Selecionar e configurar VPNs
Ao planejar VPNs, a Contoso deve considerar vários fatores, incluindo o protocolo de encapsulamento e o método de autenticação apropriados. Eles também devem considerar a melhor forma de configurar seus servidores VPN para suportar as necessidades de acesso remoto de seus usuários.
Selecione um protocolo de encapsulamento
A Contoso pode optar por implementar VPNs usando um dos vários protocolos de encapsulamento e métodos de autenticação. As conexões VPN podem usar um dos seguintes protocolos de encapsulamento:
- Protocolo de encapsulamento ponto a ponto (PPTP)
- Protocolo de encapsulamento de camada 2 com segurança de protocolo Internet (L2TP/IPsec)
- Protocolo SSTP (Secure Socket Tunneling Protocol)
- Internet Key Exchange versão 2 (IKEv2)
Todos os protocolos de encapsulamento VPN compartilham três recursos:
- Encapsulamento. A tecnologia VPN encapsula dados privados com um cabeçalho que contém informações de roteamento, o que permite que os dados atravessem a rede de trânsito.
- Autenticação. Existem três tipos de autenticação para conexões VPN, incluindo:
- Autenticação no nível do usuário usando a autenticação PPP (Point-to-Point Protocol).
- Autenticação no nível do computador usando o Internet Key Exchange (IKE).
- Autenticação de origem de dados e integridade de dados.
- Encriptação de dados. Para garantir a confidencialidade dos dados à medida que atravessam a rede de transporte público ou partilhada, o remetente encripta os dados e o destinatário desencripta-os.
A tabela a seguir descreve os protocolos de encapsulamento suportados.
| Protocolo | Descrição |
|---|---|
| PPTP | Você pode usar PPTP para acesso remoto e conexões VPN (rede privada virtual) site a site. Quando você usa a Internet como a rede pública VPN, o servidor PPTP é um servidor VPN habilitado para PPTP que tem uma interface na Internet e outra na sua intranet. |
| L2TP/IPsec | O L2TP permite-lhe encriptar o tráfego multiprotocolo que é enviado através de qualquer meio que suporte a entrega de datagrama ponto-a-ponto, como IP ou modo de transferência assíncrona (ATM). L2TP é uma combinação de PPTP e Layer 2 Forwarding (L2F). L2TP representa as melhores características de PPTP e L2F. |
| SSTP | SSTP é um protocolo de encapsulamento que usa o protocolo HTTPS pela porta TCP 443 para passar tráfego através de firewalls e proxies da web, que de outra forma poderiam bloquear o tráfego PPTP e L2TP/IPsec. O SSTP fornece um mecanismo para encapsular o tráfego PPP no canal SSL do protocolo HTTPS. O uso de PPP permite o suporte para métodos de autenticação forte, como EAP-TLS. O SSL fornece segurança no nível de transporte com negociação de chaves, criptografia e verificação de integridade aprimoradas. |
| IKEv2 | O IKEv2 usa o protocolo IPsec Tunnel Mode pela porta UDP 500. O IKEv2 suporta mobilidade, tornando-o uma boa escolha de protocolo para uma força de trabalho móvel. As VPNs baseadas em IKEv2 permitem que os usuários se movam facilmente entre hotspots sem fio ou entre conexões com e sem fio. |
Atenção
Você não deve usar PPTP devido a vulnerabilidades de segurança. Em vez disso, use o IKEv2 sempre que possível, porque é mais seguro e oferece vantagens sobre o L2TP.
Selecione uma opção de autenticação
A autenticação de clientes de acesso é uma importante preocupação de segurança. Os métodos de autenticação normalmente usam um protocolo de autenticação que é negociado durante o processo de estabelecimento da conexão. A função de servidor Acesso Remoto suporta os métodos descritos na tabela a seguir.
| Método | Descrição |
|---|---|
| PAP | O Protocolo de Autenticação de Senha (PAP) usa senhas de texto simples e é o protocolo de autenticação menos seguro. Normalmente, é negociado se o cliente de acesso remoto e o servidor de acesso remoto não puderem negociar uma forma mais segura de validação. O Windows Server inclui PAP para oferecer suporte a sistemas operacionais cliente mais antigos que não oferecem suporte a nenhum outro método de autenticação. |
| CHAP | O Challenge Handshake Authentication Protocol (CHAP) é um protocolo de autenticação de desafio-resposta que usa o esquema de hash MD5 padrão do setor para criptografar a resposta. Vários fornecedores de servidores de acesso à rede e clientes usam CHAP. No entanto, como o CHAP requer que você use uma senha criptografada reversivelmente, você deve considerar o uso de outro protocolo de autenticação, como o MS-CHAPv2. |
| MS-CHAPv2 | O Microsoft Challenge Handshake Authentication Protocol versão 2 (MS-CHAPv2) é uma senha criptografada unidirecional, protocolo de autenticação mútua e fornece melhorias em relação ao CHAP. |
| PAA | Se você usar o EAP (Extensible Authentication Protocol), um mecanismo de autenticação arbitrária autenticará uma conexão de acesso remoto. O cliente de acesso remoto e o autenticador, que é o servidor de Acesso Remoto ou o servidor RADIUS (Remote Authentication Dial-In User Service), negociam o esquema de autenticação exato que usarão. O Roteamento e Acesso Remoto inclui suporte para Autenticação Extensível Protocol-Transport Segurança de Camada (EAP-TLS) por padrão. Você pode conectar outros módulos EAP ao servidor que está executando o Roteamento e Acesso Remoto para fornecer outros métodos EAP. |
Considerações adicionais
Além do protocolo de encapsulamento e do método de autenticação, antes de implantar a solução VPN da sua organização, você deve considerar o seguinte:
- Certifique-se de que seu servidor VPN tenha duas interfaces de rede. Você deve determinar qual interface de rede se conectará à Internet e qual se conectará à sua rede privada. Durante a configuração, você deve escolher qual interface de rede se conecta à Internet. Se você especificar a interface de rede incorreta, seu servidor VPN de acesso remoto não funcionará corretamente.
- Determine se os clientes remotos recebem endereços IP de um servidor DHCP na sua rede privada ou do servidor VPN de acesso remoto que está a configurar. Se tiver um servidor DHCP na sua rede privada, o servidor VPN de acesso remoto pode conceder 10 endereços de cada vez a partir do servidor DHCP e, em seguida, atribuir esses endereços a clientes remotos. Se não tiver um servidor DHCP na sua rede privada, o servidor VPN de acesso remoto pode gerar e atribuir automaticamente endereços IP a clientes remotos. Se desejar que o servidor VPN de acesso remoto atribua endereços IP de um intervalo especificado, você deverá determinar qual deve ser esse intervalo.
- Determine se você deseja um servidor RADIUS (Remote Authentication Dial-In User Service) ou um servidor VPN de acesso remoto configurado para autenticar solicitações de conexão de clientes VPN. Adicionar um servidor RADIUS é útil se você planeja instalar vários servidores VPN de acesso remoto, pontos de acesso sem fio ou outros clientes RADIUS em sua rede privada.