Networks - IP Addressing

Para entender como funciona o endereçamento IP, vou começar explicando sobre a composição de um IP e suas classes. Acredito que muitos sabem como configurar uma rede seguindo os padrões de IP Addressing mas não tem conhecimento de como funcionam os IPs e máscaras, portanto espero poder dar uma noção básica e esclaredora sobre o assunto. Vamos lá!

Conversão:

Na figura abaixo temos um exemplo de um IP classe B em sua forma decimal e binária, observe que cada um dos quatro numeros que visualizamos em decimal, é formado por oito caracteres binários. Em números binários devemos sempre interpretar o numero 1 como válido ou "ligado" e o zero como "desligado".
Agora, vou mostrar como converter números decimais em binários e vice-versa. Para fazer isto sem usar a cálculadora científica, começe criando uma tabela da direita para a esquerda, começando com o número 1 e sempre dobrando o numero. Exemplo:

1024 - 512 - 256 - 128 - 64 - 32 - 16 - 8 - 4 - 2 - 1

Para transformar o número 172 em binário, só vamos utilizar a tabela do 1 ao 128, pois cada numero decimal em um IP é composto de 1 octeto. Começe verificando sempre a partir do número maior da tabela, caso ele seja menor que o número decimal, utiliza-se o 1 e depois subtrai o valor, e a mesma operação para o restante. Sempre que o for possível subtrair pelo próximo número da tabela sem ficar negativo, deve-se fazer e marcar o devido bit como 1.

172 é maior que 128, então para o primeiro número do octeto teremos 1xxxxxxx, 172-128 sobra 44.
Vamos ao próximo número na tabela, que é 64. Verica-se que 44 é menor que 64, não sendo possível subtrair. Então para o próximo número do octeto utilizamos um zero ficando 10xxxxxx.
Seguindo a lógica, 44-32, sobra 12 (octeto = 101xxxxx),
16 maior q 12, então mais um zero (octeto = 1010xxxx)
12-8=4 (octeto = 10101xxx)
4-4=0 (octeto = 101011xx)

Chegando ao zero preenche os dois ultimos com zeros pois a soma dos números utilizados da tabela já é o número decimal 172.
Bom, acredito que não sejam necessárias maiores informações sobre como transformar binário em decimal, pois é só fazer o mesmo inverso usando a tabela.

Anding Process:

Para definir se 2 IPs diferentes irão comunicar entre si, é necessário obter o resultado de um processo chamado "anding process". Neste, compara-se o número binário de um IP com o binário da máscara de rede em uso. onde 1 + 1 = 1, 1 + 0 = 0 e 0 + 0 = 0. O mesmo se faz para o ip e máscara de cada host e no caso do resultado ser o mesmo em ambos host, os dois estão na mesma rede e irão comunicar normalmente, sendo possível um encontrar o outro pelo broadcast. Caso o resultado seja diferente, os dois hosts devem estar em redes diferentes, sendo necessário um roteador para permitir a comunicação entre as duas redes.

Exemplo comparando três IPs diferentes com a mesma mask 255.255.255.0, note que o IP 192.168.2.2 tem um resultado do anding process diferente, estando assim em uma rede diferente dos 2 primeiros que possuem o mesmo resultado. (A primeira linha abaixo do IP em decimal é o IP em binário, a do meio é a máscara em binário e a linha de baixo é o resultado).


Classes de IP:
A tabela acima(clique para ampliar), mostra o range de IP de cada classe, a máscara de rede padrão, o número máximo de redes e o número máximo de hosts possível em cada classe. Observa-se que a relação é de que quanto mais bits são reservados para a rede, maior o número de redes possíveis, porém, menor o número de hosts em cada rede.

Qualquer IP que começe com 127.x.x.x é destinado ao localhost, é comum utilizar 127.0.0.1, mas também funciona para qualquer IP começando com 127, como por exemplo 127.65.133.2, é tudo a mesma coisa.

Para facilitar a idêntificação das classes, na classe A, no primeiro octeto da esquerda para direita, sempre inicia com "0", na classe B sempre com "10" e na C sempre com "110".

No último octeto, da esquerda para direita, sempre que for 00000000 ou 0 em decimal ,este é o endereço de rede e não é utilizado para nenhum host. No caso de 11111111 ou 255 em decimal é o endereço de broadcast da rede, e também não se utiliza em nenhum host.

Custom Subnet:

Vou usar um exemplo de exercício para mostrar como se define uma máscara de subrede.
Temos as seguintes informações sobre a rede:

Network ID: 172.16.0.0 (este é um IP classe B, portanto a máscara de rede é 255.255.0.0)
Mínimo de hosts que precisamos para cada subrede: 5000
Mínimo de redes necessárias: 5

Definindo a máscara de subrede:

Para se calcular quantos bits de host serão necessários "passar" para subrede na máscara, utiliza-se o número de hosts desejado + 1, e em seguida transforme este resultado em binário usando a tabela ou a calculadora. Conte quantos bits no total foram utilizados por exemplo:

5000 hosts + 1 = 5001
5001 em binário é 1 0011 1000 1001 que são no total 13 bits.

