Introdução
O RSA SecurID é o protocolo de autenticação para tokens RSA que combinado com o Microsoft ISA Server 2006 provê um alto nível de segurança na autenticação de conexões VPN, pois valida apenas os caracteres exibidos no token durante um curto período de tempo. Este artigo, que se destina à administradores de redes e especialistas em segurança, mostra como configurar o ISA Server 2006 para autenticar clientes VPN que utilizam o token RSA.

Verificando o Ambiente
Antes de mais nada, é preciso que o leitor entenda que este artigo não irá mostrar como fazer a instalação do servidor RSA, que vem a ser o servidor que realmente irá autenticar os clientes VPN. No exemplo do artigo abaixo, o ambiente já conta com um servidor RSA instalado e totalmente funcional.

É preciso verificar também que alguns pontos tem que ser analisados antes de prosseguirmos: Para uma conexão VPN, é recomendado que sua empresa tenha um IP fixo e válido na internet. Uma estrutura de domínio (Active Directory) deve estar funcional e integrada ao servidor RSA.


Figura 1 – [Rede com Servidor RSA]

Incluindo o Host ISA como Agent Host
Para que o servidor RSA possa se comunicar com o ISA, dentro do RSA Authentication Manager devemos criar um registro para a máquina onde o ISA está instalado. Para isso abra o RSA Authentication Manager e clique em Agent Host / Add Agent Host. Preencha os campos:

Name: Nome do Servidor ISA;
Network Address: Endereço IP do Servidor ISA;
Agent Type: Selecione Net OS Agent;
Encryption Type: Selecione DES;
Habilite a opção “Open to All Locally Known Users”

Depois clique em Create Node Secret File e clique em Ok para adicionar a máquina ao Database. O Node Secret File será utilizado para incluir automaticamente as informações do servidor RSA no servidor ISA. A seguinte tela será exibida:


Figura 2 – [Create Node Secret File]

Selecione o local onde o arquivo será criado, digite a senha que será utlizada para carregar o arquivo no servidor ISA e clique em OK. Clique em OK na mensagem para finalizar. A tela de cadastro do Agent Host ficará da seguinte maneira:


Figura 3 – [Agent Host]

Clique em Ok para finalizar o cadastro do servidor ISA como Agent Host.

Instalação do RSA Authentication Manager

Inicie a instalação do RSA Authentication Manager for Windows no servidor ISA.
Clique em Next para Iniciar:


Figura 4 – [RSA Authentication Manager – Tela1]

Selecione o Local correto e clique em Next:


Figura 5 – [RSA Authentication Manager – Tela2]

Aceite os termos de licença e clique em Next:


Figura 6 – [RSA Authentication Manager – Tela3]

Selecione a opção Custom e clique em Next:


Figura 7 – [RSA Authentication Manager – Tela4]

Deixe habilitadas apenas as seguintes opções:
- Remote Authentication Server
- RSA Security EAP Client


Figura 8 – [RSA Authentication Manager – Tela5]

Aqui você deve indicar o local do arquivo sdconf.rec que foi gerado quando o servidor RSA foi instalado (Este não é o arquivo que geramos há pouco com o Agent Host)


Figura 9 – [RSA Authentication Manager – Tela6]

Selecione o local de instalação do RSA Authentication Manager:


Figura 10 – [RSA Authentication Manager – Tela7]

Clique em Install para iniciar o processo de instalação:


Figura 11 – [RSA Authentication Manager – Tela8]

Aguarde o término do processo de instalação. Ao finalizar, será necessário reiniciar o servidor:


Figura 12 – [RSA Authentication Manager – Tela9]

Carregando o Node Secret
Agora que o RSA Authentication Manager foi instalado, é necessário carregar o Node Secret File para que o servidor ISA receba as informações do servidor RSA. Para isso, utilizaremos a ferramenta “agent_nsload.exe”.

Neste momento, copie o executável “agent_nsload.exe” para o servidor ISA junto com o Node Secret File.
Abra o promtp de comando e navegue até a pasta onde o “agent_nsload.exe” está e digite o seguinte comando:

- agent_nsload.exe – nodesecretfile –p <password>

Verifique se o processo foi concluído com êxito.
É necessário também copiar o arquivo sdconf.rec, para as pastas ...\System32 e ...\Microsoft ISA Server\sdconfig.

Criando a Regra de Acesso
É preciso criar uma regra de acesso no ISA para que o protocolo SecurID seja permitido. Para isso, inicie o Wizard “Create Access Rule”. Digite o nome da regra:


Figura 13 – [Nome Access Rule]

Selecione a opção Allow:


Figura 14 – [Allow]

Selecione o protocolo SecurID:


Figura 15 – [SecurID]

Selecione o servidor ISA (Local Host):


Figura 16 – [Local Host]

Selecione as redes Internal e VPN Clients:


Figura 17 – [Internal e VPN Clients]

Deixe a opção All Users:


Figura 18 – [All Users]

Clique em Finish para criar a regra:


Figura 19 – [Finish]

Clique em Apply no ISA para aplicar a regra que foi criada:


Figura 20 – [Apply]

