPN para dar suporte às necessidades de acesso remoto de seus usuários.
Selecionar um protocolo de túnel
A Contoso poderia optar por implementar VPNs usando um dos vários protocolos de túnel e métodos de autenticação. As conexões VPN podem usar um dos seguintes protocolos de túnel:
- Protocolo PPTP (túnel ponto a ponto)
- Protocolo de túnel de camada 2 com segurança de protocolo de Internet (L2TP/IPsec)
- Protocolo SSTP (Secure Socket Tunneling Protocol)
- Internet Key Exchange versão 2 (IKEv2)
Todos os protocolos de túnel VPN compartilham três recursos:
- Encapsulação. A tecnologia VPN encapsula dados privados com um cabeçalho que contém informações de roteamento, o que permite que os dados percorram a rede de trânsito.
- Autenticação. Há três tipos de autenticação para conexões VPN, incluindo:
- Autenticação no nível do usuário usando a autenticação PPP (Protocolo Ponto a Ponto).
- Autenticação em nível de computador usando o IKE (Internet Key Exchange).
- Autenticação de origem de dados e integridade de dados.
- Criptografia de dados. Para garantir a confidencialidade dos dados à medida que atravessa a rede de transporte público ou compartilhada, o remetente criptografa os dados e o receptor os descriptografa.
A tabela a seguir descreve os protocolos de túnel suportados.
| Protocolo | Descrição |
|---|---|
| PPTP | Você pode usar o PPTP para acesso remoto e conexões VPN site a site (rede virtual privada). Quando você usa a Internet como rede pública VPN, o servidor PPTP é um servidor VPN habilitado para PPTP que tem uma interface na Internet e outra em sua intranet. |
| L2TP/IPsec | O L2TP permite criptografar o tráfego multiprotocolo enviado por qualquer meio que dê suporte à entrega de datagrama ponto a ponto, como IP ou modo de transferência assíncrona (ATM). L2TP é uma combinação de PPTP e L2F (Encaminhamento de Camada 2). L2TP representa os melhores recursos de PPTP e L2F. |
| SSTP | O SSTP é um protocolo de túnel que usa o protocolo HTTPS pela porta TCP 443 para passar o tráfego por meio de firewalls e proxies web, que de outra forma poderiam bloquear o tráfego PPTP e L2TP/IPsec. O SSTP fornece um mecanismo para encapsular o tráfego PPP pelo canal SSL do protocolo HTTPS. O uso do PPP permite suporte para métodos de autenticação fortes, como EAP-TLS. O SSL fornece segurança em nível de transporte com negociação de chave aprimorada, criptografia e verificação de integridade. |
| IKEv2 | O IKEv2 usa o protocolo IPsec Tunnel Mode pela porta UDP 500. O IKEv2 dá suporte à mobilidade, o que o torna uma boa opção de protocolo para uma força de trabalho móvel. As VPNs baseadas em IKEv2 permitem que os usuários se movam facilmente entre hotspots sem fio ou entre conexões sem fio e com fio. |
Cuidado
Você não deve usar PPTP devido a vulnerabilidades de segurança. Em vez disso, use IKEv2 sempre que possível porque ele é mais seguro e oferece vantagens sobre L2TP.
Selecionar uma opção de autenticação
A autenticação de clientes de acesso é uma preocupação de segurança importante. Os métodos de autenticação normalmente usam um protocolo de autenticação que é negociado durante o processo de estabelecimento de conexão. A função de servidor de Acesso Remoto dá suporte aos métodos descritos pela tabela a seguir.
| Método | Descrição |
|---|---|
| PAP | O PAP (Protocolo de Autenticação de Senha) usa senhas de texto não criptografado e é o protocolo de autenticação menos seguro. Normalmente, ele é negociado se o cliente de acesso remoto e o servidor de Acesso Remoto não puderem negociar uma forma mais segura de validação. O Windows Server inclui o PAP para dar suporte a sistemas operacionais cliente mais antigos que não dão suporte a nenhum outro método de autenticação. |
| CHAP | O PROTOCOLO CHAP (Challenge Handshake Authentication Protocol) é um protocolo de autenticação de desafio-resposta que usa o esquema de hash MD5 padrão do setor para criptografar a resposta. Vários fornecedores de servidores e clientes de acesso à rede usam CHAP. No entanto, como o CHAP exige que você use uma senha criptografada reversivelmente, você deve considerar o uso de outro protocolo de autenticação, como o MS-CHAPv2. |
| MS-CHAPv2 | O Protocolo de Autenticação do Handshake do Microsoft Challenge versão 2 (MS-CHAPv2) é uma senha criptografada unidirecional, protocolo de autenticação mútua e fornece melhorias em relação ao CHAP. |
| Programa de Assistência ao Empregado (EAP) | Se você usar o Protocolo de Autenticação Extensível (EAP), um mecanismo de autenticação arbitrária autentica uma conexão de acesso remoto. O cliente de acesso remoto e o autenticador, que é o servidor de Acesso Remoto ou o servidor RADIUS (Serviço de Usuário de Autenticação Remota), negociam o esquema exato de autenticação que usarão. O roteamento e o acesso remoto incluem suporte para a Autenticação Extensível Protocol-Transport Layer Security (EAP-TLS) por padrão. Você pode conectar outros módulos EAP ao servidor que está executando Roteamento e Acesso Remoto para fornecer outros métodos EAP. |
Considerações adicionais
Além do protocolo de túnel e do método de autenticação, antes de implantar a solução VPN da sua organização, você deve considerar o seguinte:
- Verifique se o servidor VPN tem duas interfaces de rede. Você deve determinar qual adaptador de rede se conectará à Internet e qual se conectará à sua rede privada. Durante a configuração, você deve escolher qual interface de rede se conecta à Internet. Se você especificar a interface de rede incorreta, o servidor VPN de acesso remoto não funcionará corretamente.
- Determine se os clientes remotos recebem endereços IP de um servidor DHCP em sua rede privada ou do servidor VPN de acesso remoto que você está configurando. Se você tiver um servidor DHCP em sua rede privada, o servidor VPN de acesso remoto poderá alugar 10 endereços por vez do servidor DHCP e, em seguida, atribuir esses endereços a clientes remotos. Se você não tiver um servidor DHCP em sua rede privada, o servidor VPN de acesso remoto poderá gerar e atribuir automaticamente endereços IP a clientes remotos. Se você quiser que o servidor VPN de acesso remoto atribua endereços IP de um intervalo especificado, você deve determinar qual deve ser esse intervalo.
- Determine se você deseja um servidor RADIUS (Serviço de Usuário Discado de Autenticação Remota) ou um servidor VPN de acesso remoto configurado para autenticar solicitações de conexão de clientes VPN. Adicionar um servidor RADIUS será útil se você planeja instalar vários servidores VPN de acesso remoto, pontos de acesso sem fio ou outros clientes RADIUS à sua rede privada.