Windows 2003 - RRAS

Routing and Remote Access Server

O RRAS permite configurar:

Dial-up: Um usuário remoto pode discar ao servidor RRAS para acessar a rede privada da empresa.

Demand Dial: O RRAS faz a conexão automaticamente toda vez que necessário entre duas localidades que não possuem uma conexão sempre ativa.

VPN: Configurar um servidor de Virtual Private Network, permite conexão segura de um cliente remoto a rede interna da empresa criando um "tunel" por onde passa a comunicação encryptografada.

Routing: Faz o roteamento de pacotes entre duas redes.

NAT: Network Address Translation, permite usar um IP externo direcionando devidas portas para um ip interno na rede privada.

DHCP Relay Agent: Permite passar DHCP Discover broadcasts em busca de um servidor DHCP pelo roteador podendo alcançar outra rede.

IAS: Internet Authentication Service, é um server RADIUS para centralizar a administração da autenticação de vários servidores RRAS.

*
Para configurar o RRAS vá em Start -> Administrative Tools -> Routing and Remote Access.

Em seguida clique com o botão direito sobre o nome do servidor e clique em Configure and Enable Routing and Remote Access.

Utilize o Wizard para auxiliar na configuração de VPN, NAT, Router ou Firewall. Caso o wizard impeça a instalação devido ao servidor ter apenas uma placa de rede, siga pela opção Custom.

Protocolos de autenticação

Os seguintes protocolos de autenticação são utilizados pelo RRAS:

EAP: "Extensable Authentication Protocol", permite a utlização dos metodos: - "MD5-Challenge" é uma versão diferente CHAP com esquema hash, utilizada com clientes não Microsoft, encripta apenas user e senha mas não o conteúdo do será transmitido; - "Protected EAP (PEAP)" utilizado em conexões wireless; - "Smart Card or other certificate". Encripta os dados da transmissão.

MS-CHAP v2: Provê "two way authentication" também conhecido como "mutual authentication", Encripta os dados da transmissão usando keys criptografadas separadas para enviar e receber. Não funciona com Windows95 até que seja instalado "Windows Dial up Networking v1.3", após é possível utilizar MS-CHAP v2 para conexões VPN PPTP, mas mesmo assim não irá funcionar para conexões Dial-up do Windows95.

MS-CHAP: Utiliza non-reversible encryption, 40-bit encryption key, sendo assim mais seguro que CHAP, porém possui pontos fracos como a retrocompatibilidade com LAN Manager e faz apenas uma "one way authentication" onde o server se certifica que o cliente é realmente quem diz ser, mas o cliente não verifica se o server é o server real, podendo se conectar em um server falso. Estas vulnerabilidares foram corrigidas no MS-CHAP v2. Encripta os dados da transmissão usando uma single key dos dois lados.

CHAP: Utiliza esquema hash MD5 que encripta o password, porem esse hash pode ser capturado na rede e com algumas ferramentas hacker é possivel reverter este hash descobrindo o password. Não é um método seguro, normalmente utilizado com clientes não Microsoft. Utiliza a opção de "reversible encryption" nas propriedades do usuário. Não encrypta os dados da transmissão.

SPAP: "Shiva Password Authentication Protocol", usa reversible encryptions, podendo ser capturadas, utilizado Replay attacks, não pode ser usado com VPN pois não suporta encriptação para PPTP.

PAP: "Unencrypted Password", envia o password en clear text, podendo ser capturado com qualquer sniffer.

VPN

Selecione no Wizard Custom -> VPN. Após configurar e ativar vá em IP Routing -> General e então clique duplo sobre a placa de rede na qual a conexão será feita.

Na aba General, os filtros de Inbound e Outbound devem ser configurados para maior segurança.
Configuração Inbound:

Selecione a opção "Drop all packets except those that meet the criteria below", assim tudo que não estiver de acordo com os filtros criados será descartado.

Para adicionar os filtros clique em New. em Souce Network deixe o checkbox desmarcado, assim esta opção ficará configurada como Any. em Destination Network configure o IP da placa de rede que estará recebendo a conexão VPN e coloque a mascara 255.255.255.255, fechando a rede para que funcione apenas neste ip. Selecione o protocolo Other e configure com a porta 47.
A seguir faça o mesmo procedimento para todos os outros protocolos e portas para que fique de acordo com a figura abaixo:


Esta configuração libera a comunicação para conexão PPTP e L2TP. Caso deseje apenas configurar para conexões PPTP os filtros de protocolo UDP não são necessários.