Assim no total de 16 posições de bits que são reservados para os hosts em um IP classe B, iremos utilizar 13 para os hosts e os 3 restantes para a máscara de subrede. Resultando:

11111111.11111111.11100000.00000000
255.255.224.0

O mesmo pode ser calculado pegando o número mínimo de redes desejadas, no caso 5 subtraindo 1.

5-1 = 4. Em binário 4 é 100 ( que são 3 posiçoes de bit) então dos 16 bits de host, 3 serão utilizados para a máscara de subrede.

Calculando total de Hosts para cada subnet:

Para calcular o total de hosts possíveis com esta mask 255.255.224.0, sabemos que são 13 bits reservados para os hosts, então como cada bit pode ser 1 ou 0 o cálculo é:

2 elevado na 13 = 8192 ( deste total é necessário subtrair 2, pois não é possivel ter um host que finalize com zero, pois seria o endereço de rede, e nem mesmo que finalize com 255 que é o endereço de broadcast).

Portanto 8192 - 2 = 8190 Hosts no máximo para cada subnet.

Calculando o total de subnets:

Da mesma maneira acima mas sem subtrair 2 do resultado, pois em subnets é permitido utilizar tudo zero ou um, então como são 3 posições de bit para as subnets:

2^3 = 8 subnets no máximo.

Calculando os Subnets IDs:

Para calcular os IDs de cada subnet, deve se verificar a posição do último bit da máscara de subrede dentro do octeto. No caso de 255.255.224.0 no octeto 224 temos 11100000, note que o último 1 da esquerda para direita está na posição 32, assim sabemos que os Subnets IDs serão em intervalos de 32 em 32.
Ex.:

Temos no máximo 8 subnets conforme calculamos acima, em intervalos de 32, ficando:
172.16.0.0
172.16.32.0
172.16.64.0
172.16.96.0
172.16.128.0
172.16.160.0
172.16.192.0
172.16.224.0

Calculando a range dos hosts:

Para calcular a range é muito fácil, sempre lembrando que o primeiro host de cada subnet inicia em 1 e o último em 254 como no exemplo abaixo.

172.16.0.1 – 172.16.31.254
172.16.32.1 – 172.16.63.254
172.16.64.1 – 172.16.127.254
172.16.128.1 – 172.16.160.254
172.16.160.1 – 172.16.191.254
172.16.192.1 – 172.168.223.254
172.16.224.1 – 172.16.255.254

Observação 1: Note que em alguns casos, é possível ter um IP em um host como por exemplo 172.16.10.0, este é um ip válido para a primeira subnet ID, pois se verificarmos em binário os 13 bits de host são em negrito 10101100.00010000.00001010.00000000, sendo assim não é tudo zero, nem mesmo tudo um, sendo um ip válido de host.

Observação 2: Quando estiver calculando a range de uma subnet que utiliza uma máscara classe C, existe uma diferença que pode ser observada no exemplo abaixo:

ID da rede: 192.168.1.0
Mínimo de subnet hosts requeridos: 60
Mínimo de networks requiridas: 2

Máscara de subrede 255.255.255.192
Máximo de Hosts por Subnet 62
Máximo de Subredes 4

IDs de subredes
192.168.1.0
192.168.1.64
192.168.1.128
192.168.1.192

Ranges de Host ID
192.168.1.1 – 192.168.1.62
192.168.1.65 – 192.168.1.126
192.168.1.129 – 192.168.1.190
192.168.1.193 – 192.168.1.254

Note que a primeira range acaba em .62 e não .63, isto por em binário .63 é tudo 00|111111 sendo assim o endereço de broadcast, o .64 é o endereço de rede da próxima subnet e acaba tudo com zeros 00|000000 então o primeiro host da próxima subnet será .65 . Assim verifica-se que o último IP de cada range será o ID da próxima subnet -2.

Windows - IP Tools

IP tools consiste em comandos e ferramentas que auxiliam na consulta, configuração e troubleshooting das configurações de rede.

Alguns comandos que irei citar podem parecer óbvios, mas mesmo assim caso alguém que esteja começando agora neste maravilhoso mundo binário, podem vir a ser dicas muito úteis.

Command line commands

ipconfig - Mostra IP, Mask e Default Gateway.

ipconfig /all - Informação mais detalhada, incluindo servidos DNS, WINS, DHCP, Máscara de Subrede, MAC Address entre outros.

ipconfig /release - Desconfigura as configurações de TCP/IP, setando tudo 0.0.0.0

ipconfig /renew - Solicita ao DHCP server um IP e devidas configurações.

ipconfig /displaydns - Exibe as resoluções de nomes efetuadas desde a inicialização do sistema.

ipconfig /flushdns - Limpa o cache local da resolução de nomes desde a inicialização do sistema. (Ex.: Você pinga cliente01.trylinux.local, mas este micro está desligado e não possui uma entrada no DNS. Ao consultar o DNS não será possivel resolver, e isso fica salvo no cache local. Ao inicializar o cliente01 na rede, irá obter um IP do DHCP e registrar uma entrada no DNS. Ao tentar pingar novamente se sua estação, continuará não resolvendo, pois a resposta anterior esta no cache, e o cache local sempre é consultado primeiro. Então após usar o /flushdns e limpar o cache local, deve resolver o nome e pingar corretamente. Situação semelhante ocorre caso seja efetuado um ping que responda ok, mas em seguida o IP do micro ao qual estava enviando o ping é alterado, o cache local ainda terá o IP antigo).

