O concentrador de VPN e os melhores protocolos de VPN

Em primeiro lugar, o que é um concentrador de VPN (Virtual Private Network), de forma muito resumida, é algo que permite que um utilizador crie um canal de comunicação seguro, usando técnicas de criptografia (encriptação) e autenticação, permitindo assim a troca fiável e segura de dados, sobre redes públicas; no fundo, estabelece uma rede virtual privada (informação encriptada, entre o emissor e o recetor), sobre uma rede pública (normalmente a Internet, mas não necessariamente).
Caso pretenda ler uma primeira abordagem, sobre o assunto, pode ler o nosso artigo O que é uma VPN (Virtual Private Network)?.

Com efeito, um concentrador de VPN (Virtual Private Network) tradicional, é um dispositivo de rede dedicado que fornece ligações seguras, entre utilizadores remotos e uma rede corporativa (tradicionalmente uma LAN (Local Area Network)), sobre este assunto pode consultar o nosso artigo As redes de area local (LAN – Local Area Network) e alguns conceitos básicos (AD, DHCP e DNS)?.

Os concentradores (dedicados) VPN tendem a ser dispositivos de nível empresarial (normalmente caros), capazes de lidar com um grande número de conexões simultâneas à Internet, com níveis de autenticação complexos e múltiplos protocolos de comunicação. Contudo nas pequenas redes locais LAN (Local Area Network) mais comuns, o papel é desempenhado por outro dispositivo, normalmente por um router (roteador) (sobre este assunto pode consultar o nosso artigo O que é um Router (Roteador)?), ou por uma firewall (sobre este assunto pode consultar o nosso artigo O que é uma firewall de rede (network firewall)?).

Resumindo em redes locais LAN (Local Area Network) de menor dimensão, com menos utilizadores, com acesso remoto à rede corporativa LAN (Local Area Network), pode optar-se por ter a funcionalidade de concentrador de VPN (Virtual Private Network), incorporado noutro dispositivo, sendo nesse caso o mais adequado numa firewall existente; de referir no entanto que deve suportar na mesma, os protocolos de ligação mais exigentes de forma a garantir a máxima segurança possível, na autenticação (verificação da identidade do utilizador \ máquina) e na ligação remota.

Pode-se utilizar por exemplo, uma unidade com múltiplas funções, como um Draytek Vigor 2962 (Security VPN Router) que é um Router de alto desempenho com portas WAN/LAN configuráveis, sendo que se podem definir 2 das portas como WAN para fins de balanceamento de carga/failover (ou seja, ter duas ligações à Internet). O equipamento pode executar também funções de segurança \ proteção (separação da LAN versus WAN), como Firewall; podendo ainda ter a função de VPN Concentrator.

A utilização de uma VPN (Virtual Private Network) recorre a protocolos (regras) que permitem assegurar e garantir, a autenticação (validação das credenciais do utilizador \ máquina) e a comunicação segura; atualmente usam-se protocolos padrão do setor, entre eles o GRE, PPTP (Point-to-Point Tunneling Protocol), L2TP, L2TP sobre IPsec, IPsec (Internet Protocol Security), IKEv2 (Internet Key Exchange Version 2), SSL (Secure Sockets Layer) VPN e OpenVPN.

Os protocolos de VPN (Virtual Private Network) acima, usam diferentes métodos de autenticação, encriptação e isso resulta também em diferentes níveis de segurança na autenticação, na comunicação, na velocidade de transmissão e nas funcionalidades disponíveis. Na verdade não existe um protocolo de segurança ideal, dependendo também muito do equipamento onde termina a VPN (Virtual Private Network), no caso referido anteriormente dos Draytek Vigor 2960 \ 2962 (Security VPN Router), normalmente e sempre que possível usamos IKEv2 (Internet Key Exchange Version 2), sobre este assunto pode consultar os seguintes artigos Choosing the Best VPN Protocol e Choose the Best VPN Protocol .