Configurando o Roteamento de Acesso Remoto
É preciso agora, habilitar o Roteamento e Acesso Remoto para permitir conexões com autentiação por RSA EAP. Para isso, abra a console Routing and Remote Access e clique em Remote Access Policy. Abra as propriedades de ISA Server Default Policy:


Figura 21 – [ISA Server Default Policy]

Clique em Edit Profile:


Figura 22 – [Default Policy Properties]

Clique em EAP Methods:


Figura 23 – [Dial-in Profile]

Adicione o protocolo RSA Security EAP:


Figura 24 – [EAP Providers]

Testando a conectividade
Neste momento o servidor ISA tem condições de autenticar as conexões comunicando-se com o servidor RSA. Para testar se tudo está funcionando corretamente, vamos utilizar o RSA Security Center no servidor ISA para certificar que a autenticação está ocorrendo normalmente. Abra o RSA Security Center e clique em Authentication Test e depois em Test:


Figura 25 – [RSA Security Center]

Digite o nome de usuário e o código que aparece no token do usuário, depois clique em Ok para testar:


Figura 26 – [Log On]

A seguinte tela deverá ser exibida, confirmando que a comunicação ocorreu corretamente entre o Servidor ISA e o Servidor RSA.


Figura 27 – [Authentication Successful]

Configurando o VPN Server
Agora que a conexão dos servidores ISA e RSA está funcionando corretamente, é preciso configurar a conexão VPN dentro do ISA Server 2006. Veja que não entraremos nas configurações da VPN em si, mas apenas nas opções que irão permitir que o protocolo RSA EAP seja utilizado com a conexão VPN. Você deve configurar sua VPN de acordo com as normas de segurança de sua empresa. Para habilitar o protocolo EAP abra o ISA Server 2006 e clique em Virtual Privates Network e depois em Configure Address Assignment Method:


Figura 28 – [VPN]

Clique na aba Authentication e marque apenas a opção “Extensible authentication protocol (EAP) with smart card or other certificate”:


Figura 29 – [VPN Properties]

Desta forma, o ISA irá permitir que os clientes utilizem seus tokens para se autenticar em suas conexões VPN.

É importante ressaltar que você deve configurar a conexão VPN de acordo com as normas de sua empresa. Há outras configurações, como por exemplo DHCP, que devem ser verificadas caso à caso.

Configurando o VPN Client
Para configurar a conexão VPN na máquina cliente, é preciso instalar o RSA Authentication Manager.

Inicie a instalação e clique em Next:


Figura 30 – [Client RSA – Tela1]

Selecione o Local correto e clique em Next:


Figura 31 – [Client RSA – Tela2]

Aceite os termos de licença e clique em Next:


Figura 32 – [Client RSA – Tela3]

Selecione a opção Custom e clique em Next:


Figura 33 – [Client RSA – Tela4]

Deixe habilitada apenas a seguinte opção:
- RSA Security EAP Client


Figura 34 – [Client RSA – Tela5]

Selecione o local de instalação do RSA Authentication Manager:


Figura 35 – [Client RSA – Tela6]

Clique em Install para iniciar a instalação:


Figura 36 – [Client RSA – Tela7]

Aguarde o término do processo de instalação. Ao finalizar, será necessário reiniciar a máquina:


Figura 37 – [Client RSA – Tela8]

Após reiniciar a máquina, inicie o processo de criação de nova conexão:


Figura 38 – [Set up a Connection or Network]

Selecione a opção Connect to a Workplace:


Figura 39 – [Connect to a Workplace]

Selecione Use my Internet Connection (VPN)


Figura 40 – [Use my Internet Connection(VPN)]

Insira as informações de Conexão de sua empresa e clique em Next:


Figura 41 – [VPN Information]

Clique em create sem fornecer as informações de usuário:


Figura 42 – [User Information]

Clique em Set up the Connection anyway:


Figura 43 – [Set up the Connection anyway]

Clique em Manage network Connections:


Figura 44 – [Manage Network Connections]

Abra as propriedades da VPN criada:


Figura 45 – [VPN Properties]

Clique na aba Security e selecione Advanced. Depois clique em Settings:


Figura 46 – [VPN Advanced]

Marque a opção Use Extensible Authentication Protocol e selecione RSA Security EAP (encryption enabled):


Figura 47 – [Advanced Security Settings]

Clique em Ok nas telas que ficaram abertas.

Neste momento a conexão está configurada corretamente. Para finalizar faça uma conexão e verifique se a autenticação ocorreu normalmente.

Conclusão
O token RSA tem por finalidade prover um recurso adicional de segurança às conexões VPN pois seus códigos são vinculados à um usuário e são alterados em um curto espaço de tempo. Neste caso, uma quebra de senha não será suficiente para autenticar a conexão VPN. Neste artigo mostramos como utilizar o ISA para autenticar os clientes VPN com o token RSA e manter a segurança da empresa e dos usuários externos.

Referências
Para mais informações acesse:
http://www.rsa.com
http://www.microsoft.com/isa

Vinícius R. Apolinário é Administrador de Redes e Servidores Microsoft há mais de 5 anos. Tem as certificações MCP, MCTS, MCSA, MCSE e MCT. Atualmente trabalha em um parceiro de licenciamento Microsoft como Administrador de Redes e servidores.
Blog: http://blogadmderedes.spaces.live.com