Tutorial de TCP/IP – Parte 44

Introdução:

Prezados leitores, esta √© a vig√©sima quarta parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o m√≥dulo que eu classifiquei como Introdu√ß√£o ao TCP/IP. O objetivo do  primeiro m√≥dulo (Partes 01 a 20) foi apresentar o TCP/IP, mostrar como √© o funcionamento dos servi√ßos b√°sicos, tais como endere√ßamento IP e Roteamento e fazer uma apresenta√ß√£o dos servi√ßos relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conex√£o Internet e NAT. Nesta segunda parte da s√©rie, que ir√° da parte 20 at√© a parte 40 ou 50 (ou quem sabe at√© 60), apresentarei as a√ß√Ķes pr√°ticas, relacionadas com os servi√ßos DNS, DHCP e WINS no Windows 2000 Server. A partir desta parte, mostrarei o que √©, como trabalhar, implementar e administrar o servi√ßo de Acesso Remoto do Windows 2000 Server, conhecido como RRAS - Routing and Remote Access Service (Servi√ßo de Roteamento e Acesso Remoto).

Dica: Para uma Introdu√ß√£o a teoria do WINS, consulte o seguinte endere√ßo:  http://www.juliobattisti.com.br/artigos/windows/tcpip_p10.asp  Neste endere√ßo voc√™ encontra uma Introdu√ß√£o ao WINS

Introdução ao RRAS:

Nesta s√©rie de tutoriais (bastante extensa) voc√™ aprender√° a configurar um servidor com o Windows 2000 Server para exercer o papel de Servidor de Acesso Remoto (Remote Access Server ‚Äď RAS). No Windows 2000 Server o servi√ßo de acesso remoto √© conhecido como RRAS ‚Äď Routing and Remote Access Service (Servi√ßo de Roteamento e Acesso Remoto).

A fun√ß√£o de um servidor de acesso remoto √© permitir que os clientes fa√ßam uma conex√£o com a rede da empresa, usando uma linha telef√īnica comum ou outro meio de conex√£o remoto, tal como um link ISDN ou ADSL. Quando voc√™ faz uma conex√£o discada com o seu Provedor de Internet, voc√™ est√° fazendo a conex√£o com o servidor de acesso remoto do Provedor de Internet. Pode este servidor de acesso remoto ser baseado em alguma vers√£o do Windows (NT Server 4.0, Windows 2000 Server ou Windows Server 2003), pode ser baseado em outros sistemas operacionais (UNIX/Linux, Novell, etc) ou pode at√© mesmo ser um equipamento de hardware dedicado a esta fun√ß√£o. O importante √© entender a fun√ß√£o de um servidor de acesso remoto.

No Windows 2000 Server, o servidor configurado como servidor de acesso remoto, √© um servidor com o Windows 2000 Server e o servi√ßo RRAS instalado e no qual est√° instalado um grupo de modems, para receber as liga√ß√Ķes dos usu√°rios. Al√©m de receber a liga√ß√£o, o servidor de acesso remoto deve ser capaz de verificar as informa√ß√Ķes de autentica√ß√£o fornecidas pelo usu√°rio (normalmente logon e senha), verificar se o usu√°rio tem permiss√£o para fazer a conex√£o remotamente, aplicar as pol√≠ticas de seguran√ßa definidas no servidor RRAS, fornecer um endere√ßo IP para o cliente e definir a quais recursos de rede o cliente que est√° se conectando ter√° acesso.

Usando uma met√°fora, posso afirmar que o servidor de acesso remoto faz o papel de porteiro. Ele identifica quem est√° tentando acessar, se conectar a rede, verifica se esta pessoa tem ou n√£o permiss√£o de acesso, quais restri√ß√Ķes devem ser aplicadas e a quais √°reas esta pessoa poder√° ter acesso. Al√©m destas fun√ß√Ķes todas, o RRAS tamb√©m fornece ferramentas para que o administrador acompanha o volume de informa√ß√Ķes que est√° sendo transmitido pelos clientes conectados remotamente, permite que o administrador gerencie as conex√Ķes, podendo inclusive cancelar uma conex√£o e assim por diante.

