Share via

Windows Server "Longhorn" - SSL VPNs

  • Article

Redes privadas virtuais (VPNs) são hoje a principal forma de acesso remoto em uso nas organizações. Funcionários e parceiros usam regularmente VPNs para acessar recursos da rede da empresa, e as linhas de acesso discado já foram em grande parte relegadas ao passado. Ou quase: a Microsoft por exemplo ainda tem que fornecer a opção de acesso discado aos seus funcionários. O motivo para isso vem adiante.

As VPNs são tradicionalmente baseadas nos protocolos IPsec Modo Túnel, L2TP com IPsec e PPTP. Todos estes protocolos encapsulam os pacotes TCP e UDP usados pelas aplicações Internet em um outro protocolo IP, que não é nem o TCP nem o UDP (o IPsec usa os protocolos IP 50 ou 51, enquanto o PPTP o IP 47), e transmitidos até o seu destino  onde são então desencapsulados. A VPN assim cria um "túnel" por onde é feita a comunicação entre a rede da organização e o usuário remoto.

O problema é que, por não usarem TCP ou UDP, as VPNs tradicionais encontram problemas com equipamentos de redes que só suportam estes dois protocolos. Por exemplo, vários dispositivos de NAT são incompatíveis com protocolos de VPN. Proxies de acesso a Internet também normalmente não tratam estes protocolos e bloqueiam o seu tráfego. Note que o bloqueio é involuntário: não existe uma política estabelecida pelo dono da rede proibindo o uso de VPNs, apenas um impedimento técnico. O resultado é que em muitos casos o usuário tenta estabelecer a VPN de um hotel, aeroporto ou de uma rede de um cliente e não consegue de forma alguma. E além do inconveniente e perda de produtividade, empresas como a Microsoft tem que manter toda uma infraestrutura de linhas discadas para atender estes casos.

A solução é usar para fazer a VPN um outro protocolo, que use TCP ou UDP para transporte, e que não tenha problemas com dispositivos como NAT e Proxies. A escolha óbvia é o HTTP, protocolo usado para navegação Web que é universalmente suportado na Internet, complementado com o SSL para criptografia e autenticação. As chamadas SSL VPNs têm sido a norma para praticamente todas as novas implementações de VPN, ao ponto do Gartner Group nem pesquisar mais o uso de VPNs baseadas em IPsec, que eles chamam agora de VPNs "legadas".

O Windows Server "Longhorn" traz embutido um servidor de acesso remoto que além de IPsec e PPTP suporta também o uso de SSL VPNs, usando o protocolo Secure Socket Tunneling Protocol (SSTP). O SSTP usa HTTP 1.1 com SSL 3.0 para encapsular o tráfego de VPN com segurança e compatibilidade. No outro lado Windows Vista Service Pack 1 (a ser lançado junto com o Windows Server "Longhorn") traz embutido o suporte a SSTP como cliente, sem necessidade de software adicional.

Para o usuário o SSTP traz exatamente a mesma experiência que ele tem hoje com as VPNs tradicionais. O cliente usado é basicamente o mesmo, e ele pode inclusive ser configurado para tentar vários protocolos - por exemplo, primeiro IPsec e se não conseguir SSTP. A autenticação pode ser feita via usando senha, OTP ou certificados digitais. A única limitação é que se houver algum proxy HTTP, ele não pode ser autenticado. Mas no caso do ISA Server isso pode ser contornado com o uso do Firewall Client.

No lado servidor a VPN com SSTP suporta a verificação de conformidade usando o NAP, remediando ou bloqueando os clientes que estão fora da política de segurança corporativa. Para alta disponibilidade pode ser usado tanto o recurso de NLB como também hardwares de balanceamento de carga Web. Curiosamente o SSTP não usa o IIS como servidor Web, se plugando diretamente ao "listener" HTTP existente no kernel do sistema operacional e reduzindo a superfície de ataque.

O Windows Server "Longhorn" vai ser lançado no segundo semestre desse ano, e versão Beta 3 do Windows Server "Longhorn" e o Windows Vista SP1 Beta vão trazer esta funcionalidade para avaliação pública muito em breve. Uma boa referência também sobre essa tecnologia é o blog do Samir Jain.