Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012

Autor: Thiago Inácio de Matos

Contato: thiago.matos@outlook.com.br

VPN

PPTP

1. Criptografia de 40 bits (não utilizado pelas grandes empresas)

L2TP

1. Possui dois métodos de criptografia

1. Criptografia de 128 bits (chave pré compartilhada)

2. Criptografia de 2048 bits (certificado/IPSec)

SSTP

1. Criptografia de 2048 bits usa somente a porta 443

IKEV2

1. Criptografia de 2048 bits possui reconexão automática

LAB

Server1

Server2

Server3

Client1

Instar as funções de AD/DNS no server1, IIS no server2 e o NAT no server3

Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012

Autor: Thiago Inácio de Matos

Contato: thiago.matos@outlook.com.br

PPTP +RRAS

Cliente

1. Central de rede e compartilhamento

2. Conectar a um local de trabalho

3. Usar minha conexão coma Internet

4. Configurar a conexão de internet mais tarde

5. IP externo do NAT // Nome escolha livre

6. Marcar “Permitir que ouras pessoas usem esta conexão” que é requisito para AD

Configurações para conexão

1. Desabilitar o NAT (passo necessário para realizar os testes com o RRAS)

2. Habilitar o Roteamento de LAN (RRAS)

1. Botão direito na guia geral

2. Habilitar a opção de servidor de acesso remoto IPv4

3. No AD dar permissão ao usuário que fará o acesso remoto

1. IR ao Usuário e grupos locais

2. Propriedades do usuário que utilizará a VPN

3. Permissão de acesso à rede – Permitir acesso

3. No servidor de RRAS

4. Botão direito em portas

5. Seleciona PPTP – configurar

6. Habilitar conexões de acesso remoto (somente de entrada)

Para que seja possível a navegação dentro da rede existem duas formas uma é por meio de DHCP e

outra é através de configuração de range IP no servidor do RRAS

1. Propriedades de roteamento e acesso remoto

2. Guia IPv4

3. Pool de endereços estáticos

4. Adicionar

5. Inserir o ranges

Nota:

A porta que é habilitada é a 1723

Outro protocolo que é utilizado é o GRE

PPTP +NAT

Configurações normais do NAT

Na placa de saída configurar a opção Gateway VPN (PPTP) e em endereço particular inserir o

endereço de loopback

L2TP+chave

1. Central de rede e compartilhamento

2. Conectar a um local de trabalho

Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012

Autor: Thiago Inácio de Matos

Contato: thiago.matos@outlook.com.br

3. Usar minha conexão coma Internet

4. Configurar a conexão de internet mais tarde

5. IP externo do NAT // Nome escolha livre

6. Marcar “Permitir que ouras pessoas usem esta conexão” que é requisito para AD

7. No discador configurado

1. Na guia segurança escolher o Tipo de VPN como L2PT

2. Em configurações avançadas – inserir uma chave pré compartilhada

8. No servidor de VPN

1. Propriedades de roteamento e acesso remoto

2. Guia segurança

3. Marcar a caixa permitir diretiva IPSec personalizada para conexão L2PT

4. Inserir a chave pré compartilhada

L2PT+IPSec

Para a atender as necessidades é necessário instalar um AD CS no DC

Gerenciador de servidores

Adicionar função

Serviço de Certificado do Active Directory

Autoridade de certificação

Registro na Web de Autoridade de Certificação

Fazer com que os computadores confiem na CA (gpupdate /force nos equipamentos da rede)

É necessário criar um novo certificado

Modelos de certificado

No lado direito da tela > Botão direito > gerenciar (abre o console de modelo de certificado) >

IPSec (solicitação off-line) > Botão direito Modelo Duplicado para gerar uma cópia do certificado >

Windows server 2003 enterprise por questões de segurança e você manter o original.

No novo certificado > Guia tratamento de solicitação > marcar “permitir que a chave privada seja

exportada” >

No novo certificado > Guia segurança > adicionar o usuário todos > dar controle total

Para que seja possível a visualização do novo modelo de cerificado é necessário seguir o seguinte

passo.