Por fim, de referir a opção de utilização, do Draytek Smart VPN Client que é um utilitário de configuração VPN (Virtual Private Network) que permite uma configuração fácil e poderosa para os utilizadores, nas suas máquinas acederem às suas redes corporativas, utilizando uma diversidade grande de protocolos, entre eles PPTP, L2TP, IPSec, IKEv2 (Internet Key Exchange Version 2), OpenVPN e Túnel SSL DrayTek (suportando diversos sistemas operativos). De referir que também é possível usar o suporte nativo do Microsoft Windows para VPN, sendo que normalmente o utilitário do fabricante, está otimizado para o hardware do concentrador de VPN respetivo.

Para qualquer questão adicional, contacte-nos ; a Dataframe tem profissionais certificados e com largos anos de experiência. A Dataframe é um Revendedor Oficial da Draytek e tem técnicos habilitados, para as soluções complexas anteriormente referenciadas.

Pode também consultar, os nosso artigos anteriores (sugere-se a ordem de leitura abaixo):

As redes de area local (LAN – Local Area Network) e alguns conceitos básicos (AD, DHCP e DNS)?

O que é um Router (Roteador)?

O que é uma firewall de rede (network firewall)?

O que é uma VPN (Virtual Private Network)?

Pode também consultar, as seguintes referências na Internet:

Choosing the Best VPN Protocol

Choose the Best VPN Protocol

Data da última atualização: 8 de Janeiro de 2024

Autor: Paulo Gameiro – Dataframe (General Manager)

O que é, o Microsoft Windows Hello ?

Os problemas de segurança informática cada vez mais frequentes, dão cada vez mais enfâse à Identidade; ou seja, de forma extremamente simplista, aquilo que nos permite identificar (dizer quem somos) perante um sistema informático.

De forma simplista, a questão fulcral, coloca-se então sobre a informação do conjunto, utilizador e palavra-passe (password)(ou seja, a Identidade), a sua utilização e inviolabilidade, para garantir o máximo de segurança e adequadas condições de acesso, aos sistemas informáticos.

A Autenticação garante que uma determinada Identidade é legitima, para aceder e utilizar um determinado sistema informático, definindo também as condições do acesso.

Nos dias de hoje, é então possível ter uma Identidade e uma Autenticação, sem recorrer a um conjunto utilizador e palavra-passe (password), o chamado “Passwordless Authentication”; por exemplo, usando o Microsoft Windows Hello.

O Microsoft Windows Hello é então um modo mais pessoal, de iniciar sessão num dispositivo, utilizando o seu rosto (reconhecimento facial, caso o equipamento possua câmara), impressão digital (caso o equipamento possua leitor), ou um PIN (pode ter uma, ou mais opções configuradas). Pode assim utilizar o Microsoft Windows Hello, para iniciar sessão no seu dispositivo, no ecrã de bloqueio e iniciar sessão, numa conta sua conta na Web (pode ser pessoal , ou empresarial, como por exemplo, no Microsoft 365).

As opções anteriores ajudam a tornar mais fácil e seguro iniciar sessão no seu PC (ou dispositivo), uma vez que seu rosto, a sua impressão digital, ou o seu PIN são associados a um dispositivo (informação de segurança local), mas tem uma cópia de segurança para recuperação, com a sua conta Microsoft (que pode ser pessoal, ou empresarial).

Para mais detalhes, pode consultar o artigo Obter mais informações sobre o Windows Hello e respetiva configuração.

Para qualquer questão adicional, contacte-nos; a Dataframe tem profissionais certificados e com largos anos de experiência.

Pode também consultar, os nosso artigos anteriores (sugere-se a ordem de leitura abaixo):

A Identidade e a Segurança (Os Quatro Pilares da Identidade)

Ideias simples sobre Identidade (utilizadores, palavras-passe (password)) e Autenticação …

Data da última atualização: 4 de Setembro de 2023

Autor: Paulo Gameiro – Dataframe (General Manager)

Acessos Remotos a Computadores (informação complementar)

O presente artigo, pretende ser um complemento ao artigo original Acesso remoto a um computador, numa rede local (com Microsoft Windows), como tal aconselha-se a leitura prévia do artigo anterior.

