Infra - Redes

Tutorial de TCP/IP – Parte 44 - Implementação e Administração do RRAS – Parte 1

A partir desta parte, mostrarei o que é, como trabalhar, implementar e administrar o serviço de Acesso Remoto do Windows 2000 Server, conhecido como RRAS - Routing and Remote Access Service (Serviço de Roteamento e Acesso Remoto).

por Júlio Cesar Fabris Battisti



Introdução

Prezados leitores, esta é a vigésima quarta parte, desta segunda etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o módulo que eu classifiquei como Introdução ao TCP/IP. O objetivo do  primeiro módulo (Partes 01 a 20) foi apresentar o TCP/IP, mostrar como é o funcionamento dos serviços básicos, tais como endereçamento IP e Roteamento e fazer uma apresentação dos serviços relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conexão Internet e NAT. Nesta segunda parte da série, que irá da parte 20 até a parte 40 ou 50 (ou quem sabe até 60), apresentarei as ações práticas, relacionadas com os serviços DNS, DHCP e WINS no Windows 2000 Server. A partir desta parte, mostrarei o que é, como trabalhar, implementar e administrar o serviço de Acesso Remoto do Windows 2000 Server, conhecido como RRAS - Routing and Remote Access Service (Serviço de Roteamento e Acesso Remoto).

Dica: Para uma Introdução a teoria do WINS, consulte o seguinte endereço:
http://www.linhadecodigo.com.br/Artigo.aspx?id=343

Introdução ao RRAS:

Nesta série de tutoriais (bastante extensa) você aprenderá a configurar um servidor com o Windows 2000 Server para exercer o papel de Servidor de Acesso Remoto (Remote Access Server – RAS). No Windows 2000 Server o serviço de acesso remoto é conhecido como RRAS – Routing and Remote Access Service (Serviço de Roteamento e Acesso Remoto).

A função de um servidor de acesso remoto é permitir que os clientes façam uma conexão com a rede da empresa, usando uma linha telefônica comum ou outro meio de conexão remoto, tal como um link ISDN ou ADSL. Quando você faz uma conexão discada com o seu Provedor de Internet, você está fazendo a conexão com o servidor de acesso remoto do Provedor de Internet. Pode este servidor de acesso remoto ser baseado em alguma versão do Windows (NT Server 4.0, Windows 2000 Server ou Windows Server 2003), pode ser baseado em outros sistemas operacionais (UNIX/Linux, Novell, etc) ou pode até mesmo ser um equipamento de hardware dedicado a esta função. O importante é entender a função de um servidor de acesso remoto.

No Windows 2000 Server, o servidor configurado como servidor de acesso remoto, é um servidor com o Windows 2000 Server e o serviço RRAS instalado e no qual está instalado um grupo de modems, para receber as ligações dos usuários. Além de receber a ligação, o servidor de acesso remoto deve ser capaz de verificar as informações de autenticação fornecidas pelo usuário (normalmente logon e senha), verificar se o usuário tem permissão para fazer a conexão remotamente, aplicar as políticas de segurança definidas no servidor RRAS, fornecer um endereço IP para o cliente e definir a quais recursos de rede o cliente que está se conectando terá acesso.

Usando uma metáfora, posso afirmar que o servidor de acesso remoto faz o papel de porteiro. Ele identifica quem está tentando acessar, se conectar a rede, verifica se esta pessoa tem ou não permissão de acesso, quais restrições devem ser aplicadas e a quais áreas esta pessoa poderá ter acesso. Além destas funções todas, o RRAS também fornece ferramentas para que o administrador acompanha o volume de informações que está sendo transmitido pelos clientes conectados remotamente, permite que o administrador gerencie as conexões, podendo inclusive cancelar uma conexão e assim por diante.

Nesta série de tutoriais sobre RRAS no Windows 2000 Server você aprenderá a configurar as diversas opções do serviço de acesso remoto do Windows 2000 Server – RRAS. Este serviço é instalado automaticamente quando o Windows 2000 Server é instalado, porém não é habilitado automaticamente. Você verá que o primeiro passo é habilitar o serviço. Habilitar o serviço significa configurá-lo para que passe a aceitar chamadas remotas.

Também falarei sobre o uso do servidor RADIUS e da implementação deste padrão no Windows 2000 Server, implementação esta conhecida como Internet Authentication Service (IAS). Mostrarei que com o uso do IAS é possível fazer uma administração centralizada das políticas de acesso remoto, bem como fazer a autenticação dos usuários remotos de maneira centralizada.