ipconfig /registerdns - Caso seja necessário, com este comando você registra o seu IP no DNS. Útil caso tenha alterado o IP e queira ligeiramente atualizar sua entrada no servidor DNS.

arp -a - Mostra o cache arp, que contém o IP e o mac address dos hosts que resolvidos localmente. (Ex.: para descobrir uma mac address de um computador na rede use o comando ping, e em seguida arp -a).

arp -d * - Limpa todo o arp cache.

arp -s x.x.x.x 00-aa-00-63-c6-09 - Cria uma entrada estática na tabela arp.

nbtstat -r - Lista os nomes Netbios resolvidos por broadcast.

nbtstat -R - Limpa o cache da tabela de nomes Netbios.

nbtstat -RR - Limpa o cache da tabela de nomes Netbios local e registra o seu nome no servidor Wins.

Dica: Se você estiver com dificuldades de lembrar destes comandos no momento quem que for necessário o troubleshooting, vá até o status da sua conexão de rede, na aba "Support" existe um botão "Repair". Ah ok o botão tenta reparar a conexão de rede, mas o que ele realmente faz por trás? Ele executa os seguintes comandos automaticamente:

ipconfig /renew
arp -d *
nbtstat -R
nbtstat -RR
ipconfig /flushdns
ipconfig /registerdns

netstat -a - Mostra todas as portas que estão abertas, podendo estar como LISTENING que significa uma porta aberta na escuta, esperando por uma conexão se estabelecer, após estabelecer a conexão o status fica ESTABLISHED.

netstat -a -n - Mesmo resultado do comando acima, mas mostrando o numero das portas ao invés do nome do protocolo.

Estas portas devem ser abertas no firewall para permitir a comunicação dos seguintes protocolos:

TCP 3389 - RDP (Terminal Services, Remote Desktop, Remote Assistance)
TCP 1723 - PPTP (Point-to-point Tunneling Protocol) para VPN
UDP 500, 1701, 4500 - L2TP (Layer 2 Tunneling Protocol) para VPN
TCP 80 - HTTP (Hypertext Transfer Protocol)
TCP 443, UDP 443 - HTTPS
TCP 20, 21 - FTP (File Transfer Protocol)
UDP 123 - NTP (Network Time Protocol)
TCP 445, UDP 445 - Microsoft Directory Services (Active Directory)

tracert - Mostra por quais roteadores a comunicação passa até um host. contando no máx. até 30 hops. Caso um dos roteadores não responda, mas a comunicação continua adiante, é porque o roteador deve estar configurado para não responder pacotes ICMP (não responde a ping). Uma dica para salvar o resultado é usar o comando "tracert www.empresa.com > nomedoarquivo.txt".

pathping - É similar ao tracert, porém disponibiliza informações mais detalhadas de pacotes enviados para cada um dos roteadores no caminho.

netdiag - Realiza uma série de testes para determinar o estado e a funcionalidade do computador cliente de rede.

Network Diagnostics - semelhente ao netdiag, porém em modo GUI, entre no "Help and Support Center" e procure por "Network Diagnostics".

APIPA (Automatic Private IP Addressing)

Quando uma estação, ou server estiver configurado no TCP/IP com a opção "Obtain an IP address automatically", o que acontece é um broadcast em busca de um servidor DHCP que retorna um IP para o host.

Quando esta opção esta habilitada, uma nova aba "Alternate Configuration" aparece. Nesta aba existem 2 opções.

A primeira é "Automatic private IP address", ela faz com que sempre que um DHCP server não estiver presente na rede ou o host não estiver chegando por algum motivo até o DHCP Server para obter um IP, o APIPA irá designar automaticamente um IP classe B 169.254.x.x. Assim caso um servidor esteja fora do ar, os computadores configurados com APIPA receberão endereços nesta classe automaticamente e irão comunicar entre si sem problemas, o APIPA continuará de tempo em tempo veificando a presença de algum server DHCP na rede, e quando encontrar, irá negociar um novo IP do DHCP.

Caso não deseje usar o endereçamento automático do APIPA, selecione "User configured" e é necessário configurar manualmente o IP que o computador deve receber caso não encontre um DHCP Server. É uma configuração útil para se usar em Laptops que utilizam IP automático na empresa, mas em casa não possui um DHCP e utiliza um IP estático.

Windows XP/2k/2k3 - Services Recovery

A algum tempo atrás, tive problemas com um antivírus em que ao iniciar o windows, o serviço de realtime scan não estava inciando automaticamente como deveria, sendo necessário ir manualmente até o serviço correspondente e iniciar o serviço. Mas como já era de se esperar, o cliente não queria nem saber de fazer este procedimento longo toda vez que iniciar o computador.

A solução que utilizei, foi criar um batch com o comando "net start" do respectivo executável e rodar no startup. Na época eu não havia me dado conta das abas adicionais que temos para a configuração dos serviços, e talvez por falta de atenção ou quem sabe de muita atenção focada na aba General (Onde se define se o serviço deve ficar desabilitado, iniciar manualmente ou automaticamente).

A questão é que quando um serviço falha, existe a aba "Recovery" em cada serviço, onde é possivel configurar ações a serem tomadas em caso de falha, para que o serviço volte a ser inicializado normalmente sem que a intervenção manual seja necessária.