Modelo de certificado > no lado direto, clicar com o botão direito > novo > modelo de certificado a

ser emitido > escolher o certificado e clicar em OK

Solicitando o certificado

Configuração do MMC

Adicionar certificados > conta de computador (local) e minha conta de usuário

Solicitar o certificado pelo site de certificado > http://192.168.x.x/certsrv > solicitar certificado >

Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012

Autor: Thiago Inácio de Matos

Contato: thiago.matos@outlook.com.br

solicitação avançada > criar e enviar uma solicitação para a CA

Na página de certificado preencher da seguinte forma:

Modelo de certificado – Escolher o certificado de IPSec configurado anterior mente:

Informações de identificação para modelo off-line -

Nome: nome FQDN do equipamento

Avançar e instalar o certificado

Com esse procedimento temos um certificado de usuário, para termos ele como um certificado de

computador é necessário exportar o certificado criado.

Botão direto no certificado > todas as tarefas > exportar > Exportar a chave privada

Em certificados de comutador > pessoal > botão direito na área da direita > todas as tarefas >

importar.

Para o computador que não está no domínio confiar na Ca

O primeiro passo é criar uma regra no NAT para que seja possível acessar o site da CA

Para configura na CA é necessário:

Fazer o download de um certificado de autoridade de certificação, cadeia de certificados ou lista de

certificados revogados > fazer download de certificado da autoridade de certificação > importar o

certificado baixado através do MMC de certificados > adicionar certificados de usuário e

computador local > importar para autoridade certificação de raiz confiáveis

O FQDN a ser utilizado vai ser apenas o nome do computador, já que ele não está no domínio

DNSSec

É um padrão internacional que estende a tecnologia DNS. O que DNSSec adiciona é um

sistema de resolução de nomes mais severo, reduzindo risco de manipulação de dados e

informações. O mecanismo utilizado pelo DNSSec é baseado na tecnologia de criptografia de

chaves públicas.

DNSSec fornece autenticidade e integridade das respostas DNS.

DNS soluciona problemas encontrados na atual tecnologia DNS.

No protocolo DNS, um ataque onde a informação é corrompida é extremamente difícil de

ser detectado, e praticamente impossível de ser prevenido.

O objetivo da extensão DNSSec é assegurar o conteúdo do DNS e impedir estes ataques

validando os dados e garantindo a origem das informações

Instalar a função de DNS

Criar uma zona primaria com o nome domx.local

Primeiro passo é realizar um backup da zona atual com o comando abaixo

Dnscmd serverx /zoneexport domx.local bkpdns

Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012

Autor: Thiago Inácio de Matos

Contato: thiago.matos@outlook.com.br

O arquivo de backup fica em %system32%\dns\nome-do-arquivo

Gerar a chave pública do dns

KSK (Key Signing Keys)

Dnscmd /offlinesign /genkey /alg rsash1 /flags ksk /length 2048 /zone domx.local /sscert

/friendlyname ksk.dom11.local

Para atrelar a zona dns

ZSK (Zone Signing Keys)

Dnscmd /offlinesign /genkey /alg rsash1 /length 2048 /zone domx.local /sscert /friendlyname

zsk.dom11.local

Assinar a zona

Dnscmd /offlinesign /signzone /input c:\windows\system32\nome_do_backup /output

“caminho_desejado” /zone domx.local /signkey /validto (data usando o seguinte formato

[AAAAMMDDHHMMSS]) validfrom (data usando o seguinte formato

[AAAAMMDDHHMMSS]) /friendlyname “nome_amigável_do_certificado”

É necessário deletar a zona

Adicionar zona assinada:

Dnscmd serverx /zoneadd dom6.local /dsprimary /file

“arquivo_criado_durante_a_assinatura_da_zona” /load

Em modo gráfico

No console de dns

Adicionar uma nova zona primária > de o mesmo nome da chave anterior > usar este arquivo

existente

Clique com botão direito no serverx > propriedades > guia âncora de confiança > adicionar > nome

= domx.local; marcar a checkbox ponto de entrada seguro; em chave pública copiar a primeira linha

do arquivo keyset referente ao seu domínio e ok