Na parte final do capítulo você aprenderá a criar e a configurar políticas de acesso remoto no servidor RRAS. Você aprenderá sobre a importância e a aplicação das políticas de acesso remoto. Mostrarei as diferenças entre uma política baseada em uma estratégia Por usuário (Per User) e uma política baseada em uma estratégia Por grupos (Per Group), sendo esta última e estratégia recomendada, pois facilita a implementação, manutenção e gerenciamento das políticas de acesso remoto no servidor RRAS.

Serviço de Acesso Remoto – Fundamentação Teórica:

A necessidade de acesso remoto aos recursos disponíveis na rede da empresa é uma realidade, ninguém questiona. Existem dezenas de exemplos de empresas que melhoraram o funcionamento de diversas atividades com a implementação do acesso remoto à rede da empresa. Vou descrever apenas um deles, mas que salienta exatamente os benefícios do acesso remoto.

Uma grande distribuidora de bebidas de São Paulo enfrentava problemas em relação aos pedidos. A sistemática em uso era a seguinte: Cada vendedor era responsável por uma determinada região e visitava os estabelecimentos da região sob sua responsabilidade. Os pedidos eram preenchidos a mão, usando os tradicionais blocos de pedidos. Ao final do dia o vendedor entregava o bloco de pedidos na sede da empresa. Um funcionário era responsável pela digitação dos pedidos. Após a digitação, as informações eram repassadas para equipe do depósito, a qual carregava os caminhões de acordo com os pedidos do dia. Na manhã seguinte, os pedidos eram entregues. Neste processo ocorriam problemas em diversas etapas. Alguns vendedores tem uma letra parecida com letra de médico, ou seja, ninguém consegue entender, nem mesmo quem escreveu. Isso acarretava muitos erros de digitação, o que fazia com que os caminhões fossem carregados com quantidades incorretas. O resultado prático é que alguns clientes não recebiam o pedido no dia seguinte e um novo envio tinha que ser feito e alguns produtos retornavam para o depósito. Além disso, os pedidos somente eram enviados no dia seguinte, o que poderia ser um problema para clientes que estivessem sem mercadoria, devido a demandas imprevistas. Se houvesse uma nova promoção, a empresa teria que ligar para cada um dos vendedores avisando e por aí vai.

Como esta empresa solucionou estes problemas usando o acesso remoto? A empresa configurou um dos servidores da empresa como um servidor de acesso remoto e instalou neste servidor uma quantidade de modems suficiente para atender o número de vendedores da empresa. Cada vendedor visita o cliente munido de um dispositivo como um Notebook ou PDA. Chegando no cliente, o vendedor faz o pedido (agora digitando no teclado e não escrevendo seus “belos garranchos”). Após finalizar o pedido o vendedor utiliza a linha do cliente e um número 0800 (para que o cliente não tenha que pagar a ligação) para conectar com a rede da empresa e transmitir o pedido. Caso o cliente seja um dos grandes clientes da empresa, o vendedor pode consultar o histórico de vendas para este cliente e fazer ofertas personalizadas. Esta possibilidade tem ajudado a aumentar as vendas. O vendedor também pode consultar informações na Intranet da empresa e responder rapidamente as dúvidas do cliente. Os dados do pedido são transmitidos diretamente para o banco de dados da empresa, o que evita que eles tenham que ser manualmente digitados. Como os pedidos são transmitidos ainda durante a visita do cliente, o caminhão já pode ser carregado. Com isso, os pedidos feitos na parte da manhã, são entregues à tarde. No caso de grandes clientes, o podido pode ser entregue ainda pela manhã, principalmente se o cliente estiver com um baixo estoque.

Todas estas novas funcionalidades, propiciadas pelo acesso remoto, tem favorecido um aumento nas vendas, os problemas de erro de digitação foram minimizados, conseqüentemente os erros na carga dos caminhões também. Observe que tudo é uma corrente, com uma coisa sendo conseqüência da outra. Com a redução nos erros de digitação, que implicaram em redução nos erros de carga, também reduz-se as ocorrências de clientes que não recebem os produtos na data prevista e de produtos retornando para o depósito. Além disso, o vendedor tem condições de, a qualquer momento, acessar a rede da empresa para obter informações completas sobre o cliente, consultar listas de preço, novas promoções e quaisquer informações disponíveis na rede da empresa. O próximo passo será implementar um sistema de pagamentos e financiamento diretamente na Intranet da empresa. Com isso, o vendedor acessará a rede da empresa remotamente, estando no cliente, e terá condições de consultar os pagamentos do cliente, se existe alguma pendência, alterar prazos e fazer uma análise de crédito, com base no histórico do cliente. Estando conectado, o vendedor poderá enviar a solicitação de crédito via email para o gerente. Em poucos instantes, o gerente poderá aprovar a solicitação de crédito e retornar a autorização para o vendedor, o qual fecha a venda com o cliente, com base nas condições aprovadas pelo gerente. Ou seja, tudo em tempo real, sem utilizar dezenas de formulários e semanas de prazo.