Abaixo uma foto da aba "Recovery" e respectivas configurações:
Como podem ver, pode-se configurar uma ação de reestabelecer o serviço a ser tomada na primeira falha, uma ação separada para caso ocorra uma segunda falha, e também para as falhas subsequentes.

Uma boa opção é configurar para que na primeira falha a ação seja reiniciar o serviço e setar abaixo para reiniciar após o tempo desejado(1 min no exemplo). A segunda pode-se selecionar executar um programa, e no campo "run program" configurar um script com os comandos que achar necessários para restaurar. No exemplo citado no inicio do post o batch poderia ser utilizado na segunda opção caso a primeira não resolver.

Outra dica é lembrar muitos serviços dependem de outros serviços estarem ativos para funcionar, o que pode ser conferido na aba "Dependencies".

Windows XP - Habilitando IPSec

O IPSec possibilita uma transmissão de dados segura, através da criptografia de dados, usando Kerberous para autenticação.

Dados não encriptados, podem ser fácilmente lidos utilizando-se de um software(Sniffer) que captura os pacotes que trafegam por uma determinada rede.

Existem vários serviços que envolvem autenticação não segura, enviando o nome do usuário e a senha em clear text pela rede sem nenhum tipo de criptografia ou até mesmo usando criptografia reversível que pode ser facilmente quebrada.

O IPSec além de encriptografar a autenticação, também encriptografa os dados da transmissão(conteúdo).

Abaixo um exemplo de senha capturada ao efetuar uma conexão de uma estação ao servidor FTP, sem IPSec, utilizando a ferramenta Wireshark em modo promíscuo (clique para visualizar):


"Oh my God! Alguém na empresa pode estar capturando minhas senhas a qualquer momento, que por coincidência é a mesma senha que eu utilizo no meu e-mail do Hotmail, Mercado Livre, Submarino, Paypal e Cartões de banco!"

Sim, é claro que pode, e para evitar que isto aconteça a dica é configurar o IPSec em sua estação de trabalho Win XP.

Vamos as configurações.
Vá em Start->Run->mmc
Adicione o snap-in "IP Security Policy Management", selecione "Local Computer" para alterar as configurações no próprio micro.

Em uma estação de trabalho, aconselho clicar com o botão direito sobre a opção "Client (Respond Only)" e em seguida selecione "Assign" para ativar a policy. Esta opção irá funcionar da seguinte maneira: Se o servidor que estiver sendo acessado, estiver configurado para solicitar ou requerir(obrigar) uma conexão por IPSec, a transmissão de dados se dará de uma maneira segura com IPSec. Se o servidor não estiver configurado com nenhuma das opções anteriores a transmissão ainda assim irá funcionar, mas sem nenhuma criptografia. Sendo assim, só irá aumentar a segurança se o cliente e servidor estiverem configurados, e mesmo assim, como o usuário nunca sabe qual a configuração no servidor vale a pena habilitar.

Para forçar uma conexão sempre usar IPSec, usa-se a opção "Secure Server (Require Security)". Porém esta opção pode lhe causar problemas caso esteja tentando utilizar um serviço onde o outro computador na negociação não esteja configurado corretamente. Impedindo assim a comunicação, a estação irá rejeitar qualquer conexão não segura e você tera o acesso negado.

Abaixo um printscreen do whireshark, mostrando como fica a interceptação de pacotes encriptografados com IPSec na mesma tentativa de acesso ao FTP como no exemplo acima. Note que os dados não são legíveis:

Play-Asia - Importação de Jogos

A
Play-Asia.com é uma loja on-line de Jogos, consoles, acessórios, cabos, filmes e música em Hong Kong. É uma loja confiável e uma boa dica para adquirir algum jogo ou acessório dificil de encontrar no Brasil.

Ao encontrar o item desejado para compra, certifique-se de que é compativel com a sua versão de console (US, Japan, Asia ou Region-Free).
Será necessário um cartão de crédito internacional para efetuar a compra, ou uma conta do serviço PayPal.

O envio de 1 jogo custa apenas U$5.70 e demora em torno de 15 dias para chegar. Pode ocorrer de demorar quase 1 mês quando fica retido na Receita Federal, sujeito a cobrança de impostos no total de 60% sobre o valor do produto+frete.
Na teoria, encomendas de valor total de menos de U$50.00 não pagam impostos.

Em relação aos impostos cobrados, as vezes ocorre da receita não cobrar nada e outras vezes o produto pode ser taxado. O procedimento adotado não é sempre o mesmo e também depende de sorte e do estado onde será a entrega.

Mesmo assim, pode valer a pena, visto que muitos preços praticados aqui no Brasil são absurdos.

Alguns itens que você pode encontrar na loja são:

Jogos e acessórios para:
PS3 , PS2 , Wii , Xbox360 , enfim, para todos os consoles .

Para os entusiastas de filmes em Blu-Ray, confira a sessão de títulos no formato americano:
Blu-ray US Version .

Também a sessão de itens em promoção vale a pena conferir, só pechincha!: Bargains

Boas compras!

Windows 2003 - RRAS

Routing and Remote Access Server

O RRAS permite configurar:

Dial-up: Um usuário remoto pode discar ao servidor RRAS para acessar a rede privada da empresa.

