Introdução:
Prezados leitores, esta é a vigésima quarta
parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de
Dica: Para uma Introdução a teoria do WINS, consulte o seguinte endereço: http://www.juliobattisti.com.br/artigos/windows/tcpip_p10.asp
Neste endereço você encontra uma Introdução
ao WINS
Introdução ao RRAS:
Nesta série de tutoriais (bastante extensa)
você aprenderá a configurar um servidor com o Windows 2000 Server para exercer
o papel de Servidor de Acesso Remoto (Remote Access Server – RAS). No Windows
2000 Server o serviço de acesso remoto é conhecido como RRAS – Routing and
Remote Access Service (Serviço de Roteamento e Acesso Remoto).
A função de um servidor de acesso remoto é
permitir que os clientes façam uma conexão com a rede da empresa, usando uma
linha telefônica comum ou outro meio de conexão remoto, tal como um link ISDN
ou ADSL. Quando você faz uma conexão discada com o seu Provedor de Internet,
você está fazendo a conexão com o servidor de acesso remoto do Provedor de
Internet. Pode este servidor de acesso remoto ser baseado em alguma versão do
Windows (NT Server 4.0, Windows 2000 Server ou Windows Server 2003), pode ser
baseado em outros sistemas operacionais (UNIX/Linux, Novell, etc) ou pode até
mesmo ser um equipamento de hardware dedicado a esta função. O importante é
entender a função de um servidor de acesso remoto.
No Windows 2000 Server, o servidor
configurado como servidor de acesso remoto, é um servidor com o Windows 2000
Server e o serviço RRAS instalado e no qual está instalado um grupo de modems,
para receber as ligações dos usuários. Além de receber a ligação, o servidor de
acesso remoto deve ser capaz de verificar as informações de autenticação
fornecidas pelo usuário (normalmente logon e senha), verificar se o usuário tem
permissão para fazer a conexão remotamente, aplicar as políticas de segurança
definidas no servidor RRAS, fornecer um endereço IP para o cliente e definir a
quais recursos de rede o cliente que está se conectando terá acesso.
Usando uma metáfora, posso afirmar que o
servidor de acesso remoto faz o papel de porteiro. Ele identifica quem está
tentando acessar, se conectar a rede, verifica se esta pessoa tem ou não
permissão de acesso, quais restrições devem ser aplicadas e a quais áreas esta
pessoa poderá ter acesso. Além destas funções todas, o RRAS também fornece
ferramentas para que o administrador acompanha o volume de informações que está
sendo transmitido pelos clientes conectados remotamente, permite que o
administrador gerencie as conexões, podendo inclusive cancelar uma conexão e
assim por diante.
Nesta série de tutoriais sobre RRAS no
Windows 2000 Server você aprenderá a configurar as diversas opções do serviço
de acesso remoto do Windows 2000 Server – RRAS. Este serviço é instalado
automaticamente quando o Windows 2000 Server é instalado, porém não é
habilitado automaticamente. Você verá que o primeiro passo é habilitar o
serviço. Habilitar o serviço significa configurá-lo para que passe a aceitar
chamadas remotas.
Também falarei sobre o uso do servidor RADIUS
e da implementação deste padrão no Windows 2000 Server, implementação esta
conhecida como Internet Authentication Service (IAS). Mostrarei que com o uso
do IAS é possível fazer uma administração centralizada das políticas de acesso
remoto, bem como fazer a autenticação dos usuários remotos de maneira
centralizada.
Na parte final do capítulo você aprenderá a
criar e a configurar políticas de acesso remoto no servidor RRAS. Você
aprenderá sobre a importância e a aplicação das políticas de acesso remoto.
Mostrarei as diferenças entre uma política baseada em uma estratégia Por
usuário (Per User) e uma política baseada em uma estratégia Por grupos (Per
Group), sendo esta última e estratégia recomendada, pois facilita a
implementação, manutenção e gerenciamento das políticas de acesso remoto no
servidor RRAS.
Serviço de Acesso Remoto – Fundamentação
Teórica:
A necessidade de acesso remoto aos recursos
disponíveis na rede da empresa é uma realidade, ninguém questiona. Existem
dezenas de exemplos de empresas que melhoraram o funcionamento de diversas
atividades com a implementação do acesso remoto à rede da empresa. Vou
descrever apenas um deles, mas que salienta exatamente os benefícios do acesso
remoto.