Nesta s√©rie de tutoriais sobre RRAS no Windows 2000 Server voc√™ aprender√° a configurar as diversas op√ß√Ķes do servi√ßo de acesso remoto do Windows 2000 Server ‚Äď RRAS. Este servi√ßo √© instalado automaticamente quando o Windows 2000 Server √© instalado, por√©m n√£o √© habilitado automaticamente. Voc√™ ver√° que o primeiro passo √© habilitar o servi√ßo. Habilitar o servi√ßo significa configur√°-lo para que passe a aceitar chamadas remotas.

Também falarei sobre o uso do servidor RADIUS e da implementação deste padrão no Windows 2000 Server, implementação esta conhecida como Internet Authentication Service (IAS). Mostrarei que com o uso do IAS é possível fazer uma administração centralizada das políticas de acesso remoto, bem como fazer a autenticação dos usuários remotos de maneira centralizada.

Na parte final do cap√≠tulo voc√™ aprender√° a criar e a configurar pol√≠ticas de acesso remoto no servidor RRAS. Voc√™ aprender√° sobre a import√Ęncia e a aplica√ß√£o das pol√≠ticas de acesso remoto. Mostrarei as diferen√ßas entre uma pol√≠tica baseada em uma estrat√©gia Por usu√°rio (Per User) e uma pol√≠tica baseada em uma estrat√©gia Por grupos (Per Group), sendo esta √ļltima e estrat√©gia recomendada, pois facilita a implementa√ß√£o, manuten√ß√£o e gerenciamento das pol√≠ticas de acesso remoto no servidor RRAS.

Servi√ßo de Acesso Remoto ‚Äď Fundamenta√ß√£o Te√≥rica:

A necessidade de acesso remoto aos recursos disponíveis na rede da empresa é uma realidade, ninguém questiona. Existem dezenas de exemplos de empresas que melhoraram o funcionamento de diversas atividades com a implementação do acesso remoto à rede da empresa. Vou descrever apenas um deles, mas que salienta exatamente os benefícios do acesso remoto.

Uma grande distribuidora de bebidas de S√£o Paulo enfrentava problemas em rela√ß√£o aos pedidos. A sistem√°tica em uso era a seguinte: Cada vendedor era respons√°vel por uma determinada regi√£o e visitava os estabelecimentos da regi√£o sob sua responsabilidade. Os pedidos eram preenchidos a m√£o, usando os tradicionais blocos de pedidos. Ao final do dia o vendedor entregava o bloco de pedidos na sede da empresa. Um funcion√°rio era respons√°vel pela digita√ß√£o dos pedidos. Ap√≥s a digita√ß√£o, as informa√ß√Ķes eram repassadas para equipe do dep√≥sito, a qual carregava os caminh√Ķes de acordo com os pedidos do dia. Na manh√£ seguinte, os pedidos eram entregues. Neste processo ocorriam problemas em diversas etapas. Alguns vendedores tem uma letra parecida com letra de m√©dico, ou seja, ningu√©m consegue entender, nem mesmo quem escreveu. Isso acarretava muitos erros de digita√ß√£o, o que fazia com que os caminh√Ķes fossem carregados com quantidades incorretas. O resultado pr√°tico √© que alguns clientes n√£o recebiam o pedido no dia seguinte e um novo envio tinha que ser feito e alguns produtos retornavam para o dep√≥sito. Al√©m disso, os pedidos somente eram enviados no dia seguinte, o que poderia ser um problema para clientes que estivessem sem mercadoria, devido a demandas imprevistas. Se houvesse uma nova promo√ß√£o, a empresa teria que ligar para cada um dos vendedores avisando e por a√≠ vai.