Claro que para implementar esta infra-estrutura de acesso remoto existem custos. Por exemplo, o hardware necessário (banco de modems a ser conectado ao servidor de acesso remoto, para receber as ligações), os equipamentos de acesso remoto utilizados pelos vendedores, tais como Notebook, PDA ou Palm e o custo do desenvolvimento das soluções de software. Mas não tenha dúvidas, que um projeto de acesso remoto bem planejado e corretamente implementado, tem uma relação custo x benefício extremamente favorável. Pelo menos é o que tem mostrado a experiência prática de dezenas de empresas que implementaram projetos bem sucedidos de acesso remoto aos recursos de suas redes.

A seguir falarei sobre os aspectos teóricos do serviço de acesso remoto no Windows 2000 Server e nas próximas partes deste tutorial, você aprenderá a configurar o RRAS.

Visão geral sobre o acesso remoto do Windows 2000 Server – RRAS:

A idéia básica do serviço de acesso remoto no Windows 2000 Server é permitir que os usuários possam se conectar à rede da empresa através de uma conexão remota, quer seja uma conexão discada, um link ISDN, ADSL ou qualquer outra tecnologia para acesso remoto. Para o RRAS, a conexão remota é como se fosse uma conexão de rede local (evidentemente que a uma velocidade de conexão bem inferior à velocidade do barramento da rede local). Ou seja, para o usuário e para os programas, a conexão remota aparece como se fosse uma conexão de rede local. Ao fazer a conexão remota o usuário será autenticado e fará o logon no domínio normalmente, como se estivesse fazendo o logon em um computador da rede local. Em resumo, a tecnologia de acesso remoto, permite que o usuário se conecte a rede “remotamente”, usando qualquer uma das tecnologias de conexão suportadas pelo RRAS.

Os usuários executam o software de acesso remoto e iniciam uma conexão com o servidor de acesso remoto. O software de acesso remoto pode ser algo tão simples como configurar uma conexão discada, via Dial-up. O servidor de acesso remoto, que é um computador que executa o Windows 2000 Server e o serviço de roteamento e acesso remoto (RRAS), autentica sessões de usuários e serviços (por exemplo, um usuário lendo o seu email ou acessando uma pasta compartilhada em um servidor), até que a sessão seja terminada pelo usuário ou administrador da rede. Todos os serviços normalmente disponíveis a um usuário conectado à rede local, incluindo compartilhamento de arquivos e impressão, acesso a Intranet e email, estarão disponíveis pela conexão de acesso remoto.

A Figura a seguir, da Ajuda do Windows 2000 Server, resume bem como funciona o serviço RRAS no Windows 2000 Server, com uma conexão do tipo Dial-up:

Figura 1 O servidor RRAS em uma conexão Dial-up.

Os clientes de acesso remoto usam ferramentas padrão para acessar os recursos. Por exemplo, em um computador que esteja executando o Windows 2000 Server, os clientes podem usar o Windows Explorer para acessar pastas e impressoras compartilhadas. Isso tudo, porque a conexão via acesso remoto é como se fosse uma conexão de rede local. Com isso todos os programas que funcionam na rede local, irão funcionar normalmente via acesso remoto, com a única diferença sendo a velocidade do link em relação à velocidade da rede local.

As conexões são persistentes: os usuários não precisam reconectar-se a recursos da rede durante as sessões remotas. Como as letras das unidades e os nomes no padrão Universal Naming Convention (UNC, convenção universal de nomenclatura) têm suporte total do acesso remoto, a maioria dos aplicativos comerciais e personalizados funcionam sem modificação. Isso também é conseqüência da conexão remota ser “vista” pelo Windows como uma conexão de rede local.