De forma muito resumida, para aceder remotamente a um computador, com Microsoft Windows, normalmente o processo mais seguro e fiável, será estabelecer em primeiro lugar uma VPN (Virtual Private Network), para a rede local (LAN) (para mais informação pode consultar o nosso artigo O que é uma VPN (Virtual Private Network)?) e depois utilizar o protocolo RDP (Remote Desktop Protocol), para realizar o acesso à máquina pretendida (para mais informação pode consultar o nosso artigo O que é o RDP (Remote Desktop Protocol)?). Para mais detalhes, pode consultar o nosso artigo Acesso remoto a um computador, numa rede local (com Microsoft Windows).

Como soluções alternativas, para acessos remotos a máquinas, pode-se utilizar software comercial, instalando um agente na máquina de destino (que se conecta aos servidores do fabricante) e um cliente na máquina que acede, como por exemplo a solução TeamViewer Remote (que usamos como meio alternativo de suporte aos nossos clientes), LogMeIn, AnyDesk, ou outras do mesmo género.

Para a generalidade deste tipo de soluções, o processo será bastante idêntico e será algo do género (exemplificado para o caso do TeamViewer Remote):

1.Abra (necessita de estar previamente instalado), ou execute (neste caso é temporário, não ficando nada instalado no computador) o cliente TeamViewer Remote no dispositivo de entrada (ou seja, o dispositivo que vai ser acedido remotamente) e forneça o ID e a Password de acesso, a quem vai aceder.

2.Abra (necessita de estar previamente instalado), ou execute (neste caso é temporário, não ficando nada instalado no computador) o cliente Web, ou desktop do TeamViewer Remote no dispositivo de saída (ou seja, o dispositivo que vai aceder) e crie uma sessão remota, com o ID e a Password de acesso fornecidos anteriormente.

Para um acesso remoto permanente; ou seja, sem um utilizador presente na máquina acedida (como no caso dos servidores), deve ser instalada uma versão, como por exemplo a versão TeamViewer Remote Host que não possui a componente de cliente, mas permite o acesso a uma máquina, de forma permanente.

Uma das grandes vantagens deste tipo de soluções, é que é suportado em diferentes sistemas operativos; por exemplo, no caso do TeamViewer Remote, é suportado em Windows (Microsoft), MacOS (Apple), Linux, Chrome OS (Google), Raspberry PI, Android (Google) e iOS (Apple).

Por fim, é possível utilizar soluções alternativas ao protocolo RDP (Remote Desktop Protocol), uma vez que o mesmo é proprietário da Microsoft e normalmente só se aplica a computadores com Microsoft Windows, utilizando uma solução como o VNC (Virtual Network Computing), como por exemplo o RealVNC, ou outras soluções gratuitas como TightVNC, embora não aconselhemos versões gratuitas, por questões de segurança. A opção com VNC (Virtual Network Computing) permite um suporte muito mais alargado em termos de sistemas operativos, suportando em Windows (Microsoft), MacOS (Apple), Linux, Raspberry PI, Android (Google) e iOS (Apple).

Para qualquer questão adicional, sobre acessos remotos e qualquer questão relacionada (VPN´s, RDP, software de acesso remoto, ou outras questões), contacte-nos; a Dataframe tem profissionais certificados, com largos anos de experiência.

Pode também consultar, os nosso artigos anteriores, sobre estes assuntos (sugere-se a ordem de leitura abaixo):

O que é uma VPN (Virtual Private Network)?

O que é o RDP (Remote Desktop Protocol)?