Uma grande distribuidora de bebidas de São
Paulo enfrentava problemas em relação aos pedidos. A sistemática em uso era a
seguinte: Cada vendedor era responsável por uma determinada região e visitava
os estabelecimentos da região sob sua responsabilidade. Os pedidos eram
preenchidos a mão, usando os tradicionais blocos de pedidos. Ao final do dia o
vendedor entregava o bloco de pedidos na sede da empresa. Um funcionário era
responsável pela digitação dos pedidos. Após a digitação, as informações eram
repassadas para equipe do depósito, a qual carregava os caminhões de acordo com
os pedidos do dia. Na manhã seguinte, os pedidos eram entregues. Neste processo
ocorriam problemas em diversas etapas. Alguns vendedores tem uma letra parecida
com letra de médico, ou seja, ninguém consegue entender, nem mesmo quem
escreveu. Isso acarretava muitos erros de digitação, o que fazia com que os
caminhões fossem carregados com quantidades incorretas. O resultado prático é
que alguns clientes não recebiam o pedido no dia seguinte e um novo envio tinha
que ser feito e alguns produtos retornavam para o depósito. Além disso, os
pedidos somente eram enviados no dia seguinte, o que poderia ser um problema
para clientes que estivessem sem mercadoria, devido a demandas imprevistas. Se
houvesse uma nova promoção, a empresa teria que ligar para cada um dos
vendedores avisando e por aí vai.
Como esta empresa solucionou estes problemas
usando o acesso remoto? A empresa configurou um dos servidores da empresa como
um servidor de acesso remoto e instalou neste servidor uma quantidade de modems
suficiente para atender o número de vendedores da empresa. Cada vendedor visita
o cliente munido de um dispositivo como um Notebook ou PDA. Chegando no
cliente, o vendedor faz o pedido (agora digitando no teclado e não escrevendo
seus “belos garranchos”). Após finalizar o pedido o vendedor utiliza a linha do
cliente e um número 0800 (para que o cliente não tenha que pagar a ligação)
para conectar com a rede da empresa e transmitir o pedido. Caso o cliente seja
um dos grandes clientes da empresa, o vendedor pode consultar o histórico de
vendas para este cliente e fazer ofertas personalizadas. Esta possibilidade tem
ajudado a aumentar as vendas. O vendedor também pode consultar informações na
Intranet da empresa e responder rapidamente as dúvidas do cliente. Os dados do
pedido são transmitidos diretamente para o banco de dados da empresa, o que
evita que eles tenham que ser manualmente digitados. Como os pedidos são transmitidos
ainda durante a visita do cliente, o caminhão já pode ser carregado. Com isso,
os pedidos feitos na parte da manhã, são entregues à tarde. No caso de grandes
clientes, o podido pode ser entregue ainda pela manhã, principalmente se o
cliente estiver com um baixo estoque.
Todas estas novas funcionalidades,
propiciadas pelo acesso remoto, tem favorecido um aumento nas vendas, os
problemas de erro de digitação foram minimizados, conseqüentemente os erros na
carga dos caminhões também. Observe que tudo é uma corrente, com uma coisa
sendo conseqüência da outra. Com a redução nos erros de digitação, que
implicaram em redução nos erros de carga, também reduz-se as ocorrências de
clientes que não recebem os produtos na data prevista e de produtos retornando
para o depósito. Além disso, o vendedor tem condições de, a qualquer momento,
acessar a rede da empresa para obter informações completas sobre o cliente,
consultar listas de preço, novas promoções e quaisquer informações disponíveis
na rede da empresa. O próximo passo será implementar um sistema de pagamentos e
financiamento diretamente na Intranet da empresa. Com isso, o vendedor acessará
a rede da empresa remotamente, estando no cliente, e terá condições de
consultar os pagamentos do cliente, se existe alguma pendência, alterar prazos
e fazer uma análise de crédito, com base no histórico do cliente. Estando
conectado, o vendedor poderá enviar a solicitação de crédito via email para o
gerente. Em poucos instantes, o gerente poderá aprovar a solicitação de crédito
e retornar a autorização para o vendedor, o qual fecha a venda com o cliente,
com base nas condições aprovadas pelo gerente. Ou seja, tudo em tempo real, sem
utilizar dezenas de formulários e semanas de prazo.
