fbpx

Blog

Alternativa segura de VPN para clientes Microsoft Windows

Capa de post - Alternativa segura de VPN para clientes Microsoft Windows
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Tempo de leitura: 4 minutos

Em tempos de coronavírus e a urgência de se prover acesso remoto para os colaboradores, a necessidade de se conceder este acesso de maneira segura nem sempre vem acompanhada de budget ou dos requisitos técnicos (hardware e software) necessários.

Em cenário com uma destas limitações, uma alternativa de conexão para o trabalho home office é habilitar a conexão remota VPN para clientes Microsoft Windows.  

Este artigo propõe uma alternativa de baixo custo, rápida e segura para o cenário onde o colaborador irá levar para casa o mesmo dispositivo (desktop/notebook) que ele já utilizava na empresa anteriormente.

Esta é uma alternativa para cenários onde não é viável ou possível contar com tecnologias como o Client VPN/SSL VPN da SonicWall ou do fabricante de seu firewall atual.

A solução descrita aqui é recomendada para um cenário onde os desktops/notebooks que irão realizar o acesso remoto estavam anteriormente conectados ao ambiente na rede local. Ou seja, se o colaborador vai trabalhar remotamente, utilizando o mesmo computador que ele já usava quando estava fisicamente na empresa, esta alternativa pode sim ser considerada adequada.

A solução consiste em entregar uma conexão segura com o protocolo SSTP – Secure Socket Tunneling Protocol, que é o encapsulamento do protocolo PPP em SSL/TLS. 

Não é necessário instalação de nenhum cliente VPN nos sistemas operacionais Windows Vista ou superior, basta fazer a configuração no próprio painel de conexões do Windows

Uma vantagem é que poderá ser utilizado o mesmo usuário e senha do Active Directory. Neste caso será criado um Grupo para os usuários com permissão de acesso externo.

Importante que você tenha GPOs que obriguem utilização de senha segura, limite a quantidade de erros de autenticação e bloqueie o usuário por minutos ou horas.

O que é necessário para realizar a configuração da VPN SSTP: 

  • Windows Server 2016 ou superior para configuração do RRAS 
  • Certificação SSL válido (para impedir que um outro servidor na internet tente se passar pelo servidor de sua empresa), pode ser adquirido na internet, exemplo na Godaddy 
  • Clientes Windows 8 ou Windows 10 (funciona com versão anterior mas não recomendamos o uso devido ao encerramento do suporte pela Microsoft)
  • Redirecionamento de conexões 443/TCP do seu firewall para o RRAS Server. 

Obs: Recomendamos que a atualização do Windows seja feita de forma recorrente, que ele esteja protegido por um Firewall com recursos de IPS e que possua uma solução antivírus/antimalware instalada e atualizada no servidor RRAS.  

Por se tratar de uma conexão SSL 443/TCP, esta conexão é criptografada e permitida na maioria das redes e filtros existentes. Assim é muito improvável que ocorram bloqueios no acesso VPN. 

Diagrama simplificado da comunicação VPN SSTP/SSL-TLS 

Obs: Recomendamos que o servidor RRAS esteja em uma rede DMZ, mas isso não é um requisito para o funcionamento da conexão VPN. 

Clique aqui para ver um video ensinando como instalar e configurar conexão remota VPN no Windows Server

Em um cenário onde o usuário/colaborador da sua empresa irá utilizar um computador/notebook próprio, desconhecido ou não gerenciado por sua corporação, a recomendação da Infomach é a utilização de Client VPN ou SSL VPN da SonicWall, pois neste caso a inspeção antivírus/antimalware do firewall SonicWall irá filtrar a conexão e impedir que o dispositivo traga um malware para sua rede.

Texto por José Vicente França, Arquiteto de solução de infraestrutura, cloud e backup na Infomach.

Quer ajuda para implementar essa solução no seu negócio? A Infomach pode realizar este serviço para você. Antes de entrar em produção faremos ainda uma analise de vulnerabilidade de seu servidor Windows Server. Clique no banner e receba um orçamento!

Artigos Relacionados

Procurar

Utilize o campo abaixo para encontrar o que deseja no Blog.

Newsletter

Assine nossa newsletter e receba diretamente em seu e-mail nossos informativos.