Tutorial: publicando servidores FTP com o ISA Server 2004

O Microsoft Internet Security and Acceleration (ISA) Server 2004 usa as regras de publicação de servidor para publicar servidores com segurança, incluindo servidores FTP. Neste tutorial teremos informações sobre vários cenários nos quais os servidores FTP são publicados em ou atrás de um computador ISA Server.

Continue lendo »

Firewall client para o Windows Vista

A Microsoft acaba de divulgar seu firewall client suportado no Windows Vista. O link é este aqui!

Requisitos do upload do Isa Server 2004 para o Isa Server 2006

Neste artigo estudaremos os requisitos básicos para uma correta migração do Isa Server 2004 para o Isa Server 2006, ambos na edição enterprise. Há, na verdade, duas maneiras distintas de se fazer o upgrade do Isa Server 2004 para o 2006. São elas:

• In-place Upgrade: neste caso, a instalação é feita em um servidor que já possui o Isa Server 2004. O processo de instalação do Isa Server 2006 reconhece a versão válida já instalada e faz as atualizações necessárias.
• Migração: neste caso é feita uma instalação “limpa” do Isa Server 2006 e as configurações do Isa Server 2004 são exportadas para o novo servidor.

É importante lembrar que não é possível atualizar, diretamente, o Isa Server 2000 para o Isa Server 2006.

Para saber mais:

• Upgrade Guide for ISA Server 2006 Standard Edition

• Upgrade Guide for ISA Server 2006 Enterprise Edition

Visão geral sobre o Remote Desktop Protocol (RDP)

O RDP (Remote Desktop Protocol) é um protocolo multicanais o qual permite que canais virtuais separados carreguem dados de apresentação, comunicação para mecanismos seriais, informações de licenciamento, dados altamente criptografados (teclado, mouse), etc. Sendo uma extensão do protocolo central T.Share, vários outros recursos são mantidos, como os recursos arquiteturais necessários para fornecer suporte multiponto (multiparty sessions). A entrega de dados multiponto permite que os dados de um aplicativo sejam entregues a várias pessoas (partes) em tempo real, sem a necessidade de enviar os mesmos dados para cada sessão individualmente.

Entretanto, na plataforma Microsoft, o RDP concentra-se fornecer comunicações confiáveis e rápidas ponto-a-ponto (em uma sessão única). Apenas um canal de dados será usado no lançamento inicial do Terminal Server 4.0. No entanto, a flexibilidade do RDP garante a funcionalidade em produtos futuros. Uma das razões pelas quais a Microsoft decidiu implementar o RDP para conectividade dentro do Terminal Server do Windows NT é que esse protocolo oferece uma base bastante extensiva para a construção de muitos outros recursos. O RDP fornece 64.000 canais separados para transmissão de dados. No entanto, as atividades de transmissão atuais só utilizam um único canal (para teclado, mouse e dados de apresentação).

O RDP foi concebido também para oferecer suporte para muitos tipos diferentes de topologias de rede (tais como ISDN, POTS, e muitos protocolos de LAN como o IPX, o NetBIOS, o TCP/IP e assim por diante). A versão atual do RDP é executada apenas em TCP/IP mas, a partir de comentários do cliente, será possível acrescentar outro protocolo de suporte em versões futuras do produto.

A atividade envolvida em enviar e receber dados por meio da pilha do RDP é essencialmente a mesma dos padrões atuais para o modelo OSI (Open Systems Interconnection) de sete camadas para a rede local comum. Os dados de um aplicativo ou de um serviço são transmitidos por meio das pilhas do protocolo, sendo seccionados, direcionados a um canal (por meio de MCS), criptografados, quebrados automaticamente, enquadrados, empacotados no protocolo de rede e finalmente endereçados e enviados ao cliente. Os dados retornados funcionam da mesma maneira, porem em ordem inversa, sendo que o pacote é eliminado de seu endereço, quebrado automaticamente, descriptografado e assim por diante, até que os dados sejam apresentados ao aplicativo para serem utilizados. Partes importantes das modificações da pilha de protocolos ocorrem entre a quarta e a sétima camadas, nas quais os dados são criptografados, quebrados automaticamente, enquadrados, direcionados a um canal e priorizados.