O Generic Router Encapsulation Protocol irá usar a porta 47, isto permitirá o tráfego PPTP encapsulado.
A TCP (Estabilished), porta 1723 como Source, é utilizada pelos pacotes PPTP.
A TCP, porta 1723 na Destination, também deve ser configurada para permitir o tráfego PPTP.
Porta Destination 500 do protocolo UDP, é ultizada para troca de Keys pelo protocolo L2TP.
Porta Destination 1701, protocolo UDP, permite conexão L2TP.
Porta Destination 4500, protocolo UDP, permite NAT sobre IPSec.

Configuração Outbound Filters:

O mesmo procedimento acima, porém, o IP da placa de rede do servidor onde esta recebendo a conexão VPN deve ser configurado no Source Network e o Destination Network fica desmarcado. As portas também se invertem de acordo com figura abaixo:

RRAS Policies

Dentro do Routing and Remote Access, na opção Remote access policies, tem a opção Connection to Microsoft Routing and Remote Access Server, duplo clique nesta opção.

Cria-se as condições para a aplicação da policy, por default a opção MS-RAS-Vendor matches "^311$" este código ^311$ significa Microsoft RRAS Server, então esta condição padrão diz que estou me conectando a um servidor MS-RRAS e caso esta condição estiver de acordo, é possível negar ou liberar o acesso ao servidor.

Para implementar uma maior segurança pode-se adicionar condições, porém é aconselhavel ao invés de adicionar várias condições em uma policy, criar uma nova policy para a nova condição. Assim a administração será facilitada pois existe uma ordem de checagem das policies criadas. Por exemplo, após verificar a primeira, se as condições estiverem de acordo e a policy configurada para que negue o acesso, a conexão será interrompida; Se a condição não estiver de acordo o sistema não sabe se deve negar ou não e irá verificar se as condições da próxima policy esta de acordo ou não assim por diante.

Exemplo de condições extras que podem ser criadas é limitar acesso a determinados Global Groups (UG e DLG não são permitidos) com a condição "Windows Groups", ou limitar por horário de logon com a condição "Day-And-Time-Restriction". Há vários atributos diferentes para serem utilizados além dos dois citados como exemplo.

IMPORTANTE: Se o DFL (Domain Funcional Level) estiver em mixed mode, a opção de "Control access through Remote Access Policy" vai estar desabilitada na aba "Dial-in" de cadas usuário no "AD Users and Computers". Esta opção deve ser marcada para que a configuração de policies no RRAS funcione corretamente, pois um "Allow access" nas propriedades do "Dial-in" de um usuário vence sobre o "Deny access" da configuração da policy no RRAS. Portando, será necessário aumentar o nível para Windows 2003 nativo para habilitar esta opção.

Após criar uma nova policy ou nova condição em uma policy, espere em torno de 30 segundos a 1 minuto para testar, pois o sistema operacional leva um tempo para botar em prática.

Fluxograma da aplicação de policies do RRAS:


IAS (Internet Authentication Service) (RADIUS Server)

Caso a rede tenha mais de um servidor RRAS, uma opção é configurar um servidor IAS para gerenciar as conexões de todos os RRAS presentes. A estrutura aconselhável seria:

[Cliente] --> Internet --> [RRAS Server (Radius client)] --> [RADIUS Server(IAS)] --> [DC]

Para instalar o RADIUS Server vai em Control Panel -> Add/Remove Programs -> Windows Components -> Networking Services -> Internet Authentication Service.

O Server RRAS será um Radius Client, no Server RRAS, dentro do "Routing and Remote Access "clica com botão direito sobre o servidor e vai em "properties". Na aba "Security" configura o "Authentication provider" e "Accounting provider" como "RADIUS Authentication" e "RADIUS Accounting" respectivamente. Clique no botão "configure" para adicionar o IP do server RADIUS(IAS) e a senha. Marque o checkbox "Always use message authenticator" para maior segurança. o mesmo para o botão "configure" do "Accounting provider".

No RADIUS Server vá em Start -> Administrative Tools -> Internet Authentication Service.
Clique com o botão direito sobre o "Internet Authentication Service (local)" e selecione "Register Server in Active Directory", isto é o mesmo que adicionar o servidor IAS no grupo "RAS and IAS Servers".
Após, clique com o botão direito sobre a pasta "RADIUS Clients" e selecione "New RADIUS Client". Informe o nome e ip do servidor RRAS. Configure a mesma senha configurada no server RRAS e marque o checkbox "Request must contain the Message Authenticator Attribute". Selecione como Client-Vendor: "RADIUS Standard".

As portas 1812 e 1813 devem estar liberadas entre o RRAS e o IAS para a autenticação.

