Introdução:
Prezados leitores, esta é a vigésima sétima parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o módulo que eu classifiquei como Introdução ao TCP/IP. O objetivo do primeiro módulo (Partes 01 a 20) foi apresentar o TCP/IP, mostrar como é o funcionamento dos serviços básicos, tais como endereçamento IP e Roteamento e fazer uma apresentação dos serviços relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conexão Internet e NAT. Nesta segunda parte da série, que irá da parte 20 até a parte 40 ou 50 (ou quem sabe até 60), apresentarei as ações práticas, relacionadas com os serviços DNS, DHCP e WINS no Windows 2000 Server. A partir desta parte, mostrarei o que é, como trabalhar, implementar e administrar o serviço de Acesso Remoto do Windows 2000 Server, conhecido como RRAS - Routing and Remote Access Service (Serviço de Roteamento e Acesso Remoto).
Métodos de autenticação no servidor de acesso remoto:
Este é um tópico muito importante. O administrador tem que conhecer bem quais são os métodos de autenticação disponíveis no servidor RRAS, para que possa determinar a compatibilidade dos clientes de rede em se conectar com o servidor RRAS. Muitas vezes clientes com versões mais antigas do Windows não estão conseguindo estabelecer uma conexão, por questões relacionadas a autenticação. Por outro lado, ao habilitar métodos de autenticação para dar suporte aos clientes mais antigos, o administrador está abrindo portas que podem representar problemas em relação á segurança. Por isso que é importante conhecer os protocolos de autenticação disponíveis, para que você possa avaliar bem o risco x benefício, ao habilitar protocolos de autenticação menos seguros, para dar suporte a clientes mais antigos.
O primeiro passo é entender a diferença entre autenticação e autorização.
Autenticação x Autorização:
A distinção entre autenticação e autorização é importante para compreender os motivos pelos quais as tentativas de conexão são aceitas ou negadas.
A autenticação é a verificação das credenciais (por exemplo, nome de usuário e senha) da tentativa de conexão. Esse processo consiste no envio de credenciais do cliente de acesso remoto para o servidor de acesso remoto em um formulário de texto simples ou criptografado usando um protocolo de autenticação.
A autorização é a verificação de que a tentativa de conexão é permitida. A autorização ocorre após a autenticação bem sucedida.
Por exemplo, o usuário jsilva informa o seu nome de logon e senha e clica no botão conectar. A primeira coisa que será feita é a verificação das credenciais (nome de logon e senha), fornecidos pelo usuário jsilva. Este processo é necessário para que o servidor de acesso remoto “saiba” quem é o usuário que está tentando a conexão. Muito bem, uma vez que ou servidor sabe quem é o usuário que está tentando a conexão (o usuário foi autenticado, o usuário existe, o usuário é “autêntico”), é hora de verificar se o usuário está autorizado a fazer a conexão com o servidor de acesso remoto (verificar a autorização do usuário para fazer a conexão). Em palavras mais simples, a autenticação verifica quem é o usuário e a autorização verifica se o usuário, já identificado, tem permissão para realizar a conexão.
Para um tentativa de conexão ser aceita, ela deve ser autenticada e autorizada. É possível que uma tentativa de conexão seja autenticada usando credenciais válidas, mas não seja autorizada. Nesse caso, a tentativa de conexão será negada. Pode ser o exemplo de um usuário que pertence a um grupo que teve as permissões de acesso “negadas” no servidor de acesso remoto. Você aprenderá a configurar as permissões de acesso, na parte prática.
Se um servidor de acesso remoto for configurado para autenticação do Windows, a segurança do Windows 2000 Server será usada para verificar as credenciais da autenticação e as propriedades de discagem da conta de usuário e as diretivas de acesso remoto armazenadas localmente serão usadas para autorizar a conexão. Se a tentativa de conexão for autenticada e autorizada, ela será aceita.
Se o servidor de acesso remoto for configurado para autenticação RADIUS, as credenciais da tentativa de conexão serão passadas para o servidor RADIUS para autenticação e autorização (a implementação do protocolo RADIUS no Windows 2000 Server é o IAS – Internet Authentication Services). Se a tentativa de conexão for autenticada e autorizada, o servidor RADIUS enviará uma mensagem de aceitação para o servidor de acesso remoto e a tentativa de conexão será aceita. Se a tentativa de conexão não for autenticada ou não for autorizada, o servidor RADIUS enviará uma mensagem de rejeição para o servidor de acesso remoto e o processo de conexão será negado.