Claro que para implementar esta infra-estrutura
de acesso remoto existem custos. Por exemplo, o hardware necessário (banco de
modems a ser conectado ao servidor de acesso remoto, para receber as ligações),
os equipamentos de acesso remoto utilizados pelos vendedores, tais como
Notebook, PDA ou Palm e o custo do desenvolvimento das soluções de software.
Mas não tenha dúvidas, que um projeto de acesso remoto bem planejado e
corretamente implementado, tem uma relação custo x benefício extremamente
favorável. Pelo menos é o que tem mostrado a experiência prática de dezenas de
empresas que implementaram projetos bem sucedidos de acesso remoto aos recursos
de suas redes.
A seguir falarei sobre os aspectos teóricos
do serviço de acesso remoto no Windows 2000 Server e nas próximas partes deste
tutorial, você aprenderá a configurar o RRAS.
Visão geral sobre o acesso remoto do Windows
2000 Server – RRAS:
A idéia básica do serviço de acesso remoto no
Windows 2000 Server é permitir que os usuários possam se conectar à rede da
empresa através de uma conexão remota, quer seja uma conexão discada, um link
ISDN, ADSL ou qualquer outra tecnologia para acesso remoto. Para o RRAS, a
conexão remota é como se fosse uma conexão de rede local (evidentemente que a
uma velocidade de conexão bem inferior à velocidade do barramento da rede
local). Ou seja, para o usuário e para os programas, a conexão remota aparece
como se fosse uma conexão de rede local. Ao fazer a conexão remota o usuário
será autenticado e fará o logon no domínio normalmente, como se estivesse
fazendo o logon em um computador da rede local. Em resumo, a tecnologia de
acesso remoto, permite que o usuário se conecte a rede “remotamente”, usando
qualquer uma das tecnologias de conexão suportadas pelo RRAS.
Os usuários executam o software de acesso
remoto e iniciam uma conexão com o servidor de acesso remoto. O software de
acesso remoto pode ser algo tão simples como configurar uma conexão discada,
via Dial-up. O servidor de acesso remoto, que é um computador que executa o
Windows 2000 Server e o serviço de roteamento e acesso remoto (RRAS), autentica
sessões de usuários e serviços (por exemplo, um usuário lendo o seu email ou
acessando uma pasta compartilhada em um servidor), até que a sessão seja
terminada pelo usuário ou administrador da rede. Todos os serviços normalmente
disponíveis a um usuário conectado à rede local, incluindo compartilhamento de
arquivos e impressão, acesso a Intranet e email, estarão disponíveis pela
conexão de acesso remoto.
Figura 1 O servidor RRAS em uma conexão
Dial-up.
Os clientes de acesso remoto usam ferramentas
padrão para acessar os recursos. Por exemplo, em um computador que esteja
executando o Windows 2000 Server, os clientes podem usar o Windows Explorer
para acessar pastas e impressoras compartilhadas. Isso tudo, porque a conexão
via acesso remoto é como se fosse uma conexão de rede local. Com isso todos os
programas que funcionam na rede local, irão funcionar normalmente via acesso
remoto, com a única diferença sendo a velocidade do link em relação à velocidade
da rede local.
As conexões são persistentes: os usuários não
precisam reconectar-se a recursos da rede durante as sessões remotas. Como as
letras das unidades e os nomes no padrão Universal Naming Convention (UNC,
convenção universal de nomenclatura) têm suporte total do acesso remoto, a
maioria dos aplicativos comerciais e personalizados funcionam sem modificação.
Isso também é conseqüência da conexão remota ser “vista” pelo Windows como uma
conexão de rede local.