Um dos pontos importantes para os desenvolvedores de aplicativos que utilizam o RDP é que a Microsoft simplificou a utilização da pilha de protocolos. Isso permite que eles apenas gravem aplicativos de 32 bits simples, bem elaborados, de funcionamento eficiente; a pilha de RDP implementada pelo Terminal Server e as conexões do cliente do sistema fazem o restante.

Para saber mais:

Otimizando aplicativos para o Windows NT Server 4.0, Terminal Server Edition

Troubleshooting VPN – Parte 5

Solução de problemas da L2TP/IPSec básicos na plataforma Windows

Este artigo oferece informações que ajudam a solucionar problemas dos protocolos L2TP (Layer-Two Tunneling Protocol) e IPSec (Internet Protocol Security) no Windows. O L2TP é um padrão que permite a transferência de tráfego PPP (Point to Point Protocol) entre redes diferentes (descrito na RFC 2661). O L2TP é usado em conjunto com o IPSec para oferecer tanto o tunelamento quanto a segurança para o IP (Internet Protocol), o IPX (Internetwork Packet Exchange) e outros pacotes de protocolo em qualquer rede IP.

O L2TP encapsula pacotes originais em um quadro PPP (realizando a compactação quando possível), bem como em um pacote do tipo UDP (User Datagram Protocol) atribuído à porta 1701. Como o formato de pacote UDP é IP, o L2TP usa automaticamente o IPSec para proteger o encapsulamento (com base nas definições de segurança descritas na configuração de usuário do encapsulamento L2TP). O protocolo IKE (Internet Key Exchange) IPSec negocia a segurança para a autenticação baseada em certificado que usa o encapsulamento L2TP por padrão.

Esse processo de autenticação usa certificados de computador, e não de usuário, para verificar se os computadores de origem e de destino confiam um no outro. Se a segurança de transporte do IPSec for estabelecida, o L2TP negocia o encapsulamento (incluindo as opções de compactação e de autenticação do usuário) e realiza o controle de acesso com base na identidade do usuário.

Continue lendo »

Troubleshooting VPN – Parte 4

Dando continuidade à série de artigos sobre VPN falaremos, hoje, sobre os protocolos de tunelamento (tunneling), começando pelo Protocolo Ponto-a-Ponto (PPP).

Protocolos de Tunneling

Para se estabelecer um túnel, tanto o cliente quanto o servidor devem estar usando o mesmo protocolo de tunneling. A tecnologia de tunneling pode ser baseada tanto no protocolo de tunneling da Camada 2 quanto da Camada 3. Essas camadas correspondem ao Modelo de Referência OSI (Open Systems Interconnection), ou Interconexões de Sistemas Abertos. Os protocolos da Camada 2 correspondem à camada de link de dados e utilizam os frames como suas unidades de permuta. O PPTP e o L2TP são os protocolos de tunneling da Camada 2; ambos encapsulam a carga em um frame PPP para que ela seja enviada pela rede. Os protocolos da Camada 3 correspondem à Camada de Rede e utilizam pacotes. O modo de túnel IPSec é um exemplo de protocolo de tunneling da Camada 3 e encapsula pacotes IP com um cabeçalho IP adicional antes de enviá-los pela rede IP.

Continue lendo »

Troubleshooting VPN – Parte 3

Requisitos Básicos de uma conexão VPN
Ao implantar uma solução remota de rede, uma empresa precisa tipicamente de certos recursos que facilitem o acesso controlado aos dados e informações da organização. Essa solução deve permitir que clientes remotos e externos se conectem aos recursos da LAN, possibilitando ainda aos escritórios remotos de se conectarem uns com os outros para compartilhar recursos e informações (conexões roteador-a-roteador).

