Windows 2003 - RRAS

Routing and Remote Access Server O RRAS permite configurar: Dial-up: Um usurio remoto pode discar ao servidor RRAS para acessar a rede privada da empresa. Demand Dial: O RRAS faz a conexo automaticamente toda vez que necessrio entre duas localidades que no possuem uma conexo sempre ativa. VPN: Configurar um servidor de Virtual Private Network, permite conexo segura de um cliente remoto a rede interna da empresa criando um "tunel" por onde passa a comunicao encryptografada. Routing: Faz o roteamento de pacotes entre duas redes. NAT: Network Address Translation, permite usar um IP externo direcionando devidas portas para um ip interno na rede privada. DHCP Relay Agent: Permite passar DHCP Discover broadcasts em busca de um servidor DHCP pelo roteador podendo alcanar outra rede. IAS: Internet Authentication Service, um server RADIUS para centralizar a administrao da autenticao de vrios servidores RRAS. * Para configurar o RRAS v em Start -> Administrative Tools -> Routing and Remote Access. Em seguida clique com o boto direito sobre o nome do servidor e clique em Configure and Enable Routing and Remote Access. Utilize o Wizard para auxiliar na configurao de VPN, NAT, Router ou Firewall. Caso o wizard impea a instalao devido ao servidor ter apenas uma placa de rede, siga pela opo Custom. Protocolos de autenticao Os seguintes protocolos de autenticao so utilizados pelo RRAS: EAP: "Extensable Authentication Protocol", permite a utlizao dos metodos: - "MD5-Challenge" uma verso diferente CHAP com

esquema hash, utilizada com clientes no Microsoft, encripta apenas user e senha mas no o contedo do ser transmitido; - "Protected EAP (PEAP)" utilizado em conexes wireless; - "Smart Card or other certificate". Encripta os dados da transmisso. MS-CHAP v2: Prov "two way authentication" tambm conhecido como "mutual authentication", Encripta os dados da transmisso usando keys criptografadas separadas para enviar e receber. No funciona com Windows95 at que seja instalado "Windows Dial up Networking v1.3", aps possvel utilizar MS-CHAP v2 para conexes VPN PPTP, mas mesmo assim no ir funcionar para conexes Dial-up do Windows95. MS-CHAP: Utiliza non-reversible encryption, 40-bit encryption key, sendo assim mais seguro que CHAP, porm possui pontos fracos como a retrocompatibilidade com LAN Manager e faz apenas uma "one way authentication" onde o server se certifica que o cliente realmente quem diz ser, mas o cliente no verifica se o server o server real, podendo se conectar em um server falso. Estas vulnerabilidares foram corrigidas no MS-CHAP v2. Encripta os dados da transmisso usando uma single key dos dois lados. CHAP: Utiliza esquema hash MD5 que encripta o password, porem esse hash pode ser capturado na rede e com algumas ferramentas hacker possivel reverter este hash descobrindo o password. No um mtodo seguro, normalmente utilizado com clientes no Microsoft. Utiliza a opo de "reversible encryption" nas propriedades do usurio. No encrypta os dados da transmisso. SPAP: "Shiva Password Authentication Protocol", usa reversible encryptions, podendo ser capturadas, utilizado Replay attacks, no pode ser usado com VPN pois no suporta encriptao para PPTP. PAP: "Unencrypted Password", envia o password en clear text, podendo ser capturado com qualquer sniffer. VPN Selecione no Wizard Custom -> VPN. Aps configurar e ativar v em IP Routing -> General e ento clique duplo sobre a placa de rede na qual a conexo ser feita. Na aba General, os filtros de Inbound e Outbound devem ser configurados para maior segurana. Configurao Inbound: Selecione a opo "Drop all packets except those that meet the criteria below", assim tudo que no estiver de acordo com os filtros

criados ser descartado. Para adicionar os filtros clique em New. em Souce Network deixe o checkbox desmarcado, assim esta opo ficar configurada como Any. em Destination Network configure o IP da placa de rede que estar recebendo a conexo VPN e coloque a mascara 255.255.255.255, fechando a rede para que funcione apenas neste ip. Selecione o protocolo Other e configure com a porta 47. A seguir faa o mesmo procedimento para todos os outros protocolos e portas para que fique de acordo com a figura abaixo:

Esta configurao libera a comunicao para conexo PPTP e L2TP. Caso deseje apenas configurar para conexes PPTP os filtros de protocolo UDP no so necessrios. O Generic Router Encapsulation Protocol ir usar a porta 47, isto permitir o trfego PPTP encapsulado. A TCP (Estabilished), porta 1723 como Source, utilizada pelos pacotes PPTP. A TCP, porta 1723 na Destination, tambm deve ser configurada para permitir o trfego PPTP. Porta Destination 500 do protocolo UDP, ultizada para troca de Keys pelo protocolo L2TP. Porta Destination 1701, protocolo UDP, permite conexo L2TP. Porta Destination 4500, protocolo UDP, permite NAT sobre IPSec. Configurao Outbound Filters: O mesmo procedimento acima, porm, o IP da placa de rede do servidor onde esta recebendo a conexo VPN deve ser configurado no Source Network e o Destination Network fica desmarcado. As portas tambm se invertem de acordo com figura abaixo:

RRAS Policies Dentro do Routing and Remote Access, na opo Remote access policies, tem a opo Connection to Microsoft Routing and Remote Access Server, duplo clique nesta opo. Cria-se as condies para a aplicao da policy, por default a opo MS-RAS-Vendor matches "^311$" este cdigo ^311$ significa Microsoft RRAS Server, ento esta condio padro diz que estou me conectando a um servidor MS-RRAS e caso esta condio estiver de acordo, possvel negar ou liberar o acesso ao servidor. Para implementar uma maior segurana pode-se adicionar condies, porm aconselhavel ao invs de adicionar vrias condies em uma policy, criar uma nova policy para a nova condio. Assim a administrao ser facilitada pois existe uma ordem de checagem das policies criadas. Por exemplo, aps verificar a primeira, se as condies estiverem de acordo e a policy configurada para que negue o acesso, a conexo ser interrompida; Se a condio no estiver de acordo o sistema no sabe se deve negar ou no e ir verificar se as condies da prxima policy esta de acordo ou no assim por diante. Exemplo de condies extras que podem ser criadas limitar acesso a determinados Global Groups (UG e DLG no so permitidos) com a condio "Windows Groups", ou limitar por horrio de logon com a condio "Day-And-Time-Restriction". H vrios atributos diferentes para serem utilizados alm dos dois citados como exemplo. IMPORTANTE: Se o DFL (Domain Funcional Level) estiver em mixed mode, a opo de "Control access through Remote Access Policy" vai estar desabilitada na aba "Dial-in" de cadas usurio no "AD Users and Computers". Esta opo deve ser marcada para que a configurao de policies no RRAS funcione corretamente, pois um "Allow access" nas propriedades do "Dial-in" de um usurio vence sobre o "Deny access" da configurao da policy no RRAS. Portando, ser necessrio

aumentar o nvel para Windows 2003 nativo para habilitar esta opo. Aps criar uma nova policy ou nova condio em uma policy, espere em torno de 30 segundos a 1 minuto para testar, pois o sistema operacional leva um tempo para botar em prtica. Fluxograma da aplicao de policies do RRAS:

IAS (Internet Authentication Service) (RADIUS Server) Caso a rede tenha mais de um servidor RRAS, uma opo configurar um servidor IAS para gerenciar as conexes de todos os RRAS presentes. A estrutura aconselhvel seria: [Cliente] --> Internet --> [RRAS Server (Radius client)] --> [RADIUS Server(IAS)] --> [DC] Para instalar o RADIUS Server vai em Control Panel -> Add/Remove Programs -> Windows Components -> Networking Services -> Internet Authentication Service. O Server RRAS ser um Radius Client, no Server RRAS, dentro do "Routing and Remote Access "clica com boto direito sobre o servidor e vai em "properties". Na aba "Security" configura o "Authentication provider" e "Accounting provider" como "RADIUS Authentication" e "RADIUS Accounting" respectivamente. Clique no boto "configure"