Se um servidor RADIUS for um computador que executa o Windows 2000 Server e o Internet Authentication Service (IAS, serviço de autenticação de Internet), o servidor IAS executará a autenticação por meio da segurança do Windows 2000 Server e a autorização por meio das propriedades de discagem da conta de usuário e diretivas de acesso remoto armazenadas no servidor IAS.
O servidor RADIUS é indicado em uma situação onde você tem grupos de usuários bem distintos, com necessidades distintas. Por exemplo, usuários que acessam a rede só localmente, na própria empresa e usuários que só acessam a rede remotamente, como por exemplo consultores externos e trabalhadores que executam suas tarefas em casa. Neste caso você pode querer separar estes dois grupos, criando contas separadas, em um servidor configurado com o protocolo RADIUS, para os usuários que fazem o acesso somente remotamente. Um único servidor RADIUS pode ser utilizado como servidor de autenticação para vários servidores de acesso remoto. Com isso você pode manter o cadastro de usuários centralizado em um único servidor, bem como as políticas de segurança.
Agora vamos a descrição dos protocolos de autenticação disponíveis.
Extensible Authentication Protocol – EAP:
Com o Extensible Authentication Protocol (EAP), um mecanismo de autenticação aleatória (baseado em chaves geradas aleatoriamente a cada minuto) é responsável pela validação de uma conexão de acesso remoto. O esquema exato de autenticação a ser usado é negociado pelo cliente de acesso remoto e o autenticador (o servidor de acesso remoto ou o servidor IAS (Internet Authentication Service)). Você pode usar o EAP para oferecer suporte aos esquemas de autenticação com cartões do tipo Smart-card, MD5-Challenge, Transport Level Security (TLS). Você pode instalar outros módulos de autenticação EAP, fornecidos por terceiros, para disponibilizar outras formas de autenticação via EAP. Por exemplo, você pode adquirir um sistema de reconhecimento através da íris do olho. Junto com o sistema, o fabricante pode fornecer o software EAP para ser instalado e utilizado pelo servidor de acesso remoto do Windows 2000 Server.
O EAP permite uma conversação direta entre o cliente de acesso remoto e o autenticador. A conversação consiste em solicitações de informações de autenticação feitas pelo autenticador e as respostas enviadas pelo cliente de acesso remoto. Por exemplo, quando o EAP é usado com cartões do tipo Smart-card, o autenticador pode consultar separadamente o cliente de acesso remoto para localizar um nome, número de identificação pessoal ou um valor de cartão. À medida que cada consulta é feita e respondida, o cliente de acesso remoto passa para outro nível de autenticação. Quando todas as perguntas tiverem sido respondidas satisfatoriamente, o cliente de acesso remoto será autenticado.
Um esquema de autenticação EAP é conhecido como um tipo EAP. Tanto o cliente de acesso remoto quanto o autenticador devem dar suporte ao mesmo tipo de EAP para que ocorra uma autenticação bem sucedida.
O Windows 2000 Server inclui em sua infra-estrutura de EAP, dois tipos de EAP e a capacidade de passar mensagens EAP para um servidor RADIUS (EAP-RADIUS).
Infra-estrutura EAP:
No Windows 2000 Server, o EAP é um conjunto de componentes internos que oferece suporte de arquitetura a qualquer tipo de EAP na forma de um módulo plug-in (veja exemplo do uso de equipamento de reconhecimento através da íris, descrito anteriormente). Para uma autenticação bem sucedida, tanto o cliente de acesso remoto quanto o autenticador devem ter o mesmo módulo de autenticação EAP instalado. O Windows 2000 Server fornece dois tipos de EAP: EAP-MD5 CHAP e EAP-TLS. O tipo EAP-TLS somente está disponível para membros do domínio, isto é, não pode ser utilizado para autenticação via servidor RADIUS. Você também pode instalar tipos de EAP adicionais. Os componentes de um tipo de EAP devem ser instalados em todos os clientes de acesso remoto e em todos os autenticadores (servidores de acesso remoto que fazem a autenticação dos usuários).
Não esqueça: Se você está estudando para os exames do MCSE 2000, não esqueça que para a autenticação usando cartões do tipo Smart-card, é necessária a habilitação do protocolo EAP no servidor de acesso remoto e também nos clientes. O EAP-TLS é um tipo de EAP usado em ambientes de segurança baseados em certificado. Se você está usando cartões inteligentes (Smart-card) para autenticação de acesso remoto, deve utilizar o método de autenticação EAP-TLS. A troca de mensagens EAP-TLS proporciona a autenticação mútua, negociação do método de criptografia e troca segura de chave particular entre o cliente de acesso remoto e o autenticador. O EAP-TLS proporciona o método mais seguro de troca de chaves e autenticação. O EAP-TLS recebe suporte apenas em um servidor de acesso remoto que executa o Windows 2000 Server (ou Windows Server 2003) que é um membro de um domínio (member server ou DC). Um servidor de acesso remoto configurado como stand-alone server (não pertencente a um domínio) não tem suporte ao EAP-TLS.