Demand Dial: O RRAS faz a conexão automaticamente toda vez que necessário entre duas localidades que não possuem uma conexão sempre ativa.

VPN: Configurar um servidor de Virtual Private Network, permite conexão segura de um cliente remoto a rede interna da empresa criando um "tunel" por onde passa a comunicação encryptografada.

Routing: Faz o roteamento de pacotes entre duas redes.

NAT: Network Address Translation, permite usar um IP externo direcionando devidas portas para um ip interno na rede privada.

DHCP Relay Agent: Permite passar DHCP Discover broadcasts em busca de um servidor DHCP pelo roteador podendo alcançar outra rede.

IAS: Internet Authentication Service, é um server RADIUS para centralizar a administração da autenticação de vários servidores RRAS.

*
Para configurar o RRAS vá em Start -> Administrative Tools -> Routing and Remote Access.

Em seguida clique com o botão direito sobre o nome do servidor e clique em Configure and Enable Routing and Remote Access.

Utilize o Wizard para auxiliar na configuração de VPN, NAT, Router ou Firewall. Caso o wizard impeça a instalação devido ao servidor ter apenas uma placa de rede, siga pela opção Custom.

Protocolos de autenticação

Os seguintes protocolos de autenticação são utilizados pelo RRAS:

EAP: "Extensable Authentication Protocol", permite a utlização dos metodos: - "MD5-Challenge" é uma versão diferente CHAP com esquema hash, utilizada com clientes não Microsoft, encripta apenas user e senha mas não o conteúdo do será transmitido; - "Protected EAP (PEAP)" utilizado em conexões wireless; - "Smart Card or other certificate". Encripta os dados da transmissão.

MS-CHAP v2: Provê "two way authentication" também conhecido como "mutual authentication", Encripta os dados da transmissão usando keys criptografadas separadas para enviar e receber. Não funciona com Windows95 até que seja instalado "Windows Dial up Networking v1.3", após é possível utilizar MS-CHAP v2 para conexões VPN PPTP, mas mesmo assim não irá funcionar para conexões Dial-up do Windows95.

MS-CHAP: Utiliza non-reversible encryption, 40-bit encryption key, sendo assim mais seguro que CHAP, porém possui pontos fracos como a retrocompatibilidade com LAN Manager e faz apenas uma "one way authentication" onde o server se certifica que o cliente é realmente quem diz ser, mas o cliente não verifica se o server é o server real, podendo se conectar em um server falso. Estas vulnerabilidares foram corrigidas no MS-CHAP v2. Encripta os dados da transmissão usando uma single key dos dois lados.

CHAP: Utiliza esquema hash MD5 que encripta o password, porem esse hash pode ser capturado na rede e com algumas ferramentas hacker é possivel reverter este hash descobrindo o password. Não é um método seguro, normalmente utilizado com clientes não Microsoft. Utiliza a opção de "reversible encryption" nas propriedades do usuário. Não encrypta os dados da transmissão.

SPAP: "Shiva Password Authentication Protocol", usa reversible encryptions, podendo ser capturadas, utilizado Replay attacks, não pode ser usado com VPN pois não suporta encriptação para PPTP.

PAP: "Unencrypted Password", envia o password en clear text, podendo ser capturado com qualquer sniffer.

VPN

Selecione no Wizard Custom -> VPN. Após configurar e ativar vá em IP Routing -> General e então clique duplo sobre a placa de rede na qual a conexão será feita.

Na aba General, os filtros de Inbound e Outbound devem ser configurados para maior segurança.
Configuração Inbound:

Selecione a opção "Drop all packets except those that meet the criteria below", assim tudo que não estiver de acordo com os filtros criados será descartado.

Para adicionar os filtros clique em New. em Souce Network deixe o checkbox desmarcado, assim esta opção ficará configurada como Any. em Destination Network configure o IP da placa de rede que estará recebendo a conexão VPN e coloque a mascara 255.255.255.255, fechando a rede para que funcione apenas neste ip. Selecione o protocolo Other e configure com a porta 47.
A seguir faça o mesmo procedimento para todos os outros protocolos e portas para que fique de acordo com a figura abaixo:


Esta configuração libera a comunicação para conexão PPTP e L2TP. Caso deseje apenas configurar para conexões PPTP os filtros de protocolo UDP não são necessários.

O Generic Router Encapsulation Protocol irá usar a porta 47, isto permitirá o tráfego PPTP encapsulado.
A TCP (Estabilished), porta 1723 como Source, é utilizada pelos pacotes PPTP.
A TCP, porta 1723 na Destination, também deve ser configurada para permitir o tráfego PPTP.
Porta Destination 500 do protocolo UDP, é ultizada para troca de Keys pelo protocolo L2TP.
Porta Destination 1701, protocolo UDP, permite conexão L2TP.
Porta Destination 4500, protocolo UDP, permite NAT sobre IPSec.

Configuração Outbound Filters:

O mesmo procedimento acima, porém, o IP da placa de rede do servidor onde esta recebendo a conexão VPN deve ser configurado no Source Network e o Destination Network fica desmarcado. As portas também se invertem de acordo com figura abaixo:

RRAS Policies

Dentro do Routing and Remote Access, na opção Remote access policies, tem a opção Connection to Microsoft Routing and Remote Access Server, duplo clique nesta opção.