Após feitas as configurações é necessário fazer um restart no serviço do RRAS.

Em Events Log -> System os logs de IAS indicam Warnings e Errors de conexões ao server IAS.
O RRAS e o IAS devem ficar no mesmo domínio ou na mesma Floresta.


Demand Dial

Exemplo1-

Um exemplo de utilização seria uma conexão entre 2 sites em diferentes localidades, e de cada lado 1 modem de 56k. No caso poderia ser configurada uma Demand Dial para sincronizar o AD toda noite. Para o exemplo vamos configurar a Demand-dial entre "Server1" e "Server2".

Para configurar, no "Server1" dentro do "Routing and Remote Access", clique em "Network Interfaces" no menu da esquerda. Em seguida na direita clique com o botão direito e selecione "New Demand-dial Interface".

Siga os passos do wizard de acordo com o cenário:

- Crie um nome para a inteface.
- Selecione configuração por modem.
- Selecione o modem que irá utilizar.
- Em "Protocols and Security" marque "Route IP packets on this interface" e "Add a user account so a remote route can dial in".
- Em seguida informe o ip da rede remota (Server2) para onde a conexao será feita e a mascara de rede, por exemplo: 192.168.6.0 255.255.255.0.
- Na próxima tela digite um password para uma conta local que será criada automaticamente no Server1, essa conta será configurada no RRAS do Server2 no outro site, para fazer a discagem de Server2 para Server1.
- Em seguida é ao contrário, é necessário configurar no Server1 qual a conta que foi criada no Server2, para efetuar a conexão de Server1 para Server2. O campo "Domain" pode ser deixado em branco no caso por a conta para a conexão foi criada local e não no AD.(Esta configuração é feitas dos dois lados).
- Finish

Exemplo2-

Digamos que entre os 2 sites exista uma conexão dedicada e queremos fazer a conexão por este link com segurança. Para isto podemos configurar uma Demand-dial de VPN.

O Procedimento para iniciar a configuração é o mesmo do exemplo1-

- Seleciona "Connect using virtual private networking (VPN)".
- Selecione o protocolo que deseja usar, lembrando que L2TP é o mais seguro.
- Digite o IP da interface que irá receber esta conexão no outro site, por exemplo 192.168.1.1.
- Em "Protocols and Security" marque "Route IP packets on this interface" e "Add a user account so a remote route can dial in".
- Em seguida informe o ip da rede remota (Server2) para onde a conexão será feita e a mascara de rede, por exemplo: 192.168.1.0 255.255.255.0.
- Crie a conta local para Demand-dial escolhendo um password.
- Em seguida configure com a conta que foi criada no Server2. (Esta configuração é feitas dos dois lados).
- Finish

Nas propriedades existe a opção de manter a VPN persistente caso queira que ela esteja sempre conectada.

Static Routing


Para criar rotas persistentes(mantém mesmo após reboot) pelo RRAS vá em IP Routing -> Static Routes, na direita clique com botão direito e selecione New Static Route, escolha a interface da saida da comunicação, coloque o ip da rede de destino e respectiva máscara. No gateway configure o ip da placa de rede do roteador. Metric é utilizado para setar prioridade no caso de haver mais de um roteador que possa ser utilizado para a mesma função, quanto mais alto o valor do metric, menor a prioridade.

Por exemplo, de acordo com a figura acima, para configurar uma rota estática para que uma estação da rede 10.10.10.0 que utilize o default gateway 10.10.10.2 tenha acesso a rede 10.10.9.0 cria-se uma roda com as seguintes configurações:

Interface: PrivateNetwork (10.10.10.2)
Destination: 10.10.9.0
Mask: 255.255.255.0
Gateway: 10.10.10.1
Metric: 1

Para ver a tabela de roteamentos ativas pode-se usar tanto o comando route print no prompt de comando como acessar no RRAS clicando com o botão direito sobre Static Route e selecionando Show IP Rounting Table.

Command line:

Para adicionar uma rota:

route add x.x.x.x(destination) mask x.x.x.x(máscara da rede) x.x.x.x(gateway de saida para a rede).

Para inserir uma rota persistente adicione -p, exemplo:

route add -p 10.10.8.0 mask 255.255.255.0 10.10.10.1

Para excluir uma rota:

route delete x.x.x.x(destination)

IMPORTANTE: Procure utilizar sempre o mesmo método para adicionar ou remover rotas, pelo GUI do RRAS ou por command line. Pois quando se adiciona uma rota persistente por command line ela não aparece na routing table do RRAS o que pode causar confusão.