Microsoft Challenge Handshake Authentication Protocol - MS-CHAP:
O Windows 2000 Server (e também o Windows Server 2003) inclui suporte para o Microsoft Challenge Handshake Authentication Protocol (MS-CHAP), também conhecido como MS-CHAP versão 1. O MS-CHAP é um protocolo de autenticação de senha criptografada não-reversível. O processo envolve uma troca de informações e um desafio enviado pelo servidor para o cliente, conforme os passos descritos a seguir:
O servidor de acesso remoto envia um desafio ao cliente de acesso remoto que consiste em um identificador da sessão e uma seqüência arbitrária de caracteres de desafio.
O cliente de acesso remoto envia uma resposta que contém o nome do usuário e uma criptografia não-reversível da seqüência de caracteres do desafio, o identificador da sessão e a senha.
O autenticador verifica a resposta e, caso seja válida, autentica as credenciais do usuário.
Se você usa o MS-CHAP como o protocolo de autenticação, então pode usar o Microsoft Point-to-Point Encryption (MPPE) para criptografar os dados enviados na conexão PPP ou PPTP no caso de uma conexão de VPN. O MS-CHAP, como o próprio nome sugere, é proprietário da Microsoft e, portanto, limitado a clientes Microsoft.
Para ativar a autenticação baseada no MS-CHAP, você deve cumprir as etapas indicadas a seguir:
Ativar o MS-CHAP como um protocolo de autenticação no servidor de acesso remoto. Você aprenderá este procedimento na parte prática. O MS-CHAP é ativado por padrão, ou seja, ao habilitar o servidor de acesso remoto para aceitar chamadas externas, o protocolo MS-CHAP será automaticamente habilitado. Se for necessário você poderá desabilita-lo.
Ativar o MS-CHAP na diretiva de acesso remoto apropriada. Você aprenderá este procedimento na parte prática.. O MS-CHAP é ativado por padrão nas diretivas de acesso remoto.
Ativar o MS-CHAP no cliente de acesso remoto que executa o Windows 2000 Server ou o Windows Server 2003. Isso é feito na guia segurança, da janela de propriedades da conexão Dial-up ou da conexão VPN no cliente.
Nota: Por padrão, o MS-CHAP v1 para o Windows 2000 Server e Windows Server 2003 oferece suporte à autenticação do LAN Manager. Se você deseja proibir o uso da autenticação do LAN Manager com o MS-CHAP v1 para sistemas operacionais mais antigos como o Windows NT 3.5x e o Windows 95, você deve definir a seguinte chave da Registry com o valor 0, no servidor de acesso remoto:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\
Allow LM Authentication
MS-CHAP v2:
O Windows 2000 Server e também o Windows Server 2003, inclui suporte para a versão 2 do Microsoft Challenge Handshake Authentication Protocol (MS-CHAP v2). Esta versão oferece maior segurança para conexões de acesso remoto. O MS-CHAP v2 soluciona algumas questões do MS-CHAP versão 1, como mostra a tabela a seguir:
Tabela - Problemas do MS-CHAP solucionados pelo MS-CHAP v2.
O MS-CHAP v2 é baseado em uma senha criptografada unidirecional, e em um processo de autenticação mútua que funciona da seguinte maneira:
O servidor de acesso remoto que está fazendo a autenticação do usuário, envia um desafio ao cliente de acesso remoto que consiste em um identificador da sessão e uma seqüência de desafio gerada aleatoriamente.
O cliente de acesso remoto envia uma resposta que contém:
O nome de usuário.
Uma seqüência de desafio arbitrária de mesmo nível.
Uma criptografia unidirecional da seqüência de desafio recebida, a seqüência de desafio de mesmo nível, o identificador da sessão e a senha do usuário.
O autenticador verifica a resposta do cliente e envia uma resposta que contém:
Uma indicação do sucesso ou falha da tentativa de conexão.
Uma resposta autenticada baseada na seqüência de desafio enviada, a seqüência de desafio de mesmo nível, a resposta criptografada do cliente e a senha do usuário.
O cliente de acesso remoto verifica a resposta de autenticação e, se estiver correta, usa a conexão. Se a resposta de autenticação não estiver correta, o cliente de acesso remoto termina a conexão.