Cria-se as condições para a aplicação da policy, por default a opção MS-RAS-Vendor matches "^311$" este código ^311$ significa Microsoft RRAS Server, então esta condição padrão diz que estou me conectando a um servidor MS-RRAS e caso esta condição estiver de acordo, é possível negar ou liberar o acesso ao servidor.

Para implementar uma maior segurança pode-se adicionar condições, porém é aconselhavel ao invés de adicionar várias condições em uma policy, criar uma nova policy para a nova condição. Assim a administração será facilitada pois existe uma ordem de checagem das policies criadas. Por exemplo, após verificar a primeira, se as condições estiverem de acordo e a policy configurada para que negue o acesso, a conexão será interrompida; Se a condição não estiver de acordo o sistema não sabe se deve negar ou não e irá verificar se as condições da próxima policy esta de acordo ou não assim por diante.

Exemplo de condições extras que podem ser criadas é limitar acesso a determinados Global Groups (UG e DLG não são permitidos) com a condição "Windows Groups", ou limitar por horário de logon com a condição "Day-And-Time-Restriction". Há vários atributos diferentes para serem utilizados além dos dois citados como exemplo.

IMPORTANTE: Se o DFL (Domain Funcional Level) estiver em mixed mode, a opção de "Control access through Remote Access Policy" vai estar desabilitada na aba "Dial-in" de cadas usuário no "AD Users and Computers". Esta opção deve ser marcada para que a configuração de policies no RRAS funcione corretamente, pois um "Allow access" nas propriedades do "Dial-in" de um usuário vence sobre o "Deny access" da configuração da policy no RRAS. Portando, será necessário aumentar o nível para Windows 2003 nativo para habilitar esta opção.

Após criar uma nova policy ou nova condição em uma policy, espere em torno de 30 segundos a 1 minuto para testar, pois o sistema operacional leva um tempo para botar em prática.

Fluxograma da aplicação de policies do RRAS:


IAS (Internet Authentication Service) (RADIUS Server)

Caso a rede tenha mais de um servidor RRAS, uma opção é configurar um servidor IAS para gerenciar as conexões de todos os RRAS presentes. A estrutura aconselhável seria:

[Cliente] --> Internet --> [RRAS Server (Radius client)] --> [RADIUS Server(IAS)] --> [DC]

Para instalar o RADIUS Server vai em Control Panel -> Add/Remove Programs -> Windows Components -> Networking Services -> Internet Authentication Service.

O Server RRAS será um Radius Client, no Server RRAS, dentro do "Routing and Remote Access "clica com botão direito sobre o servidor e vai em "properties". Na aba "Security" configura o "Authentication provider" e "Accounting provider" como "RADIUS Authentication" e "RADIUS Accounting" respectivamente. Clique no botão "configure" para adicionar o IP do server RADIUS(IAS) e a senha. Marque o checkbox "Always use message authenticator" para maior segurança. o mesmo para o botão "configure" do "Accounting provider".

No RADIUS Server vá em Start -> Administrative Tools -> Internet Authentication Service.
Clique com o botão direito sobre o "Internet Authentication Service (local)" e selecione "Register Server in Active Directory", isto é o mesmo que adicionar o servidor IAS no grupo "RAS and IAS Servers".
Após, clique com o botão direito sobre a pasta "RADIUS Clients" e selecione "New RADIUS Client". Informe o nome e ip do servidor RRAS. Configure a mesma senha configurada no server RRAS e marque o checkbox "Request must contain the Message Authenticator Attribute". Selecione como Client-Vendor: "RADIUS Standard".

As portas 1812 e 1813 devem estar liberadas entre o RRAS e o IAS para a autenticação.

Após feitas as configurações é necessário fazer um restart no serviço do RRAS.

Em Events Log -> System os logs de IAS indicam Warnings e Errors de conexões ao server IAS.
O RRAS e o IAS devem ficar no mesmo domínio ou na mesma Floresta.


Demand Dial

Exemplo1-

Um exemplo de utilização seria uma conexão entre 2 sites em diferentes localidades, e de cada lado 1 modem de 56k. No caso poderia ser configurada uma Demand Dial para sincronizar o AD toda noite. Para o exemplo vamos configurar a Demand-dial entre "Server1" e "Server2".

Para configurar, no "Server1" dentro do "Routing and Remote Access", clique em "Network Interfaces" no menu da esquerda. Em seguida na direita clique com o botão direito e selecione "New Demand-dial Interface".

Siga os passos do wizard de acordo com o cenário:

- Crie um nome para a inteface.
- Selecione configuração por modem.
- Selecione o modem que irá utilizar.
- Em "Protocols and Security" marque "Route IP packets on this interface" e "Add a user account so a remote route can dial in".
- Em seguida informe o ip da rede remota (Server2) para onde a conexao será feita e a mascara de rede, por exemplo: 192.168.6.0 255.255.255.0.
- Na próxima tela digite um password para uma conta local que será criada automaticamente no Server1, essa conta será configurada no RRAS do Server2 no outro site, para fazer a discagem de Server2 para Server1.
- Em seguida é ao contrário, é necessário configurar no Server1 qual a conta que foi criada no Server2, para efetuar a conexão de Server1 para Server2. O campo "Domain" pode ser deixado em branco no caso por a conta para a conexão foi criada local e não no AD.(Esta configuração é feitas dos dois lados).
- Finish

Exemplo2-

Digamos que entre os 2 sites exista uma conexão dedicada e queremos fazer a conexão por este link com segurança. Para isto podemos configurar uma Demand-dial de VPN.