Além disso, a solução deve garantir a privacidade, confidencialidade e integridade dos dados no momento em que eles atravessam a rede pública (Internet). O mesmo conceito se aplica no caso de dados sensitivos que atravessam a rede corporativa.
Portanto, a solução VPN deve fornecer, no mínimo, os recursos que seguem:

• Autenticação de Usuário. A solução deve verificar a identidade do cliente VPN e seu acesso restrito somente a usuários autorizados. Ela deve também oferecer registros de auditoria e contabilidade para mostrar quem estava conectado e por quanto tempo assim permaneceu;
• Gerenciamento de Endereços. A solução deve designar a um cliente VPN um endereço na intranet e garantir que os endereços usados estão sob confidencialidade.
• Criptografia de Dados. Os dados transportados na rede pública devem permanecer ilegíveis e protegidos caso sejam interceptados;
• Gerenciamento de Chave. A solução deve gerar e atualizar chaves de criptografia para os dados criptografados.

Uma solução VPN baseada em PPTP (Point-to-Point Tunneling Protocol) ou L2TP/IPSec (Layer Two Tunneling Protocol com Internet Protocol security) supre todos esses requisitos básicos e tira proveito da ampla disponibilidade da Internet. Outras soluções, que incluem o modo de túnel IPSec, supre apenas algumas dessas necessidades, mas são úteis para situações específicas.
Continue lendo »

Troubleshooting VPN – Parte 2

Neste segundo artigo da série sobre troubleshooting de conexões VPN, darei especial ênfase a alguns conceitos básicos importantes e, principalmente, tipos de VPN mais comuns.

A idéia que rege as conexões VPN é a de utilizar uma rede pública – como a Internet – para implementar redes corporativas, estabelecendo-se túneis de criptografia entre dois pontos autorizados e permitindo, deste modo, a transmissão de informações, de modo seguro, entre redes corporativas ou usuários remotos.
São essas, portanto, as principais características das VPNs: Segurança no tráfego de informações e redução de custos, pois os dispendiosos links dedicados são substituídos por um tunelamento criptografado através da rede pública. As 3 principais aplicações para as VPNs são:

Continue lendo »

Troubleshooting VPN – Parte 1

Com este post, darei início a uma série onde explanarei sobre os principais problemas que afetam ou podem afetar uma conexão VPN (Virtual Private Network) e suas possíveis soluções. Conto com a colaboração de todos vocês – através dos comentários deste Blog – para que tais artigos sejam os mais completos e úteis possível.

Em primeiro lugar, vamos ao conceito básico: Uma Rede Privada Virtual (Virtual Private Network – VPN) é uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições, construída em cima de uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros. 

Neste cenário, um dos problemas de ocorrência mais comum é quando um cliente externo não consegue conectar-se ao Isa Server. As causas podem ser:

• A conta de usuário não foi configurada corretamente;

• O usuário não possui  acesso apropriado ao  servidor Isa Server.

Solução: Cheque, em primeiro lugar, se o acesso dial-in está habilitado por usuário ou se o usuário pertence a um grupo com acesso permitido na política de acesso remoto (Remote Access Policy). Maiores informações podem ser obtidas aqui.

Em seguida, verifique se o VPN Client está configurado com os métodos de autenticação e protocolos de tunelamento corretos (devem coincidir com as configurações estabelecidas no servidor Isa Server), pois muitos problemas de falhas em VPN advém destes dois fatores. Há maiores informações aqui.

No próximo post falaremos sobre as conexões IPsec.

Testes para conexões HTTP

Há uma nova ferramenta para a realização de testes da conexão HTTP, a qual permite que se teste as conexão de e para o seu Isa Server, baseada em três scripts principais:

• WinHttp.WinHttpRequest.5.1 (to handle the HTTP traffic)
• Scripting.FileSystemObject (to handle the logging)
• Scripting.Shell (to handle environment variables)

Muito útil a todos que administram proxies e firewalls mundo a fora…

Caso tenha interesse, a mesma pode ser baixada deste link.