Como esta empresa solucionou estes problemas usando o acesso remoto? A empresa configurou um dos servidores da empresa como um servidor de acesso remoto e instalou neste servidor uma quantidade de modems suficiente para atender o n√ļmero de vendedores da empresa. Cada vendedor visita o cliente munido de um dispositivo como um Notebook ou PDA. Chegando no cliente, o vendedor faz o pedido (agora digitando no teclado e n√£o escrevendo seus ‚Äúbelos garranchos‚ÄĚ). Ap√≥s finalizar o pedido o vendedor utiliza a linha do cliente e um n√ļmero 0800 (para que o cliente n√£o tenha que pagar a liga√ß√£o) para conectar com a rede da empresa e transmitir o pedido. Caso o cliente seja um dos grandes clientes da empresa, o vendedor pode consultar o hist√≥rico de vendas para este cliente e fazer ofertas personalizadas. Esta possibilidade tem ajudado a aumentar as vendas. O vendedor tamb√©m pode consultar informa√ß√Ķes na Intranet da empresa e responder rapidamente as d√ļvidas do cliente. Os dados do pedido s√£o transmitidos diretamente para o banco de dados da empresa, o que evita que eles tenham que ser manualmente digitados. Como os pedidos s√£o transmitidos ainda durante a visita do cliente, o caminh√£o j√° pode ser carregado. Com isso, os pedidos feitos na parte da manh√£, s√£o entregues √† tarde. No caso de grandes clientes, o podido pode ser entregue ainda pela manh√£, principalmente se o cliente estiver com um baixo estoque.

Todas estas novas funcionalidades, propiciadas pelo acesso remoto, tem favorecido um aumento nas vendas, os problemas de erro de digita√ß√£o foram minimizados, conseq√ľentemente os erros na carga dos caminh√Ķes tamb√©m. Observe que tudo √© uma corrente, com uma coisa sendo conseq√ľ√™ncia da outra. Com a redu√ß√£o nos erros de digita√ß√£o, que implicaram em redu√ß√£o nos erros de carga, tamb√©m reduz-se as ocorr√™ncias de clientes que n√£o recebem os produtos na data prevista e de produtos retornando para o dep√≥sito. Al√©m disso, o vendedor tem condi√ß√Ķes de, a qualquer momento, acessar a rede da empresa para obter informa√ß√Ķes completas sobre o cliente, consultar listas de pre√ßo, novas promo√ß√Ķes e quaisquer informa√ß√Ķes dispon√≠veis na rede da empresa. O pr√≥ximo passo ser√° implementar um sistema de pagamentos e financiamento diretamente na Intranet da empresa. Com isso, o vendedor acessar√° a rede da empresa remotamente, estando no cliente, e ter√° condi√ß√Ķes de consultar os pagamentos do cliente, se existe alguma pend√™ncia, alterar prazos e fazer uma an√°lise de cr√©dito, com base no hist√≥rico do cliente. Estando conectado, o vendedor poder√° enviar a solicita√ß√£o de cr√©dito via email para o gerente. Em poucos instantes, o gerente poder√° aprovar a solicita√ß√£o de cr√©dito e retornar a autoriza√ß√£o para o vendedor, o qual fecha a venda com o cliente, com base nas condi√ß√Ķes aprovadas pelo gerente. Ou seja, tudo em tempo real, sem utilizar dezenas de formul√°rios e semanas de prazo.

Claro que para implementar esta infra-estrutura de acesso remoto existem custos. Por exemplo, o hardware necess√°rio (banco de modems a ser conectado ao servidor de acesso remoto, para receber as liga√ß√Ķes), os equipamentos de acesso remoto utilizados pelos vendedores, tais como Notebook, PDA ou Palm e o custo do desenvolvimento das solu√ß√Ķes de software. Mas n√£o tenha d√ļvidas, que um projeto de acesso remoto bem planejado e corretamente implementado, tem uma rela√ß√£o custo x benef√≠cio extremamente favor√°vel. Pelo menos √© o que tem mostrado a experi√™ncia pr√°tica de dezenas de empresas que implementaram projetos bem sucedidos de acesso remoto aos recursos de suas redes.

A seguir falarei sobre os aspectos teóricos do serviço de acesso remoto no Windows 2000 Server e nas próximas partes deste tutorial, você aprenderá a configurar o RRAS.