Um servidor de acesso remoto que esteja
executando o Windows 2000 Server possibilita dois tipos diferentes de
conectividade de acesso remoto:
- Rede dial-up: Conexão discada tradicional, como a que
a maioria de nós utilizava até o início dos anos 2000, para fazer acesso à
Internet. Rede dial-up é quando um cliente de acesso remoto efetua uma
conexão dial-up, não permanente com uma porta física de um servidor de
acesso remoto, usando o serviço de um provedor de telecomunicações, como
um telefone analógico (linha telefônica comum), ISDN (Integrated Services
Digital Network, rede digital de serviços integrados) ou X.25. O melhor
exemplo de rede dial-up é o de um cliente de rede dial-up que disca o
número de telefone de uma das portas de um servidor de acesso remoto. Por
exemplo, o vendedor que está no cliente e usa o seu Notebook, equipado com
uma placa de Fax/Modem, para fazer uma conexão com o servidor RRAS da
empresa, usando uma linha telefônica comum (e provavelmente um número
0800, para que o cliente não tenha que pagar o custo da ligação). O papel
da rede dial-up, fazendo uma conexão através de um telefone analógico ou
ISDN é efetuar uma conexão física direta entre o cliente e o servidor da
rede dial-up, ou seja, estabelecer uma caminho físico, para que os dados
possam ser transmitidos do cliente para o servidor e vice-versa. Os dados
enviados através de uma conexão deste tipo poderão ser criptografados.
- Virtual Private Network (Rede virtual
privada) – VPN:
Rede virtual privada é a criação de conexões seguras, ponto a ponto em uma
rede privada ou pública, como a Internet. Em outras palavras, é criar uma
conexão segura, usando um meio não seguro, como a Internet. Um cliente de
rede virtual privada usa protocolos especiais com base em TCP/IP
denominados protocolos de encapsulamento para efetuar uma chamada virtual
para uma porta virtual em um servidor VPN. O melhor exemplo é o de um
cliente de rede virtual privada que efetua uma conexão VPN com um servidor
de acesso remoto que está conectado à Internet. O servidor de acesso
remoto responde a chamada virtual, autentica o cliente, além de transferir
dados entre o cliente da rede dial-up e a rede da empresa de forma segura,
usando técnicas de criptografia.
Em comparação com a rede dial-up, a rede
virtual privada é sempre uma conexão lógica e indireta entre o cliente e o
servidor VPN. Para garantir a privacidade, é preciso criptografar os dados
enviados na conexão. Um exemplo típico de uso de VPN seria o de uma empresa que
usa a Internet, para conectar pequenos escritórios à rede da empresa. Estes
pequenos escritórios não tem necessidade de estar conectados 24 horas a rede da
empresa. Com isso, a solução adotada é contratar um acesso discado à Internet.
Quando o escritório precisa acessar a rede da empresa, quer seja para enviar,
quer seja para receber dados, primeiro o escritório estabelece uma conexão com
a Internet. Esta é uma conexão comum, baseada em uma linha telefônica ou outra
tecnologia de acesso à Internet, qualquer. Bem, com a conexão à Internet, o
pequeno escritório já tem um caminho, um meio físico para enviar e receber
dados para um ou mais servidores da rede da empresa, servidores estes que podem
ser acessados via Internet. Mas acontece que a Internet não é, por padrão, um
meio seguro para transporte de dados, a não ser que sejam utilizadas
tecnologias de criptografia de dados. O próximo passo é estabelecer uma conexão
virtual, para estabelecer uma VPN com a rede da empresa. Observe que neste caso
foi criada uma rede privada (do escritório com a matriz da empresa) e virtual
(que só existira enquanto o escritório estiver conectado à rede da empresa).
Esta segunda conexão, que cria a VPN, é que garante a segurança dos dados,
utilizando técnicas de criptografia e tecnologias tais como os protocolos PPTP
ou L2TP com IPSec, os quais serão analisados nas próximas partes deste
tutorial. A segunda conexão, a qual cria a VPN é feita entre o cliente que está
no escritório e o servidor RRAS da rede da empresa, o qual deve estar
configurado para aceitar conexões do tipo VPN.
A Figura 2, da ajuda do Windows 2000 Server,
resume bem como funciona uma conexão do tipo VPN. A conexão VPN é como se fosse
um “túnel seguro”, criado dentro de um meio não seguro, que é a Internet. Neste
caso a Internet é o meio físico, que garante que existe um caminho entre a
origem e o destino. E a VPN é o conjunto de tecnologias que garante a segurança
na transmissão e recepção dos dados.
Figura 2 O servidor RRAS em uma conexão VPN.
Conclusão:
