Roteamento Rede Interna Com Vpn

[rodrigomezetti]

Boa tarde amigos do Forum. Estou necessitando e muito da ajuda de vocês, pois estou com dificuldade para fazer um roteamento na minha rede.

Temos a matriz com a faixa ip 192.168.200.x até 192.168.200.254 onde o 192.168.200.254 é o gateway internet.

Temos a filial com a faixa ip 192.168.8.x até 192.168.8.254 onde o 192.168.8.254 é o gateway internet..

Na filial temos dois computadores windows 2000 onde esta configurado o ip 192.168.8.2 e no outro computador 192.168.8.3

Duvida

Estou fazendo uma conexão VPN na matriz com o computador que tem o ip 192.168.8.2 e ele esta se comunicando normal com o meus servidores na matriz, já o outro computador com ip 192.168.8.3 não se comunica com os servidores da matriz e se comunica somente com o da minha rede interna.

Como eu faço para ele se comunicar com a matriz?

Como devo adicionar as rotase em qual computador que eu adiciono?

Por favor me ajudem!!

Atenciosamente RodrigoMezetti

[jorgembarros]

Salve Rodrigo!

É meio estranho este cenário, porque você só tem IP de rede local classe C. !?!

Fisicamente a Filial e a Matriz estão em lugares diferentes?

Você quer montar uma WAN ou mesmo uma MAN?

Para se conectar pela VPN você está usando o que? Modem, LP, ADSL, Frame-relay ??? Você conecta esta VPN passando pela internet?

Você está usando a VPN nativa do Windows 2000?

Dê mais delalhes.

Jorge Barros -

[rodrigomezetti]

Ola Jorge!!

Sim Fisicamente estão em lugares diferentes, e eu estou utilizando um modem alcatel com ip fixo na wan e utilizo VPN nativa do windows 2000.

Na rede da filial eu tenho estas 2 maquinas o model alcatel e um hub onde estão conectados os equipamentos e o modem também.

Quando eu disco para conectar na matriz do computador windows 2000 ele faz a conexão e funciona normal, só que eu quero rotear os pacotes para o outro computador e que o sistema funcione normal.

Não utilizo dhcp, wins, dns na filial.

Se eu tento conectar os 2 computadores ele da um erro de protocolo PPP e diz que já esta em uso.

Como eu faço para rotear os pacotes Jorge?

[jorgembarros]

Salve Rodrigo!

Agora fez mais sentido, você tem IP real e o modem, eu praticamente não tenho muita experiência com a VPN nativa do 2000 e nunca a fiz com modem, eu levantei uma com conexão de uma rede IP, e mesmo assim tinha uns paus estranhos e intermitentes na hora de autenticar.

Por isso foi usado uns produtos de terceiros porque nesta rede o 2000 não tinha o AD levantado e não havia GPO.

Eu peguei um material na Net sobre VPN do 2000 que inclusive tem umas FAQ's e Problemas de Soluções, que eu espero te dar uma luz em seu problema, em todo caso o que eu faria era criar outra conexão (uma nova) e checar as configurações se algo pode ser melhorado ou se há conflito ou má configuração de protocolo ou mesmo se as permições habilitam conexões simultâneas.

Boa Sorte!

Jorge Barros -

O material está abaixo: Extraido do site:http://www.w2k.com.br

Uma rede privada virtual (VPN, Virtual Private Network) permite-lhe ligar componentes a uma rede, através de uma outra rede, como, por exemplo, a Internet. Pode transformar o computador com o Windows 2000 num servidor de acesso remoto para que outros utilizadores possam ligar-se ao mesmo através de uma rede privada virtual e, em seguida, aceder aos ficheiros partilhados existentes nas unidades locais ou na rede. Isso é possível com as redes privadas virtuais mediante a utilização de túneis (tunneling) através da Internet, ou de outra rede pública, de uma forma que proporcione a mesma segurança e funcionalidades que uma rede privada. Com uma VPN, as ligações estabelecidas na rede pública têm capacidade para transferir os dados utilizando a infra-estrutura de encaminhamento da Internet; no entanto, na perspectiva do utilizador, os dados estariam a ser enviados através de uma ligação dedicada privada.

Este artigo descreve como instalar uma rede privada virtual (VPN) e como criar uma ligação VPN nova no Windows 2000

Regressar ao início

Descrição geral de rede privada virtual

Uma rede privada virtual (VPN) é um meio de ligar a uma rede privada (como, por exemplo, a rede da empresa) através de uma rede pública, como, por exemplo, a Internet. Este conceito combina as virtudes de uma ligação de acesso telefónico a um servidor de acesso telefónico com a facilidade e flexibilidade de uma ligação à Internet. Através de utilização de uma ligação à Internet, poderá viajar por todo o mundo e, ainda assim, na maior parte dos locais, estabelecer uma ligação com a empresa através de uma chamada local para o número de telefone de acesso à Internet mais próximo. Caso tenha uma ligação à Internet de alta velocidade (como, por exemplo, por cabo ou DSL) no computador (assim como na empresa), poderá comunicar com a empresa com a mesma rapidez que caracteriza a Internet, ou seja, bastante mais rápida do que qualquer ligação de acesso telefónico através de um modem analógico.

As VPN utilizam ligações autenticadas para garantir que apenas os utilizadores autorizados poderão ligar-se à rede, sendo que estes utilizam a encriptação para assegurar que os dados transmitidos via Internet não poderão ser interceptados nem utilizados por outros. O Windows consegue atingir este nível de segurança mediante a utilização do protocolo PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer Two Tunneling Protocol).

A tecnologia VPN também permite que uma empresa estabeleça ligação com as respectivas filiais ou com outras empresas através de uma rede pública (por exemplo, a Internet), mantendo, ainda assim, comunicações seguras. A ligação VPN via Internet opera, segundo parâmetros lógicos, como uma ligação de rede alargada (WAN, Wide Area Network) dedicada.

Componente de uma rede privada virtual

No Windows 2000, uma VPN é composta por um servidor VPN, um cliente VPN, uma ligação VPN (a parte da ligação na qual os dados estão encriptados) e pelo túnel (a parte da ligação na qual os dados estão encapsulados). A utilização de túneis é feita através de um dos respectivos protocolos incluídos no Windows 2000, sendo que ambos são instalados com o serviço Encaminhamento e acesso remoto (Routing and Remote Access). Seguem-se os dois protocolos de utilização de túneis incluídos no Windows 2000:

Point-to-Point Tunneling Protocol (PPTP) Possibilita a encriptação dos dados através da Codificação ponto a ponto da Microsoft (Microsoft Point-to-Point Encryption)

Layer Two Tunneling Protocol (L2TP) Possibilita a encriptação, autenticação e integridade dos dados através do IPSec

A ligação à Internet deverá utilizar uma linha dedicada, do tipo T1, T1 fraccionário ou Frame Relay. O adaptador de WAN tem de ser configurado com o endereço IP e a máscara de sub-rede atribuídos ao domínio em questão ou fornecidos por um fornecedor de serviços Internet (ISP, Internet Service Provider), assim como com o gateway predefinido do router do ISP.

NOTA: Para activar a VPN, tem de ter sessão iniciada com uma conta que tenha direitos administrativos.

Regressar ao início

Como instalar e activar uma rede privada virtual

Para instalar e activar um servidor VPN, siga estes passos:

No computador com o Microsoft Windows 2000 e a VPN, confirme que tanto a ligação à Internet como a ligação à rede local (LAN, Local Area Network) estão correctamente configuradas.

Clique em Iniciar (Start), aponte para Ferramentas administrativas (Administrative Tools) e, em seguida, clique em Acesso remoto e encaminhamento (Routing and Remote Access).

Clique no nome do servidor na árvore e, em seguida, clique em Configurar e activar encaminhamento e acesso remoto (Configure and Enable Routing and Remote Access) no menu Acção (Action). Clique em Seguinte (Next).

Na caixa de diálogo Configurações comuns (Common Configurations), clique em Rede privada virtual (servidor VPN) [Virtual private network (VPN server)] e, em seguida, clique em Seguinte (Next).

Na caixa de diálogo Protocolos de cliente remoto (Remote Client Protocols), confirme que o TCP/IP está incluído na lista, clique em Sim, todos os protocolos disponíveis estão nesta lista (Yes, all of the available protocols are on this list) e, em seguida, clique em Seguinte (Next).

Na caixa de diálogo Ligação à Internet (Internet Connection), seleccione a ligação à Internet que irá estabelecer ligação com a Internet e, em seguida, clique em Seguinte (Next).

Na secção Atribuição de endereços IP (IP Address Assignment), seleccione Automaticamente (Automatically) para utilizar o servidor DHCP na sub-rede com vista a atribuir endereços IP a clientes de acesso telefónico e ao servidor.

Na caixa de diálogo A gerir vários servidores de acesso remoto (Managing Multiple Remote Access Servers), confirme que a caixa de verificação Não, não quero configurar este servidor agora para utilizar o RADIUS (No, I don't want to set up this server to use RADIUS now) está seleccionada.

Clique em Seguinte (Next) e, em seguida, clique em Concluir (Finish).

Clique com o botão direito do rato no nó Portas (Ports) e, em seguida, clique em Propriedades (Properties).

Na caixa de diálogo Propriedades de portas (Ports Properties), clique no dispositivo WAN Miniport (PPTP) e, em seguida, clique em Configurar (Configure).

Na caixa de diálogo Configurar dispositivo - WAN Miniport (PPTP) (Configure Device - WAN Miniport (PPTP)), efectue um dos seguintes procedimentos:

Se não pretende suportar uma rede privada virtual directa de acesso telefónico para utilizadores para os modems instalados no servidor, clique para desmarcar a caixa de verificação Ligações de encaminhamento de marcação a pedido (entrada e saída) (Demand-Dial Routing Connections (Inbound and Outbound)).

Se pretende suportar uma rede privada virtual directa de acesso telefónico para utilizadores para os modems instalados no servidor, clique para seleccionar a caixa de verificação Ligações de encaminhamento de marcação a pedido (entrada e saída) (Demand-Dial Routing Connections (Inbound and Outbound)).

Escreva o número máximo de ligações PPTP simultâneas que pretende permitir na caixa de texto N.º máximo de portas (Maximum Ports). (Esta definição poderá depender do número de endereços IP disponíveis.

Repita os passos 11 a 13 relativamente ao dispositivo L2TP e, em seguida, clique em OK.

Regressar ao início

Como configurar o servidor de rede privada virtual

Para continuar a configurar o servidor VPN conforme necessário, siga estes passos.

Como configurar o servidor de acesso remoto como um router

Para que o servidor de acesso remoto reencaminhe correctamente o tráfego dentro da rede, terá de o configurar como um router com rotas estáticas ou protocolos de encaminhamento, de modo a que todas as localizações da intranet possam ser contactadas a partir do servidor de acesso remoto.

Para configurar o servidor como um router:

Clique em Iniciar (Start), aponte para Ferramentas administrativas (Administrative Tools) e, em seguida, clique em Acesso remoto e encaminhamento (Routing and Remote Access).

Clique com o botão direito do rato no nome do servidor e, em seguida, clique em Propriedades (Properties).

No separador Geral (General), clique para seleccionar a opção Activar este computador como router (Enable This Computer As A Router).

Seleccione Encaminhamento apenas de rede local (Local area network (LAN) routing only) ou Encaminhamento para marcação a pedido e LAN (LAN and demand-dial routing). Clique em OK para fechar a caixa de diálogo Propriedades (Properties).

Regressar ao início

Como configurar portas PPTP

Confirme o número de portas PPTP de que necessita. Para verificar o número de portas ou para adicionar portas, siga estes passos:

Clique em Iniciar (Start), aponte para Ferramentas administrativas (Administrative Tools) e, em seguida, clique em Acesso remoto e encaminhamento (Routing and Remote Access).

Na árvore da consola, expanda Encaminhamento e acesso remoto (Routing and Remote Access), expanda o nome do servidor e, em seguida, clique em Portas (Ports).

Clique com o botão direito do rato em Portas (Ports) e, em seguida, clique em Propriedades (Properties).

Na caixa de diálogo Propriedades de portas (Ports Properties), clique em WAN Miniport (PPTP) e, em seguida, clique em Configurar (Configure).

Na caixa de diálogo Configurar dispositivo - WAN Miniport (PPTP) (Configure Device WAN Miniport (PPTP)), seleccione o número máximo possível de portas para o dispositivo e, em seguida, seleccione as opções para especificar se o dispositivo só aceita ligações a receber, ou se aceita ligações a receber e a enviar.

Regressar ao início

Como gerir servidores de endereços e de nomes

O servidor VPN tem de ter endereços IP disponíveis para os atribuir à interface virtual do servidor VPN e aos clientes VPN durante a fase de negociação do protocolo IPCP (IP Control Protocol) do processo de ligação. O endereço IP atribuído ao cliente VPN é atribuído à interface virtual do cliente VPN.

Para os servidores VPN baseados no Windows 2000, os endereços IP atribuídos a clientes VPN são obtidos, por predefinição, através do protocolo DHCP. Também é possível configurar um conjunto de endereços IP estático. O servidor VPN também tem de estar configurado com servidores de resolução de nomes, regra geral, endereços de servidores de DNS e WINS, a atribuir ao cliente VPN durante a negociação de IPCP.

Regressar ao início

Como gerir o acesso

Configure as propriedades de acesso telefónico das contas de utilizador e políticas de acesso remoto de forma a gerir o acesso a ligações de acesso telefónico à rede e a ligações VPN.

NOTA: Por predefinição, o acesso telefónico é vedado aos utilizadores.

Regressar ao início

Acesso através de uma conta de utilizador

Se estiver a gerir o acesso remoto com base no utilizador, clique em Permitir acesso (Allow Access) no separador Acesso telefónico (Dial-In) da caixa de diálogo Propriedades (Properties) do utilizador das contas de utilizador que têm permissão para criar ligações VPN. Se o servidor VPN só estiver a permitir ligações VPN, elimine a política de acesso remoto predefinida denominada Permitir o acesso se as permissões de acesso telefónico estiverem activas (Allow Access If Dial-In Permission Is Enabled) Em seguida, crie uma nova política de acesso remoto com um nome descritivo, como, por exemplo, "Acesso VPN, se tal for permitido pela conta do utilizador". Para mais informações, consulta a ajuda do Windows 2000.

ATENÇÃO: Uma vez eliminada a política predefinida, será recusado o acesso aos clientes de acesso telefónico que não correspondam a, pelo menos, uma das configurações de política criadas.

Se o servidor VPN também permitir serviços de acesso remoto de acesso telefónico, não elimine a política predefinida, mas mova-a de modo a ser a última política a ser avaliada.

Regressar ao início

Acesso através de membros do grupo

Se estiver a gerir o acesso remoto com base em grupos, clique em Controlar o acesso através da política de acesso remoto (Control access through remote access policy) em todas as contas de utilizador. Crie um grupo do Windows 2000 com membros que tenham permissão para criar ligações VPN. Se o servidor VPN só permitir ligações VPN, elimine a política de acesso remoto predefinida denominada Permitir o acesso se as permissões de acesso telefónico estiverem activas (Allow Access If Dial-In Permission Is Enabled). Em seguida, crie uma nova política de acesso remoto com um nome descritivo como, por exemplo, "Acesso a VPN, se for membro de um grupo com permissão para VPN" e, em seguida, atribua ao grupo Windows 2000 à política.

Se o servidor VPN também permitir serviços de acesso remoto de acesso telefónico à rede, não elimine a política predefinida; em vez disso, mova-a de modo a ser a última política a ser avaliada.

Regressar ao início

Como configurar uma ligação de rede privada virtual a partir de um computador cliente

Para configurar uma ligação para uma VPN:

No computador cliente, confirme se a ligação à Internet está configurada correctamente.

Clique em Iniciar (Start), aponte para Definições (Settings) e, em seguida, clique em Ligações de acesso telefónico e de rede (Network and Dial-Up Connections).

Clique em Criar nova ligação (Make New Connection).

Clique em Seguinte (Next) e, em seguida, clique em Aceder a uma rede privada através da Internet (Connect To A Private Network Through The Internet) e, em seguida, clique em Seguinte (Next).

Efectue um dos seguintes procedimentos:

Se utiliza uma ligação de acesso telefónico para se ligar à Internet, clique em Marcar automaticamente esta ligação inicial (Automatically Dial This Initial Connection) e, em seguida, seleccione a ligação de acesso telefónico à Internet na lista.

Se utiliza uma ligação permanente (por exemplo, um modem por cabo), clique em Não marcar a ligação inicial (Do Not Dial The Initial Connection).

Clique em Seguinte (Next).

Escreva o nome do anfitrião (por exemplo, Microsoft.com) ou o endereço IP (por exemplo, 123.123.123.123) do computador com o qual pretende estabelecer ligação e, em seguida, clique em Seguinte (Next).

Clique para seleccionar Para todos os utilizadores (For All Users) se pretender que a ligação esteja disponível para todos os utilizadores que iniciem sessão no computador, ou clique para seleccionar Apenas para mim (Only For Myself) para que esta apenas esteja disponível quando iniciar sessão. Clique em Seguinte (Next).

Escreva um nome descritivo para a ligação e, em seguida, clique em Concluir (Finish).

NOTA: Esta opção só estará disponível se tiver iniciado sessão como membro do grupo de administradores.

Clique em Iniciar (Start), aponte para Definições (Settings) e, em seguida, clique em Ligações de acesso telefónico e de rede (Network and Dial-Up Connections).

Faça duplo clique na nova ligação.

Clique em Propriedades (Properties) para configurar as opções da ligação:

Se estiver a estabelecer ligação com um domínio, clique no separador Opções (Options) e, e seguida, clique para seleccionar a caixa de verificação Incluir domínio de início de sessão do Windows (Include Windows logon domain) para especificar se deverão ser pedidas informações de domínio de início de sessão do Windows 2000 antes de tentar estabelecer ligação.

Se pretender que a ligação seja novamente marcada no caso de a linha cair, clique no separador Opções (Options) e, e seguida, clique para seleccionar a caixa de verificação Marcar novamente se a linha cair (Redial if line is dropped).

Para estabelecer a ligação:

Clique em Iniciar (Start), aponte para Definições (Settings) e, em seguida, clique em Ligações de acesso telefónico e de rede (Network and Dial-Up Connections).

Faça duplo clique na nova ligação.

Se, de momento, não tiver uma ligação à Internet, o Windows oferecer-se-á para a estabelecer.

Uma vez estabelecida a ligação com a Internet, o servidor VPN pedir-lhe-á o nome de utilizador e a palavra-passe. Introduza o nome de utilizador e a palavra-passe e clique em Marcar (Connect); em seguida, os recursos da rede deverão ficar disponíveis da mesma forma que acontece quando se liga directamente à rede.

NOTA: Para se desligar da VPN, clique com o botão direito do rato no ícone da ligação e, em seguida, clique em Desligar (Disconnect).

Regressar ao início

Resolução de problemas

Resolução de problemas com redes privadas virtuais de acesso remoto

Não é possível estabelecer uma ligação VPN de acesso remoto

Causa: O nome do computador do cliente é igual ao nome de outro computador da rede.

Solução: Certifique-se de que os nomes de todos os computadores existentes na rede e com ligação à rede utilizam nomes exclusivos.

Causa: O serviço Encaminhamento e acesso remoto (Routing and Remote Access) não foi iniciado no servidor VPN.

Solução: Verifique o estado do serviço Encaminhamento e acesso remoto (Routing and Remote Access) no servidor VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: monitorizar o serviço de encaminhamento e acesso remoto; iniciar e parar o serviço de encaminhamento e acesso remoto.

Causa: O acesso remoto não está activado no servidor VPN.

Solução: Active o acesso remoto no servidor VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: activar o servidor de acesso remoto

Causa: As portas PPTP ou L2TP não estão activadas para pedidos de acesso remoto a receber.

Solução: Active as portas PPTP ou L2TP, ou ambas, de modo a permitir pedidos de acesso remoto a receber. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar portas para o acesso remoto

Causa: Os protocolos de rede local utilizados pelos clientes VPN não estão activados para o acesso remoto no servidor VPN.

Solução: Active os protocolos de rede local utilizados pelos clientes VPN de modo a permitir o acesso remoto no servidor VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: visualizar as propriedades do servidor de acesso remoto

Causa: Já estão a ser utilizadas todas as portas PPTP ou L2TP no servidor VPN por parte dos clientes de acesso remoto ou dos routers de marcação a pedido actualmente ligados.

Solução: Certifique-se de que não estão a ser utilizadas todas as portas PPTP ou L2TP no servidor VPN clicando em Portas (Ports) em Encaminhamento e acesso remoto (Routing and Remote Access) Se for necessário, altere o número de portas PPTP ou L2TP para permitir mais ligações simultâneas. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar portas PPTP ou L2TP.

Causa: O protocolo de utilização de túnel do cliente VPN não é suportado pelo servidor VPN.

Por predefinição, os clientes VPN de acesso remoto do Windows 2000 utilizam a opção de tipo de servidor Automático (Automatic), o que significa que, em primeiro lugar, tentam estabelecer uma ligação VPN baseada em L2TP via IPSec e, em seguida, tentam estabelecer uma ligação VPN baseada em PPTP. Se os clientes VPN utilizarem a opção de tipo de servidor Point-to-Point Tunneling Protocol (PPTP) ou Layer-2 Tunneling Protocol (L2TP), certifique-se de que o protocolo de utilização de túnel seleccionado é suportado pelo servidor VPN.

Por predefinição, um computador com o Windows 2000 Server e o serviço Encaminhamento e acesso remoto (Routing and Remote Access) é um servidor de PPTP e L2TP com cinco portas L2TP e cinco portas PPTP. Para criar um servidor só com PPTP, defina o número de portas L2TP como zero. Para criar um servidor só com L2TP, defina o número de portas PPTP como zero.

Solução: Certifique-se de que está configurado o número correcto de portas PPTP ou L2TP. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar portas PPTP ou L2TP.

Causa: O cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, não estão configurados para utilizar, pelo menos, um método de autenticação comum.

Solução: Configure o cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, para utilizar, pelo menos, um método de autenticação comum. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar a autenticação.

Causa: O cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, não estão configurados para utilizar, pelo menos, um método de encriptação comum.

Solução: Configure o cliente VPN e o servidor VPN, juntamente com uma política de acesso remoto, para utilizar, pelo menos, um método de encriptação comum. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar a encriptação.

Causa: A ligação VPN não tem as permissões apropriadas através das propriedades de acesso telefónico das políticas de conta de utilizador e de acesso remoto.

Solução: Certifique-se de que a ligação VPN tem as permissões apropriadas através das propriedades de acesso telefónico das políticas de conta de utilizador e de acesso remoto. Para que a ligação seja estabelecida, as definições da tentativa de ligação terão de:

Cumprir todas as condições de, pelo menos, uma política de acesso remoto.

Obter permissão de acesso remoto através da conta de utilizador (definida para Permitir acesso (Allow Access)) ou através da conta de utilizador (definida para Controlar acesso através de 'Política de acesso remoto' [Control access through Remote Access Policy]) e da permissão de acesso remoto da política de acesso remoto correspondente (definida para Conceder permissão de acesso remoto [Grant remote access permission]).

Cumprir todas as definições do perfil.

Cumprir todas as definições das propriedades de acesso telefónico da conta de utilizador.

Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: introdução às políticas de acesso remoto; aceitar uma tentativa de ligação.

Causa: As definições do perfil de política de acesso remoto estão em conflito com as propriedades do servidor VPN.

Tanto as propriedades do perfil de política de acesso remoto como as propriedades do servidor VPN contêm definições para:

Multiligação

Protocolo de atribuição de largura de banda

Protocolos de autenticação

Se as definições do perfil da política de acesso remoto correspondente estiverem em conflito com as definições do servidor VPN, a tentativa de ligação será rejeitada. Por exemplo, se o perfil da política de acesso remoto correspondente especificar que o protocolo de autenticação EAP-TLS tem de ser utilizado e o protocolo EAP não estiver activado no servidor VPN, a tentativa de ligação será rejeitada.

Solução: Certifique-se de que as definições do perfil de política de acesso remoto não estão em conflito com as propriedades do servidor VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: activar protocolos de autenticação; configurar a autenticação.

Causa: O router de resposta não consegue validar as credenciais do router de chamada (nome de utilizador, palavra-passe e nome de domínio).

Solução: Certifique-se de que as credenciais do cliente VPN (nome de utilizador, palavra-passe e nome de domínio) estão correctas e de que podem ser validadas pelo servidor VPN.

Causa: Não existem endereços suficientes no conjunto de endereços IP estático.

Solução: Se o servidor VPN for configurado com um conjunto de endereços IP estático, certifique-se de que existem endereços suficientes no conjunto. No caso de todos os endereços contidos no conjunto estático terem sido atribuídos a clientes VPN ligados, o servidor VPN não conseguirá atribuir um endereço IP e a tentativa de ligação será rejeitada. Modifique o conjunto de endereços IP estático, se for necessário. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: TCP/IP e acesso remoto; criar um conjunto de endereços IP estático.

Causa: O cliente VPN foi configurado para pedir o respectivo número de nó IPX e o servidor VPN não foi configurado para permitir que clientes IPX peçam os respectivos números de nó IPX.

Solução: Configure o servidor VPN para permitir que clientes IPX peçam os respectivos números de nó IPX. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: IPX e acesso remoto.

Causa: O servidor VPN foi configurado com um intervalo de números de rede IPX que estão a ser utilizados noutro local da rede IPX.

Solução: Configure o servidor VPN com um intervalo de números de rede IPX que seja exclusivo da rede IPX. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: IPX e acesso remoto.

Causa: O fornecedor de autenticação do servidor VPN não está configurado correctamente.

Solução: Verifique a configuração do fornecedor de autenticação. Pode configurar o servidor VPN de modo a utilizar o Windows 2000 ou o RADIUS para autenticar as credenciais do cliente VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: fornecedores de autenticação e de contas; utilizar a autenticação RADIUS.

Causa: O servidor VPN não consegue aceder ao Active Directory.

Solução: Para um servidor VPN que seja um servidor membro num domínio do Windows 2000 de modo misto ou nativo configurado para a autenticação do Windows 2000, certifique-se de que:

O grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers) existe. Caso contrário, crie o grupo e defina o tipo de grupo para Segurança (Security) e o âmbito do grupo para Domínio local (Domain local).

O grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers) tem a permissão Ler (Read) para o objecto Verificação de acesso de servidores de RAS e IAS (RAS and IAS Servers Access Check).

A conta de computador do servidor VPN é um membro do grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers). Pode utilizar o comando netsh ras show registeredserver para visualizar o registo actual. Pode utilizar o comando "netsh ras add registeredserver" para registar o servidor num domínio especificado.

Se adicionar (ou remover) o computador do servidor VPN ao grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers), a alteração não entrará imediatamente em vigor (devido à forma como o Windows 2000 coloca as informações do Active Directory em cache). Para que esta alteração seja imediatamente aplicada, terá de reiniciar o computador do servidor VPN.

Para um domínio em modo nativo, o servidor VPN foi associado ao domínio.

Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: adicionar um grupo; verificar permissões do grupo de segurança RAS e IAS; comandos NetShell para acesso remoto.

Causa: Um servidor VPN que utilize o Windows NT 4.0 não pode validar pedidos de ligação.

Solução: Se os clientes VPN estiverem a efectuar a marcação para um servidor VPN com o Windows NT 4.0 que faça parte de um domínio de modo misto do Windows 2000, certifique-se de que o grupo Todos (Everyone) foi adicionado ao grupo Acesso compatível com anterior ao Windows 2000 (Pre-Windows 2000 Compatible Access) com o comando "net localgroup "Acesso compatível com anterior ao Windows 2000"". Caso contrário, escreva net localgroup "Acesso compatível com anterior ao Windows 2000" everyone /add numa linha de comandos no computador de um controlador de domínio e, em seguida, reinicie o computador do controlador de domínio. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: servidor de acesso remoto com o Windows NT 4.0 num domínio do Windows 2000.

Causa: O servidor VPN não consegue comunicar com o servidor RADIUS configurado.

Solução: Se só for possível contactar o servidor RADIUS através da interface da Internet, adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1812 (com base no RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)") ou porta UDP 1645 (para servidores RADIUS mais antigos) com vista à autenticação de RADIUS e para a porta UDP 1813 (com base no RFC 2139, "RADIUS Accounting") ou porta UDP 1646 (para servidores RADIUS mais antigos) para as contas de RADIUS. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar um filtro de pacotes.

Causa: Não é possível ligar ao servidor VPN através da Internet usando o utilitário Ping.exe.

Solução: Devido à filtragem de pacotes PPTP e L2TP via IPSec configurada na interface da Internet do servidor VPN, os pacotes de ICMP (Internet Control Message Protocol) utilizados pelo comando ping foram excluídos. Para permitir que o servidor VPN responda a pacotes (ping) de ICMP, terá de adicionar um filtro de entrada e um filtro de saída que permita o tráfego do protocolo IP 1 (tráfego ICMP). Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar um filtro de pacotes.

Regressar ao início

Resolução de problemas com redes privadas virtuais entre routers

Não foi possível estabelecer uma ligação VPN entre routers

Causa: O serviço Encaminhamento e acesso remoto (Routing and Remote Access) não foi iniciado no cliente VPN (o router de chamada) nem no servidor VPN (o router de resposta).

Solução: Verifique o estado do serviço Encaminhamento e acesso remoto (Routing and Remote Access) no cliente VPN e no servidor VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: monitorizar o serviço de encaminhamento e acesso remoto; iniciar e parar o serviço de encaminhamento e acesso remoto.

Causa: O encaminhamento de LAN e WAN não foi activado no router de chamada nem no router de resposta.

Solução: Active a opção Encaminhamento local e remoto (router de LAN e WAN) (Local and remote routing (LAN and WAN router)) no router de chamada e no router de resposta. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: activar o encaminhamento de LAN e WAN.

Causa: As portas PPTP ou L2TP não foram activadas para ligações de encaminhamento de marcação a pedido a receber e a enviar.

Solução: Activar as portas PPTP ou L2TP, ou ambas, para ligações de encaminhamento de marcação a pedido a receber e a enviar. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: activar o encaminhamento nas portas.

Causa: Já estão a ser utilizadas todas as portas PPTP ou L2TP no router de chamada ou de resposta por parte dos clientes de acesso remoto ou dos routers de marcação a pedido actualmente ligados.

Solução: Certifique-se de que não estão a ser utilizadas todas as portas PPTP ou L2TP no servidor VPN clicando em Portas (Ports) em Encaminhamento e acesso remoto (Routing and Remote Access) Se for necessário, altere o número de portas PPTP ou L2TP para permitir mais ligações simultâneas. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar portas PPTP ou L2TP.

Causa: O protocolo de utilização de túnel utilizado pelo router de chamada não é suportado pelo router de resposta.

Por predefinição, as interfaces de marcação a pedido do Windows 2000 utilizam a opção de tipo de servidor Automático (Automatic), o que significa que, em primeiro lugar, tentam estabelecer uma ligação VPN baseada em L2TP via IPSec e, em seguida, tentam estabelecer uma ligação VPN baseada em PPTP. Se os routers de chamada utilizarem a opção de tipo de servidor Point-to-Point Tunneling Protocol (PPTP) ou Layer-2 Tunneling Protocol (L2TP), certifique-se de que o protocolo de utilização de túnel seleccionado é suportado pelo router de resposta.

Por predefinição, um computador com o Windows 2000 Server e o serviço Encaminhamento e acesso remoto (Routing and Remote Access) é um router de marcação a pedido compatível com PPTP e L2TP com cinco portas L2TP e cinco portas PPTP. Para criar um router só com PPTP, defina o número de portas L2TP como zero. Para criar um router só com L2TP, defina o número de portas PPTP como zero.

Solução: Certifique-se de que está configurado o número correcto de portas PPTP ou L2TP nos routers de chamada e de resposta. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar portas PPTP ou L2TP.

Causa: O router de chamada e o router de resposta, juntamente com uma política de acesso remoto, não estão configurados para utilizar, pelo menos, um método de autenticação comum.

Solução: Configure o router de chamada e o router de resposta, juntamente com uma política de acesso remoto, para utilizarem, pelo menos, um método de autenticação comum. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar a autenticação.

Causa: O router de chamada e o router de resposta, juntamente com uma política de acesso remoto, não estão configurados para utilizar, pelo menos, um método de encriptação comum.

Solução: Configure o router de chamada e o router de resposta, juntamente com uma política de acesso remoto, para utilizarem, pelo menos, um método de encriptação comum. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar a encriptação.

Causa: A ligação VPN não tem as permissões apropriadas através das propriedades de acesso telefónico das políticas de conta de utilizador e de acesso remoto.

Solução: Certifique-se de que a ligação VPN tem as permissões apropriadas através das propriedades de acesso telefónico das políticas de conta de utilizador e de acesso remoto. Para que a ligação seja estabelecida, as definições da tentativa de ligação terão de:

Cumprir todas as condições de, pelo menos, uma política de acesso remoto.

Obter permissão de acesso remoto através da conta de utilizador (definida para Permitir acesso [Allow Access]) ou através da conta de utilizador (definida para Controlar acesso através de 'Política de acesso remoto' [Control access through Remote Access Policy]) e da permissão de acesso remoto da política de acesso remoto correspondente (definida para Conceder permissão de acesso remoto [Grant remote access permission]).

Cumprir todas as definições do perfil.

Cumprir todas as definições das propriedades de acesso telefónico da conta de utilizador.

Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: introdução às políticas de acesso remoto; aceitar uma tentativa de ligação.

Causa: As definições do perfil de política de acesso remoto estão em conflito com as propriedades do router de resposta. Tanto as propriedades do perfil de política de acesso remoto como as propriedades do router de resposta contêm definições para:

Multiligação

Protocolo de atribuição de largura de banda

Protocolos de autenticação

Se as definições do perfil da política de acesso remoto correspondente estiverem em conflito com as definições do router de resposta, a tentativa de ligação será rejeitada. Por exemplo, se o perfil da política de acesso remoto correspondente especificar que o protocolo de autenticação EAP-TLS tem de ser utilizado e o protocolo EAP não estiver activado no router de resposta, a tentativa de ligação será rejeitada.

Solução: Certifique-se de que as definições do perfil de política de acesso remoto não estão em conflito com as propriedades do router de acesso remoto. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: activar protocolos de autenticação; configurar a autenticação.

Causa: As credenciais do router de chamada (nome de utilizador, palavra-passe e nome de domínio) estão incorrectas, não podendo ser validadas pelo router de resposta.

Solução: Certifique-se de que as credenciais do router de chamada (nome de utilizador, palavra-passe e nome de domínio) estão correctas, podendo ser validadas pelo router de resposta.

Causa: Não existem endereços suficientes no conjunto de endereços IP estático.

Solução: Se o router de resposta for configurado com um conjunto de endereços IP estático, certifique-se de que existem endereços suficientes no conjunto. No caso de todos os endereços contidos no conjunto estático terem sido atribuídos a clientes de acesso remoto ou routers de marcação a pedido ligados, o router de resposta não conseguirá atribuir um endereço IP e a tentativa de ligação será rejeitada. Modifique o conjunto de endereços IP estático, se for necessário. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: TCP/IP e acesso remoto; criar um conjunto de endereços IP estático.

Causa: O router de resposta foi configurado com um intervalo de números de rede IPX que estão a ser utilizados noutro local da rede IPX.

Solução: Configure o router de resposta com um intervalo de números de rede IPX que seja exclusivo da rede IPX. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: IPX e acesso remoto.

Causa: O fornecedor de autenticação do router de resposta não está configurado correctamente.

Solução: Verifique a configuração do fornecedor de autenticação. Pode configurar o router de resposta de modo a utilizar o Windows 2000 ou o RADIUS para autenticar as credenciais do cliente VPN. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: fornecedores de autenticação e de contas; utilizar a autenticação RADIUS.

Causa: O router de resposta não consegue aceder ao Active Directory.

Solução: Para um router de resposta que seja um servidor membro num domínio do Windows 2000 de modo misto ou nativo configurado para a autenticação do Windows 2000, certifique-se de que:

O grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers) existe. Caso contrário, crie o grupo e defina o tipo de grupo para Segurança (Security) e o âmbito do grupo para Domínio local (Domain local).

O grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers) tem a permissão Ler (Read) para o objecto Verificação de acesso de servidores de RAS e IAS (RAS and IAS Servers Access Check).

A conta de computador do router de resposta é um membro do grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers). Pode utilizar o comando netsh ras show registeredserver para visualizar o registo actual. Pode utilizar o comando netsh ras add registeredserver para registar o servidor num domínio especificado.

Se adicionar ou remover o computador do router de resposta do grupo de segurança Servidores de IAS e RAS (RAS and IAS Servers), a alteração não entrará imediatamente em vigor (devido à forma como o Windows 2000 coloca as informações do Active Directory em cache). Para que a alteração seja imediatamente aplicada, terá de reiniciar o computador do router de resposta.

Para um domínio em modo nativo, o router de resposta foi associado ao domínio.

Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: adicionar um grupo; verificar permissões do grupo de segurança RAS e IAS; comandos NetShell para acesso remoto.

Causa: Um router de resposta que utilize o Windows NT 4.0 com o serviço de encaminhamento e acesso remoto (RRAS, Routing and Remote Access Service) não pode validar pedidos de ligação.

Solução: Se os routers de chamada estiverem a efectuar a marcação para um router de resposta que utilize o Windows NT 4.0 com RRAS que faça parte de um domínio de modo misto do Windows 2000, certifique-se de que o grupo Todos (Everyone) foi adicionado ao grupo Acesso compatível com anterior ao Windows 2000 (Pre-Windows 2000 Compatible Access) com o comando net localgroup "Acesso compatível com anterior ao Windows 2000" . Caso contrário, escreva net localgroup "Acesso compatível com anterior ao Windows 2000" everyone /add numa linha de comandos no computador de um controlador de domínio e, em seguida, reinicie o computador do controlador de domínio. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: servidor de acesso remoto com o Windows NT 4.0 num domínio do Windows 2000.

Causa: O router de resposta não consegue comunicar com o servidor RADIUS configurado.

Solução: Se só for possível contactar o servidor RADIUS através da interface da Internet, adicione um filtro de entrada e um filtro de saída à interface da Internet para a porta UDP 1812 (com base no RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)") ou porta UDP 1645 (para servidores RADIUS mais antigos) com vista à autenticação de RADIUS e para a porta UDP 1813 (com base no RFC 2139, "RADIUS Accounting") ou porta UDP 1646 (para servidores RADIUS mais antigos) para as contas de RADIUS. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar um filtro de pacotes.

Causa: Não é possível ligar ao router de resposta a partir da Internet usando o utilitário Ping.exe.

Solução: Devido à filtragem de pacotes PPTP e L2TP via IPSec configurada na interface da Internet do router de resposta, os pacotes ICMP (Internet Control Message Protocol) utilizados pelo comando Ping foram excluídos. Para permitir que o router de resposta responda a pacotes ICMP, terá de adicionar um filtro de entrada e um filtro de saída que permita o tráfego do protocolo IP 1 (tráfego ICMP). Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar um filtro de pacotes.

Não é possível enviar e receber dados

Causa: Não foi adicionada a interface de marcação a pedido correcta ao protocolo a ser encaminhado.

Solução: Adicione a interface de marcação a pedido correcta ao protocolo a ser encaminhado. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: adicionar uma interface de encaminhamento.

Causa: Não existem rotas nas duas extremidades da ligação VPN entre routers que suportem a troca bidireccional de tráfego.

Solução: Ao contrário de uma ligação VPN de acesso remoto, uma ligação VPN entre routers não cria automaticamente uma rota predefinida. Necessita de criar rotas em ambas as extremidades da ligação VPN entre routers para que o tráfego possa ser encaminhado em ambos os sentidos da ligação VPN entre routers.

Pode adicionar rotas estáticas à tabela de encaminhamento manualmente ou através de protocolos de encaminhamento. Para as ligações VPN permanentes, poderá activar a funcionalidade OSPF (Open Shortest Path First) ou o protocolo RIP (Routing Information Protocol) na ligação VPN. Relativamente às ligações VPN a pedido, poderá actualizar automaticamente as rotas através de uma actualização de RIP auto-estática. Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: adicionar um protocolo de encaminhamento IP; adicionar uma rota estática; efectuar actualizações auto-estáticas.

Causa: Uma ligação VPN de dois sentidos iniciada entre routers está a ser interpretada pelo router de resposta como uma ligação de acesso remoto.

Solução: Se o nome de utilizador presente nas credenciais do router de chamada for apresentado abaixo de Clientes por acesso telefónico (Dial-In Clients) em Encaminhamento e acesso remoto (Routing and Remote Access), o router de resposta poderá interpretar o router de chamada como um cliente de acesso remoto. Certifique-se de que o nome de utilizador presente nas credenciais do router de chamada corresponde ao nome de uma interface de marcação a pedido existente no router de resposta. Se o autor da chamada a receber for um router, a porta na qual a chamada foi recebida apresentará o estado Activo (Active) e a interface de marcação a pedido correspondente terá o estado Ligado (Connected). Consulte a ajuda online do Windows 2000 para obter mais informações sobre os seguintes tópicos: verificar o estado da porta no router de resposta; verificar o estado da interface de marcação a pedido.

Causa: Os filtros de pacotes presentes nas interfaces de marcação a pedido dos routers de chamada e de resposta estão a impedir o fluxo do tráfego.

Solução: Certifique-se de que não existem filtros de pacotes presentes nas interfaces de marcação a pedido dos routers de chamada e de resposta que impeçam o envio e recepção de tráfego. Pode configurar cada uma das interfaces de marcação a pedido com filtros de entrada e saída IP e IPX para controlar a origem exacta do tráfego de TCP/IP e IPX com permissão para entrar e sair da interface de marcação a pedido. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: gerir filtros de pacotes.

Causa: Os filtros de pacotes existentes no perfil de política de acesso remoto estão a impedir o fluxo de tráfego IP.

Solução: Certifique-se de que não existem filtros de pacotes TCP/IP configurados nas propriedades de perfil das políticas de acesso remoto contidas no servidor VPN (ou no servidor RADIUS, no caso de o serviço de autenticação da Internet, IAS, estar a ser utilizado) que estejam a impedir o envio ou recepção do tráfego de TCP/IP. Pode utilizar políticas de acesso remoto para configurar filtros de pacotes de entrada e saída de TCP/IP que controlem a origem exacta do tráfego de TCP/IP permitido na ligação VPN. Certifique-se de que os filtros de pacotes de TCP/IP do perfil não estão a impedir o fluxo de tráfego necessário. Consulte a ajuda online do Windows 2000 para obter mais informações sobre o seguinte tópico: configurar opções de IP.

Regressar ao início

REFERÊNCIAS

Para obter informações adicionais sobre segurança nas redes privadas virtuais, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (Microsoft Knowledge Base):

Q255784 Increasing Security on Windows 2000 VPN Server

Para obter informações adicionais sobre como criar uma ligação VPN com o Windows XP, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (Microsoft Knowledge Base):

PT305550: Configurar uma ligação VPN à rede da empresa no Windows XP Professional

[jorgembarros]

Olá Rodrigo, agora um pouco de protocolo PPP:

Abraços

Jorge Barros -

Entendendo os Protocolos de Autenticação PPP (Rede)

A autenticação é um dos pontos forte na segurança de qualquer sistema pois sua finalidade é atravessar os mecanismos de segurança para autenticar o usuário, autorizando ou não a sua conexão.

A autenticação PPP é realizada por um processo na segunda fase da conexão. Durante a primeira fase, ambos - servidor e cliente concordam em utilizar um único e específico canal de comunicação chamado Protocolo PPP (Point to Point Protocol - Protocolo de ponto a ponto).

A família Windows suporta os seguintes protocolos de autenticação remota PPP: Password Authentication Protocol (PAP), Shiva Password Authentication Protocol (SPAP), Challenge Handshake Authentication Protocol (CHAP) e Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) versões 1 e 2. Esses protocolos de autenticação visam prover, mas não garantem totalmente, proteção contra ataques de retomada, personificação de cliente remoto e do servidor de acesso remoto.

Como acontecem os ataques nas conexões PPP

· Um ataque de retomada acontece quando um terceiro computador captura os pacotes de uma conexão em andamento entre dois computadores e então, joga de novo esses pacotes numa tentativa de obter uma conexão autenticada.

<div class='bbimg'>http://www.clubedasredes.eti.br/images/AutentPPP.gif' border='0' alt='Imagem postada pelo usuário' /></div>

· A personificação de cliente remoto acontece quando um terceiro computador assume uma conexão já autenticada entre dois computadores. O intruso espera até a conexão entre os computadores seja autenticada e então, obtém os parâmetros de conexão, desconecta o usuário do segundo computador e leva o controle da conexão já autenticada.

<div class='bbimg'>http://www.clubedasredes.eti.br/images/AutentPPP1.gif' border='0' alt='Imagem postada pelo usuário' /></div>

· A personificação de servidor de acesso remoto acontece quando um terceiro computador se passa perante ao segundo, cliente de acesso remoto, como sendo o servidor de autenticação remota. O falso servidor verifica as credenciais do cliente remoto e então começa capturar todo o tráfico dele.

<div class='bbimg'>http://www.clubedasredes.eti.br/images/AutentPPP2.gif' border='0' alt='Imagem postada pelo usuário' /></div>

A descrição de como os protocolos operam

PAP

O Password Authentication Protocol (PAP) é um protocolo de autenticação de texto em formato simples. O nome do usuário e senha são esperados pelo servidor de acesso remoto e são enviados pelo cliente remoto em texto de formato simples. Porém, o protocolo PAP não é um protocolo de autenticação seguro. Um usuário remoto que capture pacotes de um segmento de rede aonde esta acontecendo uma conexão autenticada por esse protocolo, vai obter de maneira fácil e rápida o usuário e senha entre essa autenticação. Ele também não oferece nenhuma proteção contra ataques de retomada, personificação de cliente ou do servidor de autenticação.

O uso do protocolo PAP é negociado durante a negociação do protocolo LCP (Link Control Protocol). Uma vez que a negociação do protocolo LCP esteja estabelecida, mensagens do protocolo PAP vão usar o ID 0xC0-23 do protocolo PPP.

O PAP é um protocolo de troca de mensagens simples:

- o cliente de acesso remoto envia uma mensagem de pedido de autenticação PAP ao servidor de acesso remoto contendo o nome de usuário e senha do cliente em texto de formato simples;

- o servidor de acesso remoto então confere o nome de usuário e senha do cliente e envia de volta uma mensagem PAP Authenticate-Ack quando as credenciais do usuário estiverem corretas ou uma mensagem PAP Authenticate-Nak quando as credenciais do usuário estiverem incorretas.

O protocolo PAP esta incluído na família de servidores e clientes Windows. E possível então que clientes de acesso remoto Windows possam conectar a servidores de acesso remotos mais antigos e que não utilizem protocolos de autenticação segura. Outros clientes de acesso remoto que também não estejam usando sistemas operacionais da Microsoft e que por acaso não apoiem protocolos de acesso remoto seguro, vão poder se conectar a um servidor de acesso remoto Windows.

Para fazer com que o seu servidor de acesso remoto seja seguro, assegure-se que o protocolo de autenticação PAP esteja desabilitado. Porém, clientes de acesso remoto mais antigos ou os que não apoiem protocolos de autenticação seguros estarão impossibilitados de se conectar ao servidor.

SPAP

O Shiva Password Authentication Protocol (SPAP) é um protocolo de mão dupla. Servidores de acesso remoto Shiva empregam mecanismo de criptografia reversível. Um cliente de acesso remoto Windows pode usar o protocolo SPAP para se autenticar em um servidor Shiva. Pode também usar o protocolo SPAP para se autenticar em um servidor de acesso remoto da família Windows. O protocolo SPAP é mais seguro do que o protocolo PAP mas, menos seguro que o protocolo CHAP ou MS-CHAP. Esse protocolo não oferece nenhuma proteção contra personificação do servidor de acesso remoto.

O uso do protocolo SPAP é negociado durante a negociação do protocolo LCP (Link Control Protocol). Uma vez que a negociação do protocolo LCP esteja estabelecida, mensagens do protocolo SPAP vão usar o ID 0xC0-27 do protocolo PPP.

Assim como o PAP, o SPAP também é um protocolo simples de troca de mensagens:

- o cliente de acesso remoto envia um pedido de autenticação SPAP contendo o nome de usuário e senha codificada do cliente remoto;

- o servidor de acesso remoto decifra a senha e confere o nome de usuário e envia de volta uma mensagem SPAP Authenticate-Ack quando as credenciais do usuário estiverem corretas ou uma mensagem SPAP Authenticate-Nak com a razão pelo qual as credenciais do usuário estavam incorretas.

CHAP

O Challenge Handshake Authentication Protocol (CHAP) é um protocolo de autenticação de desafio de resposta documentado na RFC 1994. Ele usa o protocolo de criptografia Message Digest 5 (MD5) de um só sentido para responder a um desafio de resposta hash emitido pelo servidor de acesso remoto.

O protocolo CHAP é usado por vários servidores e clientes Dial-up inclusive os da família Windows.

O protocolo CHAP é uma melhoria em cima dos protocolos PAP e SPAP pois a senha, nunca é enviada em cima da primeira mensagem. Ao invés, a senha é usada para criar uma string hash de desafio de um só sentido. O servidor sabe a senha do cliente e duplica a operação para comparar o resultado das respostas do cliente.

O uso do protocolo CHAP é negociado durante a negociação do protocolo LCP (Link Control Protocol) e usa o algoritmo 0x05. Uma vez que a negociação do protocolo LCP esteja estabelecida, mensagens do protocolo CHAP vão usar o ID 0xC2-23 do protocolo PPP.

O CHAP é um protocolo de troca de mensagens que usa três mensagens:

- o servidor de acesso remoto envia uma mensagem de desafio CHAP que contém uma chave de sessão e um string hash de desafio arbitrário;

- o cliente de acesso remoto devolve uma mensagem de resposta CHAP que contém o nome de usuário em texto simples, uma string hash de desafio, a chave de sessão e a senha do cliente usando o algoritmo Message Digest 5 (MD5) de um só sentido;

- o servidor de acesso remoto duplica a string hash e compara com a string hash da resposta CHAP. Se as strings hashes são as mesmas, o servidor manda de volta uma mensagem de sucesso CHAP. Se as strings hashes são diferentes, uma mensagem de fracasso CHAP é enviada.

O protocolo CHAP protege contra ataques de retomada usando um string hash de desafio arbitrário por tentativa de autenticação. Porém, ele não protege contra personificação de servidor remoto.

MS-CHAP v1

O Challenge Handshake Authentication Protocol versão 1 (MS-CHAP v1) é um protocolo de autenticação codificado bem parecido com o CHAP. Como no protocolo CHAP o servidor de acesso remoto envia um desafio ao cliente remoto que consiste em uma chave de sessão e um string hash de desafio arbitrário. O cliente remoto tem que devolver o nome de usuário e um string hash de desafio em Message Digest 4 (MD4), a chave sessão e a senha em MD4 também.

Uma diferença entre o CHAP e MS-CHAP v1 é que, no CHAP, a versão de texto simples da senha deve estar disponível para validar a resposta de desafio. No MS-CHAP v1, o servidor de acesso remoto exige só a string hash MD4 da senha para validar a resposta de desafio.

O uso do protocolo MS-CHAP v1 é negociado durante a negociação do protocolo LCP (Link Control Protocol) e usa o algoritmo 0x80. Uma vez que a negociação do protocolo LCP esteja estabelecida, mensagens do protocolo MS-CHAP v1 vão usar o ID 0xC2-23 do protocolo PPP.

O MS-CHAP v1 é um protocolo de troca de mensagens que usa três mensagens:

- o servidor de acesso remoto envia uma mensagem de desafio MS-CHAP que contém uma chave de sessão e um string hash de desafio arbitrário;

- o cliente remoto devolve uma mensagem de resposta MS-CHAP que contém o nome de usuário em texto de formato simples e um string hash de desafio, a chave de sessão e a string da senha em formato MD4 de um só sentido;

- o servidor duplica o string hash e compara com a string hash MS-CHAP resposta do cliente. Se as strings hashes são as mesmas, o servidor envia de volta uma mensagem de Sucesso MS-CHAP. Se as strings hashes são diferentes, uma mensagem de Fracasso MS-CHAP será enviada.

O MS-CHAP v1 trabalha com códigos de erro e um deles é, "senha expirou". MS-CHAP v1 protege contra ataques de retomada usando um string hash de desafio arbitrário por tentativa de autenticação. Ele não provê proteção contra personificação de servidor de acesso remoto.

Se o protocolo MS-CHAP v1 estiver sendo usado como protocolo de autenticação e o MPPE for negociado, chaves secretas criptografadas serão geradas a cada escuta PPP.

MS-CHAP v2

O Challenge Handshake Authentication Protocol versão 2 (MS-CHAP v2) é um protocolo de autenticação mutua codificado e que opera de forma parecida com os protocolos CHAP e MS-CHAP v1.

O Windows NT 4.0 com o service pack 4 e o Windows 98 service pack 1 apoiam o protocolo MS-CHAP versão 2 (MS-CHAP v2). Esse protocolo oferece segurança mais forte para conexões de acesso remoto.

O MS-CHAP v2 oferece características de segurança adicionais em relação aos seus antecessores (CHAP e MS-CHAP v1):

- Autenticação de mão dupla. Ela verifica a identidade de ambos os lados da conexão. O cliente de acesso remoto autentica contra o servidor e esse, autentica contra o cliente remoto. Autenticação de mão dupla, também é conhecida como autenticação mútua, pois ela assegura que o cliente remoto está discando para um servidor de acesso remoto que tem acesso à senha do usuário. Autenticação mútua provê proteção contra personificação de servidor remoto;

- Chaves de criptografias separadas são geradas tanto para a transmissão como para recepção dos dados;

- As chaves de criptografia estão baseado na senha do usuário e no string hash de desafio arbitrário. A cada tempo que o usuário se conecta com a mesma senha, uma chave de criptografia diferente é usada.

O uso do protocolo MS-CHAP v2 é negociado durante a negociação do protocolo LCP (Link Control Protocol) e usa o algoritmo 0x81. Uma vez que a negociação do protocolo LCP esteja estabelecida, mensagens do protocolo MS-CHAP v2 vão usar o ID 0xC2-23 do protocolo PPP.

O MS-CHAP v2 é um protocolo de troca de mensagens que usa três mensagens:

- o servidor de acesso remoto envia uma mensagem MS-CHAP v2 de desafio para o cliente de acesso remoto que consiste em uma chave de sessão e um string hash de desafio arbitrário;

- o cliente remoto envia uma mensagem de resposta MS-CHAP v2 contendo: o nome de usuário, uma string hash de desafio arbitrário que ela escutou, uma string hash de desafio que ela recebeu, a chave de sessão e uma string codificada em Message Digest 4 (MD4) da senha do usuário;

- o servidor confere a mensagem resposta MS-CHAP v2 do cliente e envia de volta uma outra mensagem de resposta MS-CHAP v2 contendo: uma indicação do sucesso ou fracasso da tentativa de conexão, uma resposta autenticada baseada na string de desafio enviado, a string de desafio escutada, a resposta codificada do cliente e a senha do usuário.

O cliente remoto verifica se a resposta de autenticação está correta e usa a conexão. Se a resposta de autenticação não está correta, o cliente termina a conexão.

(06/2004).

Luiz Carlos dos Santos

[rodrigomezetti]

Ola meu Amigo, muito obrigado pelo envio do link com o tutorial. Vou dar uma lida na documentação e qualquer coisa eu posto aqui no forum novamente.

Valeu!!!

Atenciosamente,

Rodrigomezetti