Vis√£o geral sobre o acesso remoto do Windows 2000 Server ‚Äď RRAS:

A id√©ia b√°sica do servi√ßo de acesso remoto no Windows 2000 Server √© permitir que os usu√°rios possam se conectar √† rede da empresa atrav√©s de uma conex√£o remota, quer seja uma conex√£o discada, um link ISDN, ADSL ou qualquer outra tecnologia para acesso remoto. Para o RRAS, a conex√£o remota √© como se fosse uma conex√£o de rede local (evidentemente que a uma velocidade de conex√£o bem inferior √† velocidade do barramento da rede local). Ou seja, para o usu√°rio e para os programas, a conex√£o remota aparece como se fosse uma conex√£o de rede local. Ao fazer a conex√£o remota o usu√°rio ser√° autenticado e far√° o logon no dom√≠nio normalmente, como se estivesse fazendo o logon em um computador da rede local. Em resumo, a tecnologia de acesso remoto, permite que o usu√°rio se conecte a rede ‚Äúremotamente‚ÄĚ, usando qualquer uma das tecnologias de conex√£o suportadas pelo RRAS.

Os usu√°rios executam o software de acesso remoto e iniciam uma conex√£o com o servidor de acesso remoto. O software de acesso remoto pode ser algo t√£o simples como configurar uma conex√£o discada, via Dial-up. O servidor de acesso remoto, que √© um computador que executa o Windows 2000 Server e o servi√ßo de roteamento e acesso remoto (RRAS), autentica sess√Ķes de usu√°rios e servi√ßos (por exemplo, um usu√°rio lendo o seu email ou acessando uma pasta compartilhada em um servidor), at√© que a sess√£o seja terminada pelo usu√°rio ou administrador da rede. Todos os servi√ßos normalmente dispon√≠veis a um usu√°rio conectado √† rede local, incluindo compartilhamento de arquivos e impress√£o, acesso a Intranet e email, estar√£o dispon√≠veis pela conex√£o de acesso remoto.

A Figura a seguir, da Ajuda do Windows 2000 Server, resume bem como funciona o serviço RRAS no Windows 2000 Server, com uma conexão do tipo Dial-up:


Figura 1 O servidor RRAS em uma conex√£o Dial-up.

Os clientes de acesso remoto usam ferramentas padr√£o para acessar os recursos. Por exemplo, em um computador que esteja executando o Windows 2000 Server, os clientes podem usar o Windows Explorer para acessar pastas e impressoras compartilhadas. Isso tudo, porque a conex√£o via acesso remoto √© como se fosse uma conex√£o de rede local. Com isso todos os programas que funcionam na rede local, ir√£o funcionar normalmente via acesso remoto, com a √ļnica diferen√ßa sendo a velocidade do link em rela√ß√£o √† velocidade da rede local.

As conex√Ķes s√£o persistentes: os usu√°rios n√£o precisam reconectar-se a recursos da rede durante as sess√Ķes remotas. Como as letras das unidades e os nomes no padr√£o Universal Naming Convention (UNC, conven√ß√£o universal de nomenclatura) t√™m suporte total do acesso remoto, a maioria dos aplicativos comerciais e personalizados funcionam sem modifica√ß√£o. Isso tamb√©m √© conseq√ľ√™ncia da conex√£o remota ser ‚Äúvista‚ÄĚ pelo Windows como uma conex√£o de rede local.

Um servidor de acesso remoto que esteja executando o Windows 2000 Server possibilita dois tipos diferentes de conectividade de acesso remoto:

  • Rede dial-up: Conex√£o discada tradicional, como a que a maioria de n√≥s utilizava at√© o in√≠cio dos anos 2000, para fazer acesso √† Internet. Rede dial-up √© quando um cliente de acesso remoto efetua uma conex√£o dial-up, n√£o permanente com uma porta f√≠sica de um servidor de acesso remoto, usando o servi√ßo de um provedor de telecomunica√ß√Ķes, como um telefone anal√≥gico (linha telef√īnica comum), ISDN (Integrated Services Digital Network, rede digital de servi√ßos integrados) ou X.25. O melhor exemplo de rede dial-up √© o de um cliente de rede dial-up que disca o n√ļmero de telefone de uma das portas de um servidor de acesso remoto. Por exemplo, o vendedor que est√° no cliente e usa o seu Notebook, equipado com uma placa de Fax/Modem, para fazer uma conex√£o com o servidor RRAS da empresa, usando uma linha telef√īnica comum (e provavelmente um n√ļmero 0800, para que o cliente n√£o tenha que pagar o custo da liga√ß√£o). O papel da rede dial-up, fazendo uma conex√£o atrav√©s de um telefone anal√≥gico ou ISDN √© efetuar uma conex√£o f√≠sica direta entre o cliente e o servidor da rede dial-up, ou seja, estabelecer uma caminho f√≠sico, para que os dados possam ser transmitidos do cliente para o servidor e vice-versa. Os dados enviados atrav√©s de uma conex√£o deste tipo poder√£o ser criptografados.
  • Virtual Private Network (Rede virtual privada) ‚Äď VPN: Rede virtual privada √© a cria√ß√£o de conex√Ķes seguras, ponto a ponto em uma rede privada ou p√ļblica, como a Internet. Em outras palavras, √© criar uma conex√£o segura, usando um meio n√£o seguro, como a Internet. Um cliente de rede virtual privada usa protocolos especiais com base em TCP/IP denominados protocolos de encapsulamento para efetuar uma chamada virtual para uma porta virtual em um servidor VPN. O melhor exemplo √© o de um cliente de rede virtual privada que efetua uma conex√£o VPN com um servidor de acesso remoto que est√° conectado √† Internet. O servidor de acesso remoto responde a chamada virtual, autentica o cliente, al√©m de transferir dados entre o cliente da rede dial-up e a rede da empresa de forma segura, usando t√©cnicas de criptografia.

Em compara√ß√£o com a rede dial-up, a rede virtual privada √© sempre uma conex√£o l√≥gica e indireta entre o cliente e o servidor VPN. Para garantir a privacidade, √© preciso criptografar os dados enviados na conex√£o. Um exemplo t√≠pico de uso de VPN seria o de uma empresa que usa a Internet, para conectar pequenos escrit√≥rios √† rede da empresa. Estes pequenos escrit√≥rios n√£o tem necessidade de estar conectados 24 horas a rede da empresa. Com isso, a solu√ß√£o adotada √© contratar um acesso discado √† Internet. Quando o escrit√≥rio precisa acessar a rede da empresa, quer seja para enviar, quer seja para receber dados, primeiro o escrit√≥rio estabelece uma conex√£o com a Internet. Esta √© uma conex√£o comum, baseada em uma linha telef√īnica ou outra tecnologia de acesso √† Internet, qualquer. Bem, com a conex√£o √† Internet, o pequeno escrit√≥rio j√° tem um caminho, um meio f√≠sico para enviar e receber dados para um ou mais servidores da rede da empresa, servidores estes que podem ser acessados via Internet. Mas acontece que a Internet n√£o √©, por padr√£o, um meio seguro para transporte de dados, a n√£o ser que sejam utilizadas tecnologias de criptografia de dados. O pr√≥ximo passo √© estabelecer uma conex√£o virtual, para estabelecer uma VPN com a rede da empresa. Observe que neste caso foi criada uma rede privada (do escrit√≥rio com a matriz da empresa) e virtual (que s√≥ existira enquanto o escrit√≥rio estiver conectado √† rede da empresa). Esta segunda conex√£o, que cria a VPN, √© que garante a seguran√ßa dos dados, utilizando t√©cnicas de criptografia e tecnologias tais como os protocolos PPTP ou L2TP com IPSec, os quais ser√£o analisados nas pr√≥ximas partes deste tutorial. A segunda conex√£o, a qual cria a VPN √© feita entre o cliente que est√° no escrit√≥rio e  o servidor RRAS da rede da empresa, o qual deve estar configurado para aceitar conex√Ķes do tipo VPN.

A Figura 2, da ajuda do Windows 2000 Server, resume bem como funciona uma conex√£o do tipo VPN. A conex√£o VPN √© como se fosse um ‚Äút√ļnel seguro‚ÄĚ, criado dentro de um meio n√£o seguro, que √© a Internet. Neste caso a Internet √© o meio f√≠sico, que garante que existe um caminho entre a origem e o destino. E a VPN √© o conjunto de tecnologias que garante a seguran√ßa na transmiss√£o e recep√ß√£o dos dados.



Figura 2 O servidor RRAS em uma conex√£o VPN.

Conclus√£o:

Para esta primeira parte do tutorial sobre RRAS era isso. Na próxima parte vamos continuar estudando a teoria relacionada com o RRAS