Para ativar a autenticação baseada no MS-CHAP v2, você deve cumprir as etapas indicadas a seguir:
Ativar o MS-CHAP v2 como um protocolo de autenticação no servidor de acesso remoto. Você aprenderá este procedimento na parte prática. O MS-CHAP v2 é ativado por padrão, ou seja, ao habilitar o servidor de acesso remoto para aceitar chamadas externas, o protocolo MS-CHAP v2 será automaticamente habilitado. Se for necessário você poderá desabilitá-lo.
Ativar o MS-CHAP v2 na diretiva de acesso remoto apropriada. Você aprenderá este procedimento na parte prática.. O MS-CHAP v2 é ativado por padrão nas diretivas de acesso remoto.
Ativar o MS-CHAP v2 no cliente de acesso remoto que executa o Windows 2000 Server ou o Windows 2000. Isso é feito na guia segurança, da janela de propriedades da conexão Dial-up ou da conexão VPN no cliente.
Challenge Handshake Authentication Protocol - CHAP:
O Challenge Handshake Authentication Protocol (CHAP) é um protocolo de autenticação de resposta de desafio que usa um esquema de hash padrão de indústria, para criptografar a resposta, padrão este conhecido como Message Digest 5 (MD5). O CHAP é usado por vários fornecedores de servidores e clientes de acesso remoto. Um servidor de acesso remoto que executa o Windows 2000 Server oferece suporte ao CHAP para que clientes de acesso remoto não Microsoft sejam autenticados.
Para ativar a autenticação baseada no protocolo CHAP, você deve seguir estes procedimentos:
Ativar o CHAP como um protocolo de autenticação no servidor de acesso remoto, conforme você aprenderá a fazer na parte prática.
Ativar o CHAP na diretiva de acesso remoto apropriada, conforme você aprenderá a fazer na parte prática. Lembre-se que as configurações de segurança, tais como determinar quais grupos podem se conectar ao servidor de acesso remoto e quais não podem; os protocolos de autenticação permitidos e assim por diante, são definidos nas políticas de acesso remoto, ou como prefere quem traduziu a documentação oficial: nas diretivas de acesso remoto.
Ativar o armazenamento de uma forma criptografada reversível da senha do usuário.
Você pode ativar o armazenamento de uma forma criptografada reversível da senha do usuário individualmente, em cada conta de usuário ou ativar em todas as contas de um domínio. Para ativar a esta funcionalidade em todo o domínio, edit a GPO Default Domain Policy e acesse o seguinte caminho: Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy. Nas opções que são exibidas no painel da direita, dê um clique duplo na opção: Store passwords using reversible encryption for all users in the domain. Na janela que é aberta selecione Enable. Clique em OK e feche o Group Policy Editor.
Forçar um reset da senha do usuário para que a nova senha seja armazenada usando critptografia reversível.Quando você ativa senhas para armazenamento em uma forma criptografada reversível, as senhas atuais não estarão em uma forma criptografada reversível e não serão automaticamente alteradas. Você deve resetar as senhas dos usuários ou marcar a opção para que as senhas de usuários sejam alteradas no próximo logon. Após ter sido alterada, a senha será armazenada em usando criptografia reversível.
Nota: Se você marcar a opção “Usuário deverá alterar a senha no próximo logon”, ele deverá efetuar o logon usando uma conexão de rede e alterar a senha antes de tentar efetuar o logon em uma conexão de acesso remoto usando o CHAP. Você não pode alterar senhas durante o processo de autenticação usando o CHAP — a tentativa de efetuar o logon não terá êxito. Uma solução para o usuário de acesso remoto é efetuar o logon temporariamente usando MS-CHAP para alterar a senha.
Nota da nota: Não se esqueça deste pequeno detalhes para o exame.
Ativar o CHAP no cliente de acesso remoto
Observações:
- Se a sua senha expirar, o CHAP não poderá alterar senhas durante o processo de autenticação.
- Não é possível usar o Microsoft Point-to-Point Encryption (MPPE) em conjunto com CHAP. Lembre que o MPPE é utilizado para criptografar os dados em uma conexão VPN baseada em PPTP.
Password Authentication Protocol - PAP:
O Password Authentication Protocol (PAP) utiliza senhas de texto simples, sem criptografia e é o protocolo de autenticação menos sofisticado. O PAP normalmente é utilizado como um último recurso, somente se o cliente de acesso remoto e o servidor de acesso remoto não puderem negociar uma forma mais segura de validação. Isso se o PAP estiver habilitado em ambos, ou seja, no cliente e no servidor. O administrador pode desabilitar o protocolo PAP no servidor, de tal maneira que somente sejam aceitos protocolos de autenticação seguros.