Um servidor de acesso remoto que esteja executando o Windows 2000 Server possibilita dois tipos diferentes de conectividade de acesso remoto:

· Rede dial-up: Conexão discada tradicional, como a que a maioria de nós utilizava até o início dos anos 2000, para fazer acesso à Internet. Rede dial-up é quando um cliente de acesso remoto efetua uma conexão dial-up, não permanente com uma porta física de um servidor de acesso remoto, usando o serviço de um provedor de telecomunicações, como um telefone analógico (linha telefônica comum), ISDN (Integrated Services Digital Network, rede digital de serviços integrados) ou X.25. O melhor exemplo de rede dial-up é o de um cliente de rede dial-up que disca o número de telefone de uma das portas de um servidor de acesso remoto. Por exemplo, o vendedor que está no cliente e usa o seu Notebook, equipado com uma placa de Fax/Modem, para fazer uma conexão com o servidor RRAS da empresa, usando uma linha telefônica comum (e provavelmente um número 0800, para que o cliente não tenha que pagar o custo da ligação). O papel da rede dial-up, fazendo uma conexão através de um telefone analógico ou ISDN é efetuar uma conexão física direta entre o cliente e o servidor da rede dial-up, ou seja, estabelecer uma caminho físico, para que os dados possam ser transmitidos do cliente para o servidor e vice-versa. Os dados enviados através de uma conexão deste tipo poderão ser criptografados.

· Virtual Private Network (Rede virtual privada) – VPN: Rede virtual privada é a criação de conexões seguras, ponto a ponto em uma rede privada ou pública, como a Internet. Em outras palavras, é criar uma conexão segura, usando um meio não seguro, como a Internet. Um cliente de rede virtual privada usa protocolos especiais com base em TCP/IP denominados protocolos de encapsulamento para efetuar uma chamada virtual para uma porta virtual em um servidor VPN. O melhor exemplo é o de um cliente de rede virtual privada que efetua uma conexão VPN com um servidor de acesso remoto que está conectado à Internet. O servidor de acesso remoto responde a chamada virtual, autentica o cliente, além de transferir dados entre o cliente da rede dial-up e a rede da empresa de forma segura, usando técnicas de criptografia.

Em comparação com a rede dial-up, a rede virtual privada é sempre uma conexão lógica e indireta entre o cliente e o servidor VPN. Para garantir a privacidade, é preciso criptografar os dados enviados na conexão. Um exemplo típico de uso de VPN seria o de uma empresa que usa a Internet, para conectar pequenos escritórios à rede da empresa. Estes pequenos escritórios não tem necessidade de estar conectados 24 horas a rede da empresa. Com isso, a solução adotada é contratar um acesso discado à Internet. Quando o escritório precisa acessar a rede da empresa, quer seja para enviar, quer seja para receber dados, primeiro o escritório estabelece uma conexão com a Internet. Esta é uma conexão comum, baseada em uma linha telefônica ou outra tecnologia de acesso à Internet, qualquer. Bem, com a conexão à Internet, o pequeno escritório já tem um caminho, um meio físico para enviar e receber dados para um ou mais servidores da rede da empresa, servidores estes que podem ser acessados via Internet. Mas acontece que a Internet não é, por padrão, um meio seguro para transporte de dados, a não ser que sejam utilizadas tecnologias de criptografia de dados. O próximo passo é estabelecer uma conexão virtual, para estabelecer uma VPN com a rede da empresa. Observe que neste caso foi criada uma rede privada (do escritório com a matriz da empresa) e virtual (que só existira enquanto o escritório estiver conectado à rede da empresa). Esta segunda conexão, que cria a VPN, é que garante a segurança dos dados, utilizando técnicas de criptografia e tecnologias tais como os protocolos PPTP ou L2TP com IPSec, os quais serão analisados nas próximas partes deste tutorial. A segunda conexão, a qual cria a VPN é feita entre o cliente que está no escritório e  o servidor RRAS da rede da empresa, o qual deve estar configurado para aceitar conexões do tipo VPN.

A Figura 2, da ajuda do Windows 2000 Server, resume bem como funciona uma conexão do tipo VPN. A conexão VPN é como se fosse um “túnel seguro”, criado dentro de um meio não seguro, que é a Internet. Neste caso a Internet é o meio físico, que garante que existe um caminho entre a origem e o destino. E a VPN é o conjunto de tecnologias que garante a segurança na transmissão e recepção dos dados.

Figura 2 O servidor RRAS em uma conexão VPN.

Conclusão:

Para esta primeira parte do tutorial sobre RRAS era isso. Na próxima parte vamos continuar estudando a teoria relacionada com o RRAS.

Júlio Cesar Fabris Battisti

Júlio Cesar Fabris Battisti