Acesso remoto a um computador, numa rede local (com Microsoft Windows)

Acessos Remotos Medidas (simples) de Segurança

Data da última atualização: 29 de Maio de 2023

Autor: Paulo Gameiro – Dataframe (General Manager)

Tarefas Periódicas de Manutenção de Servidores, com Microsoft Windows

A manutenção preventiva de sistemas informáticos, será provavelmente um dos maiores trunfos para garantir a segurança, uma adequada operacionalidade e desempenho, dos computadores que usam Microsoft Windows, tal como para os postos de trabalho, para os servidores, podemos utilizar um conjunto de tarefas periódicas, para o garantir; o conjunto de tarefas abaixo, pode ser um exemplo, desse conjunto de tarefas:

Manter informação básica sobre o servidor (atualizada).
Fundamental caso exista algum problema; como informação básica a manter, sugere-se o domínio Microsoft a que pertence o servidor, o nome do computador (computername), o utilizador\palavra passe (do administrador), o endereço IP, a versão do sistema operativo, a data de instalação do sistema operativo, o modelo do hardware (P/N Part Number e S/N Serial Number), em especial também dos discos e da controladora e o modelo da UPS (P/N Part Number e S/N Serial Number).

Verificar a segurança e integridade dos discos do servidor (e dos “arrays”) e do restante hardware.
No caso dos servidores HPE, para verificar os discos dos servidores (e dos “arrays”), usar o HPE SSA (Smart Storage Administrator); usando por exemplo, o HPE iLO (Integrated Lights Out), para o restante hardware. Para verificar o hardware, com servidores Dell, utilizar por exemplo, o Dell EMC OpenManage Systems Management Software, sendo que cada fabricante possui o seu conjunto de utilitários.

Verificar o espaço livre nos discos do servidor.
Para o adequado funcionamento do servidor, deve-se garantir que o espaço livre, se mantém acima dos 30% (mínimo aconselhado 20%), em especial no disco de sistema; ou seja no disco, onde se encontra instalado o sistema operativo.

Verificar erros críticos, do sistema operativo (usando o “Microsoft Event Viewer”).
Verificar utilizando o “Visualizador de Eventos \ Event Viewer“, do Microsoft Windows e verificar os eventos críticos e erros, em especial no registo de sistema e eliminar e \ ou corrigir as causas. Para facilitar a sua tarefa, pode na “caixa” de Procurar \ Search executar o comando: %windir%\system32\eventvwr.msc.

Verificar atualizações, do sistema operativo (com o “Microsoft Windows Update”).
Verificar periodicamente se as atualizações do Microsoft Windows (Windows Update), se estão a realizar de forma adequada. Para facilitar a sua tarefa, pode por exemplo, criar um atalho (shortcut) no seu desktop, com: ms-settings:windowsupdate. No caso dos servidores, sugere-se manter as atualizações em modo automático e não as suspender, salvo exceções devidamente fundamentadas.

Verificar o adequado funcionamento, da UPS (Uninterruptible Power Supply) do servidor.
Verificação das falhas elétricas no servidor, consultar os dados dos log´s na UPS e verificar o correto funcionamento do “shutdown” (desligar) automático do servidor, em caso de falha elétrica prolongada. No caso das unidades da APC, utilizar o software APC PowerChute Business Edition, para realizar as configurações e verificações anteriores.

Verificar os acessos remotos ao servidor e o seu correto funcionamento.
Verificar os acessos por VPN (Virtual Private Network) (caso sejam usadas; pode ver o nosso artigo O que é uma VPN (Virtual Private Network)? ) , ou o funcionamento e adequada atualização, do software de acesso remoto, como por exemplo o TeamViewer.

Verificar o correto funcionamento do serviço de “Shadow Copies”.
De forma extremamente abreviada, o serviço de “Shadow Copies” é constituído por um componente de sistema VSS (Volume Snapshot Service) \ Serviço de Cópias de Sombra de Volume que permite criar cópias de segurança de ficheiros\diretórios e \ ou discos num computador, tornando possível recuperar a informação; no caso dos servidores, permite restaurar ficheiros de forma simples e célere (sobre os diretórios partilhados no servidor). No caso dos servidores, sugere-se manter ativado nos discos, onde existam diretórios partilhados, com uma periodicidade entre duas a quatro horas, devendo a periodicidade ser analisada, caso a caso.