* Troubleshooting

Caso o RRAS não estiver roteando, acesse as propriedades do servidor na aba General é necessário que o checkbox Router esteja marcado assim como radio button LAN and Demand-dial routing. Outro local que deve ser verificado é clicando em IP Routing -> General, entre nas propriedades da interface que esta sendo utilizada e certifique que o checkbox Enable IP Router Manager está marcado.

RIP (Routing Information Protocol)

Facilita na sincronização da tabela de roteamento entre roteadores atualizando a tabela de roteamentos inteira a cada 30 segundos via broadcast por padrão. Conta somente até 15 Hops.

Pode ser instalado clicando com botão direito sobre General -> New Routing Protocol, selecione o protocolo RIP Version2 for Internet Protocol. Irá aparecer um novo item RIP no menu a esquerda. Na direita, clique com botão direito e selecione New Interface...seleciona a interface que será usada.

O "Operation Mode" padrão é Periodic update mode no qual a cada 30 segundos é feito um broadcast na rede informando os roteadores que se encontram. Já o modo Auto-Static update mode é o padrão para Demand-dial no qual só passa a informação da routing table quando requisitado.

Para fazer com que o roteador fique em "listening mode", ou seja apenas receba informações de outros roteadores mas não envie nada, se utiliza Silent RIP em "Outgoing packet protocol".

No checkbox "Activate Authentication" pode se configurar um password, e então todos os roteadores que estiverem configurados com o mesmo password irão trocar informações. Este password não é encriptado, é enviado em pacotes em clear text.

Na aba Security pode configurar de quem deseja que receba a lista de roteamento, podendo aceitar ou ignorar caso o ip do remetente esteja na range configurada.

OSPF (Open Shortest Path First)

OSPF é um protocolo de roteamento superior ao RIP, para se utilizar em redes grandes que chegam a ter 15 hops para o envio de um pacote do remetente ao destinatário.

Pode ser instalado clicando com botão direito sobre General -> New Routing Protocol, selecione o protocolo Open Shortest Path First (OSPF). Irá aparecer um novo item "OSPF" no menu a esquerda. Na direita, clique com botão direito e selecione New Interface...seleciona a interface que será usada.

RIP vs. OSPF

RIP - OSPF

Fácil Implementação - Mais complexo
Redes pequenas à médias - Grandes Redes
15 Hops - Eficiente(sem limite de hops)
Broadcast a cada 30 seg.(default) - Areas, Backbone(divisão em áreas impede broadcast)
Pode ocorrer Loop no roteamento - No Loops
Hop Count only - Atualiza as tabelas rapidamente entre roteadores.

ICS (Internet Connection Sharing)

O ICS quando habilitado na interface(conexão de placa de rede ou modem) que tem acesso a internet, faz com que outros hosts da rede privada (LAN) tenham acesso à Internet que está sendo compartilhado pelo ICS.

Funciona criando uma local address table, quando uma hosts faz o acesso via ICS o ip interno fica registrado junto com uma porta random e no caminho inverso o ICS utiliza a tabela para encaminhar a comunicação.

Para configurar o ICS, entre nas propriedades da conexão de rede ou dial-up, na aba "Advanced" selecione o checkbox "Allow other network users to connect through this computer's Internet Connection".

IMPORTANTE: O ICS quando habilitado, emite IPs classe C 192.168.x.x para os hosts na rede. O problema é que não há uma interface para definir ranges como no DHCP. Isso pode e irá causar conflitos de IP na rede caso algum host esteja configurado com IP stático e conflita com o IP emitido pelo ICS.

Portanto o ICS é uma boa opção para se utilizar em casa ou em uma rede pequena de escritório. Mas não em empresas melhores estruturadas com vários servidores, neste caso seria aconselhável utilizar o NAT do RRAS.

NAT/Basic Firewall

Para instalar clique com botão direito sobre General -> New Routing Protocol, selecione o protocolo Nat/Basic Firewall. Irá aparecer um novo item "NAT/Basic Firewall" no menu a esquerda. Na direita, clique com botão direito e selecione New Interface...seleciona a interfaces que serão usadas( uma pública e outra privada). No caso da interface pública, ao adicionar, na aba "NAT/Basic Firewall" selecione o radio button "Public interface connected to the Internet" e marque os checkbox apropriados para a ocasião.

Nas propriedades de "NAT/Basic Firewall", na aba "Address Assignment" pode se configurar o DHCP informando o ip da rede desejado(Ex.: 192.168.1.0 mask 255.255.255.0). Também permite configurar exclusões de IP, sendo assim uma vantagem sobre o ICS, evitando conflitos.
Na aba "Name Resolution" configure o servidor DNS para os clientes.