 |
| Outros Manuais relevantes |
|
|
|
|
|
|
|
|
| Manual |
|
Como aceder remotamente à rede interna da empresa |
Índice
Introdução
Passo 1 - Prepare a rede do escritório para acesso remoto
Passo 2 - Assegure o funcionamento dos elementos de ligação
Passo 3 - Garanta a segurança da rede interna
Actualmente, o trabalho está onde quer que você se encontre no momento, quer seja
em casa, no escritório, no seu local de férias ou no escritório de um cliente.
À disposição dos utilizadores remotos, existe já uma vasta gama de opções de computação
portátil ou móvel, desde PDAs a portáteis substitutos de PCs desktops,
passando por subnotebooks.
E, todos estes computadores precisam em determinado momento de se ligar à rede principal localizada no escritório para consultar o email, recolher ficheiros, colocar ficheiros ou mesmo sincronizar ficheiros.
Passo 1 - Prepare a rede do escritório para acesso remoto
|
Voltar ao topo
|
O acesso remoto pode ser definido como um conjunto de tecnologias que liga de uma forma transparente um computador, normalmente localizado num local afastado do escritório da empresa, a uma rede. Esta funcionalidade permite assim que as organizações liguem o PC portátil ou computador doméstico de um seu empregado à rede empresarial para ler email ou aceder a ficheiros partilhados.
Como é que o acesso remoto funciona?
Normalmente, é necessário um computador e um modem no local remoto e um dispositivo designado servidor de acesso remoto ligado à rede no seu escritório. A partir do local remoto, o funcionário pode utilizar o modem para ligar-se à rede do seu escritório. Na rede da empresa, a ligação é completada pelo servidor de acesso. Em seguida, o servidor de acesso remoto verifica a password e, se o utilizador está autorizado a entrar na rede, permite o seu acesso.
Se for autorizado, pode enviar emails, utilizar aplicações, transferir ficheiros ou desempenhar qualquer outra tarefa tal como se o computador remoto estivesse de facto na rede do escritório. Os servidores de acesso remoto são frequentemente utilizados em empresas em que são necessárias múltiplas linhas de acesso para que vários funcionários à distância possam aceder à rede local (LAN) em simultâneo.
Os clientes de acesso remoto empregam ferramentas-padrão para aceder aos recursos. Por exemplo, num computador com o sistema operativo Windows 2000, os clientes podem utilizar o Windows Explorer para efectuar ligações a drives e ligarem-se a impressoras. Uma vez que as ligações são persistentes, os utilizadores não têm que ligar-se outra vez aos recursos da rede durante as suas sessões remotas.
Tipos de ligação por acesso remoto
Existem dois grandes tipos de tecnologia para aceder remotamente à rede do seu escritório:
- Acesso remoto por dial up - com esta solução, um cliente de acesso remoto utiliza a infra-estrutura de telecomunicações (normalmente, uma linha telefónica analógica) para criar um circuito físico ou virtual temporário a um servidor de acesso remoto. A partir do momento em que esse circuito é criado, o resto dos parâmetros da ligação podem ser negociados. As vantagens desta opção residem no facto de ser relativamente simples de instalar e de administrar, para além de ser mais segura face a ataques aleatórios perpetrados através da Web. O maior inconveniente está no custo e na complexidade, dois factores que vão continuar a aumentar à medida que a empresa for alargando a capacidade da rede de acesso remoto;
- Acesso por Virtual Private Network (VPN) - com este método, um cliente de VPN utiliza uma rede IP para criar uma ligação virtual ponto-por-ponto com um servidor de acesso remoto actuando como o servidor da VPN. A partir do momento em que a ligação virtual ponto-por-ponto é criada, o resto dos parâmetros de ligação podem ser negociados. As VPNs têm a vantagem de ter um custo relativamente baixo e de poderem funcionar a altas velocidades. Em contrapartida, requerem um endereço IP estático, são relativamente difíceis de instalar e de administrar e podem exigir software adicional de outras empresas para aumentar a segurança.