Salvaguarda da informação (verificar a execução dos backups e testes de recuperação dos mesmos).
As cópias de segurança dos sistemas informáticos (vulgo backups), devem sempre existir, isto se queremos garantir que em caso de “acidente”, poderemos ter novamente acesso à informação que tínhamos armazenada nesses computadores \ dispositivos. Em primeiro lugar, devemos fazer um levantamento da informação a salvaguardar e verificar qual o espaço usado por esses dados no servidor.

Em seguida, devemos definir a localização das cópias de segurança, por exemplo:

  • Backup´s para unidades externas (aos servidores), por exemplo para unidades HPE RDX.
  • Backup´s para NAS (por exemplo, Synology NAS). Pode também consultar, o nosso artigo O que é uma NAS (Network Attached Storage)?.
  • Backup´s para a Cloud, por exemplo Microsoft Azure.

Por fim, qual o processo usado para salvaguardar a informação, pode usar um processo básico, ou um mais “sofisticado” dependendo dos dados a salvaguardar:

  • Windows Server Backup – Em primeiro lugar necessita de instalar a funcionalidade de Windows Server Backup (no Windows Server 2022), em seguida deve-se ligar ao servidor usando o Remote PowerShell, por fim executar o seguinte comando para criar o backup no servidor e para as máquinas virtuais existentes nesse servidor (caso existam): wbadmin start backup -backupTarget:Backup_Location -include:VM_Name,VM_Name,… .
  • Microsoft Robocopy – Pode-se utilizar um ficheiro .BAT file para configurar o processo de cópia e utilizar o Microsoft Scheduler, para automatizar o processo. A Dataframe possui um “frontend” que permite automatizar e controlar os processos Microsoft Robocopy, o utilitário designa-se BSF (Backup Server Files).
  • Microsoft Disk2vhd – Pode-se utilizar um ficheiro .BAT file para configurar o processo de cópia e utilizar o Microsoft Scheduler, para automatizar o processo. Pode também consultar, o nosso artigo O que são Máquinas Virtuais (VM – Virtual Machine)?.
  • Como opção, para situações mais complexas e especificas, como por exemplo bases de dados (por exemplo o Microsoft SQL Server), devemos usar software de backup adicional, como por exemplo Veeam Data Backup & Recovery Software Solutions.

Finalmente a existência de cópias de segurança dos sistemas informáticos (vulgo backups), requer também testes de recuperação de dados, o mais realísticos possível, de forma a garantir que a informação a recuperar se encontra efetivamente guardada, é recuperável e a recuperação decorre em tempo útil. Pode também consultar, o nosso artigo Algumas ideias sobre cópias de segurança (backups)….

TAREFAS OPCIONAIS (em caso de necessidade)

Verificar as atualizações de firmware e software dos fabricantes (para o servidor).
Para verificar o software HPE (Drivers, Firmware, BIOS, etc), pode utilizar por exemplo, HPE Smart Update Manager, ou o HPE Service Pack for ProLiant (SPP).

Para qualquer questão adicional, sobre servidores Microsoft, em especial sobre manutenção preventiva e segurança, contacte-nos; a Dataframe tem profissionais certificados, pela Microsoft, com largos anos de experiência.


Data da última atualização: 1 de Maio de 2023

Autor: Paulo Gameiro – Dataframe (General Manager)

Tarefas Periódicas de Manutenção de Computadores, com Microsoft Windows

A manutenção preventiva de sistemas informáticos, será provavelmente um dos maiores trunfos para garantir segurança, uma adequada operacionalidade e desempenho, das máquinas que usam Microsoft Windows, para isso podemos utilizar um conjunto de tarefas periódicas, para o garantir; o conjunto de tarefas abaixo, pode ser um exemplo, desse conjunto de tarefas:

Verificar periodicamente se as atualizações do Microsoft Windows (Windows Update), se estão a realizar de forma adequada. Para facilitar a sua tarefa, pode por exemplo, criar um atalho (shortcut) no seu desktop, com: ms-settings:windowsupdate.