O Procedimento para iniciar a configuração é o mesmo do exemplo1-

- Seleciona "Connect using virtual private networking (VPN)".
- Selecione o protocolo que deseja usar, lembrando que L2TP é o mais seguro.
- Digite o IP da interface que irá receber esta conexão no outro site, por exemplo 192.168.1.1.
- Em "Protocols and Security" marque "Route IP packets on this interface" e "Add a user account so a remote route can dial in".
- Em seguida informe o ip da rede remota (Server2) para onde a conexão será feita e a mascara de rede, por exemplo: 192.168.1.0 255.255.255.0.
- Crie a conta local para Demand-dial escolhendo um password.
- Em seguida configure com a conta que foi criada no Server2. (Esta configuração é feitas dos dois lados).
- Finish

Nas propriedades existe a opção de manter a VPN persistente caso queira que ela esteja sempre conectada.

Static Routing


Para criar rotas persistentes(mantém mesmo após reboot) pelo RRAS vá em IP Routing -> Static Routes, na direita clique com botão direito e selecione New Static Route, escolha a interface da saida da comunicação, coloque o ip da rede de destino e respectiva máscara. No gateway configure o ip da placa de rede do roteador. Metric é utilizado para setar prioridade no caso de haver mais de um roteador que possa ser utilizado para a mesma função, quanto mais alto o valor do metric, menor a prioridade.

Por exemplo, de acordo com a figura acima, para configurar uma rota estática para que uma estação da rede 10.10.10.0 que utilize o default gateway 10.10.10.2 tenha acesso a rede 10.10.9.0 cria-se uma roda com as seguintes configurações:

Interface: PrivateNetwork (10.10.10.2)
Destination: 10.10.9.0
Mask: 255.255.255.0
Gateway: 10.10.10.1
Metric: 1

Para ver a tabela de roteamentos ativas pode-se usar tanto o comando route print no prompt de comando como acessar no RRAS clicando com o botão direito sobre Static Route e selecionando Show IP Rounting Table.

Command line:

Para adicionar uma rota:

route add x.x.x.x(destination) mask x.x.x.x(máscara da rede) x.x.x.x(gateway de saida para a rede).

Para inserir uma rota persistente adicione -p, exemplo:

route add -p 10.10.8.0 mask 255.255.255.0 10.10.10.1

Para excluir uma rota:

route delete x.x.x.x(destination)

IMPORTANTE: Procure utilizar sempre o mesmo método para adicionar ou remover rotas, pelo GUI do RRAS ou por command line. Pois quando se adiciona uma rota persistente por command line ela não aparece na routing table do RRAS o que pode causar confusão.

* Troubleshooting

Caso o RRAS não estiver roteando, acesse as propriedades do servidor na aba General é necessário que o checkbox Router esteja marcado assim como radio button LAN and Demand-dial routing. Outro local que deve ser verificado é clicando em IP Routing -> General, entre nas propriedades da interface que esta sendo utilizada e certifique que o checkbox Enable IP Router Manager está marcado.

RIP (Routing Information Protocol)

Facilita na sincronização da tabela de roteamento entre roteadores atualizando a tabela de roteamentos inteira a cada 30 segundos via broadcast por padrão. Conta somente até 15 Hops.

Pode ser instalado clicando com botão direito sobre General -> New Routing Protocol, selecione o protocolo RIP Version2 for Internet Protocol. Irá aparecer um novo item RIP no menu a esquerda. Na direita, clique com botão direito e selecione New Interface...seleciona a interface que será usada.

O "Operation Mode" padrão é Periodic update mode no qual a cada 30 segundos é feito um broadcast na rede informando os roteadores que se encontram. Já o modo Auto-Static update mode é o padrão para Demand-dial no qual só passa a informação da routing table quando requisitado.

Para fazer com que o roteador fique em "listening mode", ou seja apenas receba informações de outros roteadores mas não envie nada, se utiliza Silent RIP em "Outgoing packet protocol".

No checkbox "Activate Authentication" pode se configurar um password, e então todos os roteadores que estiverem configurados com o mesmo password irão trocar informações. Este password não é encriptado, é enviado em pacotes em clear text.

Na aba Security pode configurar de quem deseja que receba a lista de roteamento, podendo aceitar ou ignorar caso o ip do remetente esteja na range configurada.

OSPF (Open Shortest Path First)

OSPF é um protocolo de roteamento superior ao RIP, para se utilizar em redes grandes que chegam a ter 15 hops para o envio de um pacote do remetente ao destinatário.

Pode ser instalado clicando com botão direito sobre General -> New Routing Protocol, selecione o protocolo Open Shortest Path First (OSPF). Irá aparecer um novo item "OSPF" no menu a esquerda. Na direita, clique com botão direito e selecione New Interface...seleciona a interface que será usada.