Para ativar a autenticação baseada no PAP, você deve seguir estes procedimentos:
Ativar o PAP como um protocolo de autenticação no servidor de acesso remoto.
Ativar o PAP na diretiva de acesso remoto apropriada. O PAP é desativado por padrão.
Ativar o PAP no cliente de acesso remoto que executa o Windows 2000.
Importante: Quando você ativa o PAP como um protocolo de autenticação, as senhas dos usuários são enviadas em forma de texto simples, sem nenhuma criptografia. Qualquer pessoa que capture os pacotes do processo de autenticação pode facilmente ler a senha e usá-la para obter acesso autorizado (que na prática seria não autorizado) à sua rede. Na prática você não deve usar o PAP. Se não for possível utilizar outros protocolos de autenticação, pense em mudar a solução de acesso remoto, mudar o cliente ou qualquer coisa do tipo, mas definitivamente, não use o PAP.
Observações:
- Desativando o suporte ao PAP no servidor de acesso remoto, não serão enviadas senhas em texto simples, não criptografado. A desativação do suporte ao PAP aumenta a segurança da autenticação, mas os clientes de acesso remoto que oferecem suporte apenas ao PAP não poderão se conectar.
- Se a sua senha expirar, o PAP não poderá alterar senhas durante o processo de autenticação.
SS= Shiva Password Authentication Protocol - SPAP
O Shiva Password Authentication Protocol (SPAP) é também um protocolo de criptografia reversível fabricado pela Shiva. Por exemplo, um computador executando o Windows XP Professional, quando se conecta com um equipamento Shiva LAN Rover, usará SPAP. O mesmo acontece com um cliente Shiva, fazendo a conexão com um servidor de acesso remoto baseado no Windows 2000 Server. Esta forma de autenticação é mais segura do que PAP, porém não tem o mesmo nível de segurança do CHAP e do MS-CHAP.
Dica: Se você tem uma rede baseada somente em servidores de acesso remoto baseados no Windows 2000 Server ou Windows Server 2003, com clientes baseados nas versões mais novas do Windows, deve optar por usar MS-CHAP ou preferencialmente MS-CHAP v2. O único porém destes protocolos de autenticação é que eles somente são compatíveis com servidores e clientes Microsoft.
Para habilitar o protocolo SPAP, você deve seguir os seguintes passos:
Habilite o protocolo SPAP como um protocolo de autenticação no servidor de acesso remoto.
Habilite o protocolo SPAP nas políticas de acesso remoto aplicadas ao servidor de acesso remoto.
Habilite o protocolo SPAP no cliente.
Importante: Quando você habilita o SPAP como um protocolo de autenticação, uma mesma senha será enviada sempre no mesmo formato de criptografia reversível. Este padrão torna o protocolo de autenticação SPAP suscetível a ataques do tipo reply, onde um pacote é capturado, copiado e depois reenviado, onde quem esta fazendo o ataque se faz passar pelo cliente que está tentando se autenticar. Isso é possível porque o pacote tem sempre o mesmo conjunto de dados. Por isso o uso do SPAP não é recomendado em conexões do tipo VPN, onde a segurança é o principal fator.
Observações:
- Se a senha do usuário expirar, o protocolo SPAP não será capaz de alterar a senha durante o processo de autenticação.
- Não é possível usar o Microsoft Point-to-Point Encryption (MPPE) em conjunto com SCHAP. Lembre que o MPPE é utilizado para criptografar os dados em uma conexão VPN baseada em PPTP.
Bem, por enquanto é isso de teoria. Agora você aprenderá a fazer uma série de configurações práticas no servidor de acesso remoto. Depois voltaremos com mais um pouco de teoria, para detalhar a questão das “Políticas de Acesso Remoto”, tão importantes em épocas que segurança é um assunto fundamental.
Conclusão:
De teoria é isso. Nas próximas partes deste tutorial, você aprenderá a executar uma série de configurações no serviço de acesso remoto do Windows 2000 Server. É importante salientar, novamente, que além das configurações no RRAS, você também deve providenciar o hardware necessário. No servidor, é preciso instalar uma quantidade de modems e de linhas telefônicas, suficiente para atender ao número de usuários projetado. Os clientes também devem estar equipados com o software de conexão necessário e com uma placa de fax-modem ou outro tipo de conexão. Se os seus clientes utilizam o Windows 2000, Windows XP Professional ou o Windows Server 2003, o software cliente, tanto para conexões Dial-up quanto para conexões do tipo VPN, já está disponível no próprio Windows.