Verificar periodicamente se as atualizações de firmware e software dos fabricantes, se estão a realizar de forma adequada (usando por exemplo o “HP Support Assistant“, ou “Dell SupportAssist“, ou outros, consoante o fabricante).

Verificar se as atualizações do antivírus \ produto de segurança, se estão a realizar e se existem incidentes de segurança reportados (por exemplo, com o Trend Micro™ Worry-Free™ Business Security Services).

Verificar o “Histórico de Fiabilidade \ Reliability Monitor“, do Microsoft Windows e garantir que o índice de estabilidade é 10, ou próximo, de forma consistente. Para facilitar a sua tarefa, pode na “caixa” de Procurar \ Search executar o comando: perfmon /rel.

Verificar o “Visualizador de Eventos \ Event Viewer“, do Microsoft Windows e verificar os eventos críticos e erros, em especial no registo de sistema e eliminar e \ ou corrigir as causas. Para facilitar a sua tarefa, pode na “caixa” de Procurar \ Search executar o comando: %windir%\system32\eventvwr.msc.

Para maior detalhe, sobre segurança e manutenção, pode verificar as opções em “Segurança e Manutenção \ Security and Maintenance”, o antigo “Centro de Acção \ Action Center“. Para mais informação, pode por exemplo consultar Find action center in Windows 10. (Painel de Controlo\Sistema e Segurança\Segurança e Manutenção)

Pode também usar a aplicação, de “Verificação do Estado de Funcionamento do PC \ PC Health Check“; contém informações atualizadas sobre a integridade do seu dispositivo Microsoft Windows e ajuda a tomar medidas para melhorar o desempenho do dispositivo e solucionar problemas de desempenho, entre outras coisas. Para mais informação, pode por exemplo consultar “How to use the PC Health Check app”.

TAREFAS OPCIONAIS (em caso de necessidade)

Em caso de necessidade, executar o comando CHKDSK C: /F (verificação de integridade do File System); por exemplo, caso sejam detetados episódios, do tipo “O anterior encerramento do sistema, foi inesperado”, provocados por “crash” \ “blue screen” (bug´s de software), ou falhas elétricas, entre outras.

Em caso de necessidade, executar o comando de “Limpeza do Disco \ Disk Cleanup“, para libertar espaço, no seu disco; execute como Administrator, para ver todas as opções disponíveis.

Caso esteja com problemas, provocados por “crash” \ “blue screen” (bug´s de software), pode desativar a opção de restart automático do Microsoft Windows, quando ocorrem esse tipo de erros. Pode consultar, por exemplo “Disabling the automatic restart option to view error messages”.

Caso esteja com problemas, provocados por “crash” \ “blue screen” (bug´s de drivers), pode desativar a opção do Microsoft Windows, para instalar drivers, para os componentes de hardware, de forma automática, por parte da Microsoft. Pode consultar, por exemplo How to stop automatic driver installation on Windows 10 .

Deve também garantir e verificar que possui as mais recentes atualizações, para o conjunto de software mais usado, nas suas máquinas, por exemplo:

  • Os browser´s Internet (Microsoft Edge, Google Chrome, Mozilla Firefox, ou outros)
  • O software de acesso remoto (por exemplo TeamViewer, ou outros)
  • Adobe Reader (ou outros)

Para além de garantir cópias de segurança da informação (backup´s), pode também garantir a ativação da “Proteção do Sistema”; pode consultar, por exemplo How to Turn On System Protection in Windows 10 e Create a system restore point . (Painel de Controlo\Sistema e Segurança\Proteção do Sistema)

Pode também consultar, os nosso artigos anteriores:

Microsoft Windows Security (Princípios Básicos de Segurança)

Algumas ideias sobre cópias de segurança (backups)…

Como manter o Microsoft Windows 10 devidamente atualizado e algumas dicas

Data da última atualização: 17 de Abril de 2023

Autor: Paulo Gameiro – Dataframe