Infomach

Alternativa segura de VPN para clientes Microsoft Windows

Tempo de leitura: 4 minutos

Em tempos de coronavírus e a urgência de se prover acesso remoto para os colaboradores, a necessidade de se conceder este acesso de maneira segura nem sempre vem acompanhada de budget ou dos requisitos técnicos (hardware e software) necessários.

Em cenário com uma destas limitações, uma alternativa de conexão para o trabalho home office é habilitar a conexão remota VPN para clientes Microsoft Windows.  

Este artigo propõe uma alternativa de baixo custo, rápida e segura para o cenário onde o colaborador irá levar para casa o mesmo dispositivo (desktop/notebook) que ele já utilizava na empresa anteriormente.

Esta é uma alternativa para cenários onde não é viável ou possível contar com tecnologias como o Client VPN/SSL VPN da SonicWall ou do fabricante de seu firewall atual.

A solução descrita aqui é recomendada para um cenário onde os desktops/notebooks que irão realizar o acesso remoto estavam anteriormente conectados ao ambiente na rede local. Ou seja, se o colaborador vai trabalhar remotamente, utilizando o mesmo computador que ele já usava quando estava fisicamente na empresa, esta alternativa pode sim ser considerada adequada.

A solução consiste em entregar uma conexão segura com o protocolo SSTP – Secure Socket Tunneling Protocol, que é o encapsulamento do protocolo PPP em SSL/TLS. 

Não é necessário instalação de nenhum cliente VPN nos sistemas operacionais Windows Vista ou superior, basta fazer a configuração no próprio painel de conexões do Windows

Uma vantagem é que poderá ser utilizado o mesmo usuário e senha do Active Directory. Neste caso será criado um Grupo para os usuários com permissão de acesso externo.

Importante que você tenha GPOs que obriguem utilização de senha segura, limite a quantidade de erros de autenticação e bloqueie o usuário por minutos ou horas.

O que é necessário para realizar a configuração da VPN SSTP: 

Obs: Recomendamos que a atualização do Windows seja feita de forma recorrente, que ele esteja protegido por um Firewall com recursos de IPS e que possua uma solução antivírus/antimalware instalada e atualizada no servidor RRAS.  

Por se tratar de uma conexão SSL 443/TCP, esta conexão é criptografada e permitida na maioria das redes e filtros existentes. Assim é muito improvável que ocorram bloqueios no acesso VPN. 

Diagrama simplificado da comunicação VPN SSTP/SSL-TLS 

Obs: Recomendamos que o servidor RRAS esteja em uma rede DMZ, mas isso não é um requisito para o funcionamento da conexão VPN. 

Clique aqui para ver um video ensinando como instalar e configurar conexão remota VPN no Windows Server

Em um cenário onde o usuário/colaborador da sua empresa irá utilizar um computador/notebook próprio, desconhecido ou não gerenciado por sua corporação, a recomendação da Infomach é a utilização de Client VPN ou SSL VPN da SonicWall, pois neste caso a inspeção antivírus/antimalware do firewall SonicWall irá filtrar a conexão e impedir que o dispositivo traga um malware para sua rede.

Texto por José Vicente França, Arquiteto de solução de infraestrutura, cloud e backup na Infomach.

Quer ajuda para implementar essa solução no seu negócio? A Infomach pode realizar este serviço para você. Antes de entrar em produção faremos ainda uma analise de vulnerabilidade de seu servidor Windows Server. Clique no banner e receba um orçamento!

Sair da versão mobile