Passo 2 - Assegure o funcionamento dos elementos de ligação
|
Voltar ao topo
|
Consoante a opção feita em termos de tecnologia a utilizar para o acesso remoto,
existem diferentes elementos a considerar:
Elementos de uma ligação em acesso remoto por dial up
Este tipo de ligação é constituído por um software cliente de acesso remoto, um servidor de acesso remoto e uma infra-estrutura de redes Wide Area Network (WAN) de grande alcance:
Software cliente de acesso remoto - Os clientes de acesso remoto de todos
os mais recentes sistemas operativos da Microsoft podem ligar-se a um servidor
de acesso remoto com o Windows 2000 instalado, bem como à maior parte de servidores
de acesso remoto por dial up. Por outro lado, quase todos os clientes de
acesso remoto pelo protocolo Point-to-Point Protocol (PPP) produzidos por
outras empresas, incluindo os baseados nas plataformas Unix e Mac OS podem ligar-se
a um servidor Windows 2000 de acesso remoto.
Servidor de acesso remoto - um servidor Windows 2000 de acesso remoto aceita
ligações dial up e envia pacotes de dados entre clientes de acesso remoto
e a rede à qual o servidor está anexado.
Equipamento dial up e infra-estrutura WAN - a ligação física ou
lógica entre o servidor de acesso remoto e o cliente de acesso remoto é facilitada
pelo equipamento dial-up instalado no cliente, no servidor e na infra-estrutura
de telecomunicações. A natureza deste equipamento e da infra-estrutura de telecomunicações
varia consoante o tipo de ligação empregue.
Protocolos de acesso remoto - controlam o estabelecimento da ligação e
a transmissão de dados através de ligações WAN. O sistema operativo e os protocolos
da rede local utilizados nos clientes e servidores de acesso remoto fazem condicionar
o tipo de protocolo de acesso remoto que os clientes empregam. O principal protocolo
de acesso remoto suportados pelos actuais sistemas operativos da Microsoft, como
o Windows XP, 2000 e ME é o Point-to-Point Protocol (PPP, um conjunto de
protocolos considerados padrões pela indústria do sector que disponibiliza segurança,
suporte multi-protocolo e compatibilidade.
Protocolos de redes locais (LANs) - consistem nos protocolos utilizados
pelo cliente de acesso remoto para aceder a recursos disponíveis na rede ligados
ao servidor de acesso remoto. Os principais protocolos são o TCP/IP (Transfer
Code Protocol/Internet Protocol), IPX (Internetwork Packet Exchange)
e AppleTalk.
Elementos de uma ligação em acesso remoto por VPN
Uma ligação de acesso remoto por VPN é composta por um software cliente de acesso remoto, um servidor de acesso remoto e por uma ligação à Internet:
Cliente de acesso remoto por VPN - os clientes VPN são utilizadores individuais
que obtêm uma ligação VPN de acesso remoto ou, em alternativa, routers que
obtêm uma ligação VPN router-to-router. Os clientes de todas as mais recentes
versões do Windows podem criar ligações VPN de acesso remoto para um servidor
de acesso remoto correndo o Windows 2000 que funciona como um servidor VPN. Os
clientes VPN podem também ser qualquer cliente de Point-to-Point Tunneling
Protocol (PPTP) de outra produtora de software ou com o Layer Two
Tunneling Protocol (L2TP) que utiliza o protocolo Internet Protocol security
(IPSec).
Servidor de acesso remoto por VPN - um servidor de acesso remoto com o
Windows 2000 instalado aceita ligações VPN baseadas nos protocolos PPTP e L2TP/IPSec
e envia pacotes ente os clientes de acesso remoto e a rede à qual o servidor de
acesso remoto está anexado.
Protocolos de VPN - o servidor e cliente de acesso remoto do Windows 2000 suportam dois protocolos para ligações VPN de acesso remoto:
- Point-to-Point Tunneling Protocol - trata-se de um protocolo de tunneling que consiste numa extensão do Point-to- Point Protocol (PPP), nivelando os mecanismos de autenticação, compressão e encriptação deste último. O PPTP é automaticamente instalado no protocolo TCP/IP. No caso do Windows 2000, este protocolo disponibiliza juntamente com o Microsoft Point-to-Point Encryption (MPPE) o conjunto primário de serviços VPN de encapsulamento e encriptação de dados privados.