RIP vs. OSPF

RIP - OSPF

Fácil Implementação - Mais complexo
Redes pequenas à médias - Grandes Redes
15 Hops - Eficiente(sem limite de hops)
Broadcast a cada 30 seg.(default) - Areas, Backbone(divisão em áreas impede broadcast)
Pode ocorrer Loop no roteamento - No Loops
Hop Count only - Atualiza as tabelas rapidamente entre roteadores.

ICS (Internet Connection Sharing)

O ICS quando habilitado na interface(conexão de placa de rede ou modem) que tem acesso a internet, faz com que outros hosts da rede privada (LAN) tenham acesso à Internet que está sendo compartilhado pelo ICS.

Funciona criando uma local address table, quando uma hosts faz o acesso via ICS o ip interno fica registrado junto com uma porta random e no caminho inverso o ICS utiliza a tabela para encaminhar a comunicação.

Para configurar o ICS, entre nas propriedades da conexão de rede ou dial-up, na aba "Advanced" selecione o checkbox "Allow other network users to connect through this computer's Internet Connection".

IMPORTANTE: O ICS quando habilitado, emite IPs classe C 192.168.x.x para os hosts na rede. O problema é que não há uma interface para definir ranges como no DHCP. Isso pode e irá causar conflitos de IP na rede caso algum host esteja configurado com IP stático e conflita com o IP emitido pelo ICS.

Portanto o ICS é uma boa opção para se utilizar em casa ou em uma rede pequena de escritório. Mas não em empresas melhores estruturadas com vários servidores, neste caso seria aconselhável utilizar o NAT do RRAS.

NAT/Basic Firewall

Para instalar clique com botão direito sobre General -> New Routing Protocol, selecione o protocolo Nat/Basic Firewall. Irá aparecer um novo item "NAT/Basic Firewall" no menu a esquerda. Na direita, clique com botão direito e selecione New Interface...seleciona a interfaces que serão usadas( uma pública e outra privada). No caso da interface pública, ao adicionar, na aba "NAT/Basic Firewall" selecione o radio button "Public interface connected to the Internet" e marque os checkbox apropriados para a ocasião.

Nas propriedades de "NAT/Basic Firewall", na aba "Address Assignment" pode se configurar o DHCP informando o ip da rede desejado(Ex.: 192.168.1.0 mask 255.255.255.0). Também permite configurar exclusões de IP, sendo assim uma vantagem sobre o ICS, evitando conflitos.
Na aba "Name Resolution" configure o servidor DNS para os clientes.

Windows 2003 - Network Monitor

Para Instalar o Network Monitor no Windows Server 2003

1. Click em Start -> Settings -> Control Panel -> Add/Remove Programs.

2. Click Add/Remove Windows Components.

3. Selecione Management and Monitoring Tools and click Details.

4. Selecione Network Monitor Tools e click OK.

5. Tenha em mãos os discos de instalação do Windows 2003 caso seja requisitado pelo sistema.

Executando o Network Monitor

Após completar a instalação, inicie o Network Monitor que se encontra nas Administrative Tools. Quando o aplicativo iniciar, selecione qual a placa de rede que você deseja capturar os pacotes. O Network Monitor não opera em modo promíscuo, capturando apenas os pacotes enviados para a placa de rede selecionada. Para capturar pacotes em modo promíscuo recomento o Wireshark (Ethereal).

Windows 2003 - Roaming Profiles

Para configurar roaming profiles de maneira segura optando por dar acesso ou não aos administradores às pastas dos usuários.
Primeiro criar uma pasta no servidor que deve ser compartilhada com o $ para segurança;

Share Permissions parent folder:

Exemplo criando a pasta d:\RProfiles, compartilhe como rprofiles$ com as seguintes permissões:

Everyone = Full Control

Caso desejar um ambiente mais seguro crie um grupo de segurança, por exemplo "RProfileUsers", adicione os devidos users a este grupo, e configure as permissões share:

Eveyone = No Permissions
RProfileUsers = Full Control

Para dar permissão aos administradores adicionar

Administrators = Full Control

NTFS Permissions parent folder:

Nas permissões NTFS da pasta pai, configure de acordo com modelo abaixo:

Creator/Owner = Full Control - Apply to Subfolders And Files Only (advanced)

Administrator = Full Control

RProfileUsers = List Folder/Read Data, Create Folders/Append Data - Apply onto: This Folder Only

Everyone = No Permissions

Local System = Full Control - Apply to This Folder, Subfolders And Files (advanced)

Para liberar acesso aos administradores para as pastas dos usuários configure a policy "Default Domain Policy -> Computer Configuration -> Windows Templates -> System -> User Profiles -> Add the Administrators security group to roaming user profiles" como Enabled. Após configurar, execute o comando "gpupdate". As estações que estiverem ligadas no momento em que a policy foi configurada no domínio, devem ser reiniciadas, ou executar o comando gpupdate na estação para entrar em vigor.

NTFS Permissions for Each Users Roaming Profile Folder (esta se configura automaticamente)

%Username% = Full Control, Owner Of Folder

Local System = Full Control

Administrators = No Permissions ou Full Control*

Everyone = No Permissions

* Depende da escolha feita acima na policy de liberar ou não acesso ao usuário ou grupo de administradores.

O caminho UNC deve ser configurado na aba Profile das propriedades de cada usuário da seguinte maneira:

Profile path: \\nomedoserver\rprofiles$\%username%