Tempo de leitura: 4 minutos
Em tempos de coronavírus e a urgência de se prover acesso remoto para os colaboradores, a necessidade de se conceder este acesso de maneira segura nem sempre vem acompanhada de budget ou dos requisitos técnicos (hardware e software) necessários.
Em cenário com uma destas limitações, uma alternativa de conexão para o trabalho home office é habilitar a conexão remota VPN para clientes Microsoft Windows.
Este artigo propõe uma alternativa de baixo custo, rápida e segura para o cenário onde o colaborador irá levar para casa o mesmo dispositivo (desktop/notebook) que ele já utilizava na empresa anteriormente.
Esta é uma alternativa para cenários onde não é viável ou possível contar com tecnologias como o Client VPN/SSL VPN da SonicWall ou do fabricante de seu firewall atual.
A solução descrita aqui é recomendada para um cenário onde os desktops/notebooks que irão realizar o acesso remoto estavam anteriormente conectados ao ambiente na rede local. Ou seja, se o colaborador vai trabalhar remotamente, utilizando o mesmo computador que ele já usava quando estava fisicamente na empresa, esta alternativa pode sim ser considerada adequada.
A solução consiste em entregar uma conexão segura com o protocolo SSTP – Secure Socket Tunneling Protocol, que é o encapsulamento do protocolo PPP em SSL/TLS.
Não é necessário instalação de nenhum cliente VPN nos sistemas operacionais Windows Vista ou superior, basta fazer a configuração no próprio painel de conexões do Windows
Uma vantagem é que poderá ser utilizado o mesmo usuário e senha do Active Directory. Neste caso será criado um Grupo para os usuários com permissão de acesso externo.
Importante que você tenha GPOs que obriguem utilização de senha segura, limite a quantidade de erros de autenticação e bloqueie o usuário por minutos ou horas.
O que é necessário para realizar a configuração da VPN SSTP:
- Windows Server 2016 ou superior para configuração do RRAS
- Certificação SSL válido (para impedir que um outro servidor na internet tente se passar pelo servidor de sua empresa), pode ser adquirido na internet, exemplo na Godaddy
- Clientes Windows 8 ou Windows 10 (funciona com versão anterior mas não recomendamos o uso devido ao encerramento do suporte pela Microsoft)
- Redirecionamento de conexões 443/TCP do seu firewall para o RRAS Server.
Obs: Recomendamos que a atualização do Windows seja feita de forma recorrente, que ele esteja protegido por um Firewall com recursos de IPS e que possua uma solução antivírus/antimalware instalada e atualizada no servidor RRAS.
Por se tratar de uma conexão SSL 443/TCP, esta conexão é criptografada e permitida na maioria das redes e filtros existentes. Assim é muito improvável que ocorram bloqueios no acesso VPN.
Obs: Recomendamos que o servidor RRAS esteja em uma rede DMZ, mas isso não é um requisito para o funcionamento da conexão VPN.
Em um cenário onde o usuário/colaborador da sua empresa irá utilizar um computador/notebook próprio, desconhecido ou não gerenciado por sua corporação, a recomendação da Infomach é a utilização de Client VPN ou SSL VPN da SonicWall, pois neste caso a inspeção antivírus/antimalware do firewall SonicWall irá filtrar a conexão e impedir que o dispositivo traga um malware para sua rede.
Texto por José Vicente França, Arquiteto de solução de infraestrutura, cloud e backup na Infomach.
Quer ajuda para implementar essa solução no seu negócio? A Infomach pode realizar este serviço para você. Antes de entrar em produção faremos ainda uma analise de vulnerabilidade de seu servidor Windows Server. Clique no banner e receba um orçamento!