- Layer Two Tunneling Protocol - consiste num padrão da Internet Engineering Task Force (IETF) para um protocolo de tunnelling. Ao contrário do PPTP, o L2TP no Windows 2000 não utiliza o MPPE para encriptar dados, baseando-se no Internet Protocol security (IPSec) para serviços de encriptação.. Quer o cliente quer o servidor de VPN devem suportar o L2TP e o IPSec. O L2TP é automaticamente instalado com o serviço de routing e acesso remoto. O L2TP/IPSec - combinação dos dois protocolos - disponibiliza os serviços primários VPN de encapsulação e encriptação de dados privados.
Internet - o medium entre o cliente e servidor VPN de acesso remoto consiste em qualquer tipo de rede baseada no protocolo TCP/IP, apesar de normalmente ser a Internet. Os clientes VPN de acesso remoto utilizam frequentemente uma ligação dial up de acesso remoto para um acesso à Internet através de um ISP. Em seguida, utilizam uma ligação VPN de acesso remoto para aceder à rede da sua organização.
Caso optar pela tecnologia de acesso remoto por dial up e se a empresa transferir informação proprietária, sensitiva ou crucial para os seus negócios através de uma rede pública como a Internet, recomenda-se a instalação de um firewall. Este dispositivo impede o acesso não autorizado à rede da empresa, bem como sessões de acesso remoto. Coloca-se entre o router de acesso na rede e a própria rede, funcionando como uma barreira de segurança e evitando que potenciais atacantes entrem no sistema informático da companhia.
Os firewalls funcionam mediante a autenticação do acesso de um determinado utilizador remoto à rede. Os responsáveis pela empresa definem quais os utilizadores que são autorizados. Cada utilizador deve também disponibilizar a sua password para obter acesso. Sem a autenticação e a password apropriada ninguém pode entrar na rede, tornando-a inacessível a pessoas não-autorizadas.
Pelo contrário, as empresas que instalarem uma VPN não terão muito a recear em termos de segurança. Isto porque a tecnologia emprega uma técnica designada de tunneling que passa pela encriptação dos dados antes de enviá-los através da Internet, seguida pela sua desencriptação no outro lado. Os utilizadores em ambos os lados têm, de facto, um "túnel" privado de comunicação entre si.
Alguém poderá, na mesma, interceptar os dados à medida que eles atravessam a Internet, mas o que interceptarem será incompreensível. Assim, utilizar uma VPN assemelha-se em parte a enviar sinais de fumo em código - qualquer um poderá ver os dados, mas apenas o receptor entendido poderá decifrar a mensagem. Como medidas de protecção face ao acesso não autorizado, as VPNs também empregam passwords, certificados digitais e outras tecnologias para assegurar que as partes em cada um dos lados são de facto quem afirmam ser.
Apesar de as VPNs funcionarem para assegurar que os seus dados permanecem seguros, mesmo os seus mecanismos de segurança podem ser quebrados. Particularmente na Internet, alguns atacantes que dispõem de grandes quantidades de tempo livre irão esforçar-se bastante para "roubar" dados de VPNs se acreditarem que contêm informação valiosa como números de cartões de crédito.
A maior parte das tecnologias de VPN implementam técnicas fortes de encriptação de forma a que os dados não possam ser directamente visualizados mediante a utilização de sniffers. Contudo, as VPNs podem ser mais susceptíveis a ataques do tipo "man in the middle", que interceptam a sessão e apresentam-se como o cliente ou servidor. Para além disso, alguns dados privados podem não ser encriptados pela VPN antes de serem transmitidos numa rede pública. Os cabeçalhos IP, por exemplo, irão conter os endereços IP do cliente e do servidor. Alguns atacantes podem capturar esses endereços e escolherem atingir esses dispositivos em ataques futuros.
Glossário
- cliente - numa relação cliente/servidor, consiste no programa solicitador. Por exemplo, o utilizador de um browser da Web está efectivamente a efectuar pedidos de cliente de acesso a páginas para servidores de toda a Web. O próprio browser é um cliente na sua relação com o computador que está a receber e a devolver os ficheiros HTML pedidos. O computador que lida com o pedido e envia os ficheiros HTML é um servidor.