para adicionar o IP do server RADIUS(IAS) e a senha. Marque o checkbox "Always use message authenticator" para maior segurana. o mesmo para o boto "configure" do "Accounting provider". No RADIUS Server v em Start -> Administrative Tools -> Internet Authentication Service. Clique com o boto direito sobre o "Internet Authentication Service (local)" e selecione "Register Server in Active Directory", isto o mesmo que adicionar o servidor IAS no grupo "RAS and IAS Servers". Aps, clique com o boto direito sobre a pasta "RADIUS Clients" e selecione "New RADIUS Client". Informe o nome e ip do servidor RRAS. Configure a mesma senha configurada no server RRAS e marque o checkbox "Request must contain the Message Authenticator Attribute". Selecione como Client-Vendor: "RADIUS Standard". As portas 1812 e 1813 devem estar liberadas entre o RRAS e o IAS para a autenticao. Aps feitas as configuraes necessrio fazer um restart no servio do RRAS. Em Events Log -> System os logs de IAS indicam Warnings e Errors de conexes ao server IAS. O RRAS e o IAS devem ficar no mesmo domnio ou na mesma Floresta. Demand Dial Exemplo1Um exemplo de utilizao seria uma conexo entre 2 sites em diferentes localidades, e de cada lado 1 modem de 56k. No caso poderia ser configurada uma Demand Dial para sincronizar o AD toda noite. Para o exemplo vamos configurar a Demand-dial entre "Server1" e "Server2". Para configurar, no "Server1" dentro do "Routing and Remote Access", clique em "Network Interfaces" no menu da esquerda. Em seguida na direita clique com o boto direito e selecione "New Demand-dial Interface". Siga os passos do wizard de acordo com o cenrio: Crie um nome para a inteface. Selecione configurao por modem. Selecione o modem que ir utilizar. Em "Protocols and Security" marque "Route IP packets on this

interface" e "Add a user account so a remote route can dial in". - Em seguida informe o ip da rede remota (Server2) para onde a conexao ser feita e a mascara de rede, por exemplo: 192.168.6.0 255.255.255.0. - Na prxima tela digite um password para uma conta local que ser criada automaticamente no Server1, essa conta ser configurada no RRAS do Server2 no outro site, para fazer a discagem de Server2 para Server1. - Em seguida ao contrrio, necessrio configurar no Server1 qual a conta que foi criada no Server2, para efetuar a conexo de Server1 para Server2. O campo "Domain" pode ser deixado em branco no caso por a conta para a conexo foi criada local e no no AD.(Esta configurao feitas dos dois lados). - Finish Exemplo2Digamos que entre os 2 sites exista uma conexo dedicada e queremos fazer a conexo por este link com segurana. Para isto podemos configurar uma Demand-dial de VPN. O Procedimento para iniciar a configurao o mesmo do exemplo1- Seleciona "Connect using virtual private networking (VPN)". - Selecione o protocolo que deseja usar, lembrando que L2TP o mais seguro. - Digite o IP da interface que ir receber esta conexo no outro site, por exemplo 192.168.1.1. - Em "Protocols and Security" marque "Route IP packets on this interface" e "Add a user account so a remote route can dial in". - Em seguida informe o ip da rede remota (Server2) para onde a conexo ser feita e a mascara de rede, por exemplo: 192.168.1.0 255.255.255.0. - Crie a conta local para Demand-dial escolhendo um password. - Em seguida configure com a conta que foi criada no Server2. (Esta configurao feitas dos dois lados). - Finish Nas propriedades existe a opo de manter a VPN persistente caso queira que ela esteja sempre conectada. Static Routing

Para criar rotas persistentes(mantm mesmo aps reboot) pelo RRAS v em IP Routing -> Static Routes, na direita clique com boto direito e selecione New Static Route, escolha a interface da saida da comunicao, coloque o ip da rede de destino e respectiva mscara. No gateway configure o ip da placa de rede do roteador. Metric utilizado para setar prioridade no caso de haver mais de um roteador que possa ser utilizado para a mesma funo, quanto mais alto o valor do metric, menor a prioridade. Por exemplo, de acordo com a figura acima, para configurar uma rota esttica para que uma estao da rede 10.10.10.0 que utilize o default gateway 10.10.10.2 tenha acesso a rede 10.10.9.0 cria-se uma roda com as seguintes configuraes: Interface: PrivateNetwork (10.10.10.2) Destination: 10.10.9.0 Mask: 255.255.255.0 Gateway: 10.10.10.1 Metric: 1 Para ver a tabela de roteamentos ativas pode-se usar tanto o comando route print no prompt de comando como acessar no RRAS clicando com o boto direito sobre Static Route e selecionando Show IP Rounting Table. Command line: Para adicionar uma rota: route add x.x.x.x(destination) mask x.x.x.x(mscara da rede) x.x.x.x(gateway de saida para a rede). Para inserir uma rota persistente adicione -p, exemplo:

route add -p 10.10.8.0 mask 255.255.255.0 10.10.10.1 Para excluir uma rota: route delete x.x.x.x(destination) IMPORTANTE: Procure utilizar sempre o mesmo mtodo para adicionar ou remover rotas, pelo GUI do RRAS ou por command line. Pois quando se adiciona uma rota persistente por command line ela no aparece na routing table do RRAS o que pode causar confuso. * Troubleshooting Caso o RRAS no estiver roteando, acesse as propriedades do servidor na aba General necessrio que o checkbox Router esteja marcado assim como radio button LAN and Demand-dial routing. Outro local que deve ser verificado clicando em IP Routing -> General, entre nas propriedades da interface que esta sendo utilizada e certifique que o checkbox Enable IP Router Manager est marcado. RIP (Routing Information Protocol) Facilita na sincronizao da tabela de roteamento entre roteadores atualizando a tabela de roteamentos inteira a cada 30 segundos via broadcast por padro. Conta somente at 15 Hops. Pode ser instalado clicando com boto direito sobre General -> New Routing Protocol, selecione o protocolo RIP Version2 for Internet Protocol. Ir aparecer um novo item RIP no menu a esquerda. Na direita, clique com boto direito e selecione New Interface...seleciona a interface que ser usada. O "Operation Mode" padro Periodic update mode no qual a cada 30 segundos feito um broadcast na rede informando os roteadores que se encontram. J o modo Auto-Static update mode o padro para Demand-dial no qual s passa a informao da routing table quando requisitado. Para fazer com que o roteador fique em "listening mode", ou seja apenas receba informaes de outros roteadores mas no envie nada, se utiliza Silent RIP em "Outgoing packet protocol". No checkbox "Activate Authentication" pode se configurar um password, e ento todos os roteadores que estiverem configurados com o mesmo password iro trocar informaes. Este password no encriptado, enviado em pacotes em clear text. Na aba Security pode configurar de quem deseja que receba a lista

de roteamento, podendo aceitar ou ignorar caso o ip do remetente esteja na range configurada. OSPF (Open Shortest Path First) OSPF um protocolo de roteamento superior ao RIP, para se utilizar em redes grandes que chegam a ter 15 hops para o envio de um pacote do remetente ao destinatrio. Pode ser instalado clicando com boto direito sobre General -> New Routing Protocol, selecione o protocolo Open Shortest Path First (OSPF). Ir aparecer um novo item "OSPF" no menu a esquerda. Na direita, clique com boto direito e selecione New Interface...seleciona a interface que ser usada. RIP vs. OSPF RIP - OSPF Fcil Implementao - Mais complexo Redes pequenas mdias - Grandes Redes 15 Hops - Eficiente(sem limite de hops) Broadcast a cada 30 seg.(default) - Areas, Backbone(diviso em reas impede broadcast) Pode ocorrer Loop no roteamento - No Loops Hop Count only - Atualiza as tabelas rapidamente entre roteadores. ICS (Internet Connection Sharing) O ICS quando habilitado na interface(conexo de placa de rede ou modem) que tem acesso a internet, faz com que outros hosts da rede privada (LAN) tenham acesso Internet que est sendo compartilhado pelo ICS. Funciona criando uma local address table, quando uma hosts faz o acesso via ICS o ip interno fica registrado junto com uma porta random e no caminho inverso o ICS utiliza a tabela para encaminhar a comunicao. Para configurar o ICS, entre nas propriedades da conexo de rede ou dial-up, na aba "Advanced" selecione o checkbox "Allow other network users to connect through this computer's Internet Connection". IMPORTANTE: O ICS quando habilitado, emite IPs classe C 192.168.x.x para os hosts na rede. O problema que no h uma interface para definir ranges como no DHCP. Isso pode e ir causar conflitos de IP na rede caso algum host esteja configurado com IP

sttico e conflita com o IP emitido pelo ICS. Portanto o ICS uma boa opo para se utilizar em casa ou em uma rede pequena de escritrio. Mas no em empresas melhores estruturadas com vrios servidores, neste caso seria aconselhvel utilizar o NAT do RRAS. NAT/Basic Firewall Para instalar clique com boto direito sobre General -> New Routing Protocol, selecione o protocolo Nat/Basic Firewall. Ir aparecer um novo item "NAT/Basic Firewall" no menu a esquerda. Na direita, clique com boto direito e selecione New Interface...seleciona a interfaces que sero usadas( uma pblica e outra privada). No caso da interface pblica, ao adicionar, na aba "NAT/Basic Firewall" selecione o radio button "Public interface connected to the Internet" e marque os checkbox apropriados para a ocasio. Nas propriedades de "NAT/Basic Firewall", na aba "Address Assignment" pode se configurar o DHCP informando o ip da rede desejado(Ex.: 192.168.1.0 mask 255.255.255.0). Tambm permite configurar excluses de IP, sendo assim uma vantagem sobre o ICS, evitando conflitos. Na aba "Name Resolution" configure o servidor DNS para os clientes.