- servidor - numa relação cliente/servidor, trata-se do programa que espera e dá resposta a pedidos dos programas clientes no mesmo ou noutros computadores.
- dial up - ligação telefónica num sistema de várias linhas partilhadas por muitos utilizadores. Uma ligação dial up é estabelecida e mantida durante um período limitado de tempo, podendo ser iniciada manual ou automaticamente através do modem do computador ou de outro dispositivo.
- Virtual Private Network (VPN) - infra-estrutura de telecomunicações interna suportada numa infra-estrutura pública (ou partilhada), como a Internet, com níveis de desempenho e confidencialidade idênticos à de uma rede dedicada;
- Wide Area Network (WAN) - rede de telecomunicações geograficamente dispersa.
- Point-to-Point Protocol (PPP) - protocolo para a comunicação entre dois computadores mediante uma interface série, normalmente um computador pessoal ligado pela linha telefónica a um servidor. O PPP utiliza o protocolo IP e é por vezes considerado como um membro da suite de protocolos TCP/IP. Essencialmente, empacota os pacotes TCP/IP do computador e envia-os para o servidor onde podem ser colocados na Internet.
- Local Area Networks (LANs) - grupo de computadores e dispositivos associados que partilham uma linha de comunicações comum e os recursos de um único processador ou servidor no interior de um pequena área geográfica - como por, exemplo, um prédio de escritórios. Habitualmente, o servidor tem aplicações e dados guardados que são partilhados em comum por vários utilizadores. Uma LAN pode abranger entre dois ou três e milhares de utilizadores.
- Transmission Control Protocol (TCP) - um dos principais protocolos das redes do tipo TCP/IP.
- Internerwork Packet Exchange (IPX) - protocolo de redes da Novell que interliga redes que utilizam clientes e servidores NetWare da empresa.
- AppleTalk - conjunto de protocolos de comunicação para redes locais criado pela Apple para os seus computadores. Uma rede AppleTalk pode suportar até 32 dispositivos e os dados podem ser trocados a uma velocidade de 230,4 Kbps.
- router - um equipamento que determina o caminho (route) e mais especificamente o ponto de rede para onde os dados devem seguir.
- Point-to-Point Tunneling Protocol (PPTP) - é um protocolo ou conjunto de regras de comunicação que possibilita a criação de uma Virtual Private Network (VPN) através de "tunnels" na Internet, tornando seguro o uso de redes públicas.
- Layer Two Tunneling Protocol (L2TP) - consiste numa extensão do protocolo PPTP utilizado por um fornecedor de acesso à Internet para permitir o funcionamento de uma VPN através da Internet. O L2TP funde as melhores funcionalidades dos dois outros protocolos de tunneling, o PPTP da Microsoft e o L2F da Cisco Systems.
- Interner Protocol Security (IPsec) - padrão de desenvolvimento para a segurança na rede ou na camada de processamento de pacotes da comunicação de rede. As abordagens anteriores de segurança inseriram a segurança na camada de aplicações do modelo de comunicações. O IPsec é especialmente útil para implementar VPNs e para o acesso remoto do utilizador através de uma ligação dial up a redes privadas. Uma das grandes vantagens deste protocolo é o facto de as configurações de segurança poderem ser definidas sem ser necessário efectuar alterações aos computadores dos utilizadores individuais.
- tunneling - Fala-se de "túnel" (tunnel) quando se especifica o caminho (path) que é dado a uma mensagem ou ficheiro de uma empresa para viajar na Internet. Nesse sentido, tunneling é usar a Internet como uma parte de uma rede privada segura.
- sniffer - programa que monitoriza e analisa o tráfego da rede, detectando congestionamentos e outros problemas. Um sniffer pode também ser utilizado legítima ou ilegitimamente para captar dados transmitidos numa rede.
- firewall - sistema ou conjunto de sistemas que impõem uma barreira entre duas ou mais redes, controlando o acesso de uma para a outra.
|
|
Autor: Casa dos Bits
|
|
|
|
|
