Introdução

O RSA SecurID é o protocolo de autenticação para tokens RSA que combinado com o Microsoft ISA Server 2006 provê um alto nível de segurança na autenticação de conexões VPN, pois valida apenas os caracteres exibidos no token durante um curto período de tempo. Este artigo, que se destina à administradores de redes e especialistas em segurança, mostra como configurar o ISA Server 2006 para autenticar clientes VPN que utilizam o token RSA.

Verificando o Ambiente

Antes de mais nada, é preciso que o leitor entenda que este artigo não irá mostrar como fazer a instalação do servidor RSA, que vem a ser o servidor que realmente irá autenticar os clientes VPN. No exemplo do artigo abaixo, o ambiente já conta com um servidor RSA instalado e totalmente funcional.

É preciso verificar também que alguns pontos tem que ser analisados antes de prosseguirmos: Para uma conexão VPN, é recomendado que sua empresa tenha um IP fixo e válido na internet. Uma estrutura de domínio (Active Directory) deve estar funcional e integrada ao servidor RSA.

Incluindo o Host ISA como Agent Host

Para que o servidor RSA possa se comunicar com o ISA, dentro do RSA Authentication Manager devemos criar um registro para a máquina onde o ISA está instalado. Para isso abra o RSA Authentication Manager e clique em Agent Host / Add Agent Host. Preencha os campos: 

Name: Nome do Servidor ISA;
Network Address: Endereço IP do Servidor ISA;
Agent Type: Selecione Net OS Agent;
Encryption Type: Selecione DES;
Habilite a opção “Open to All Locally Known Users”

Depois clique em Create Node Secret File e clique em Ok para adicionar a máquina ao Database. O Node Secret File será utilizado para incluir automaticamente as informações do servidor RSA no servidor ISA. A seguinte tela será exibida:

Selecione o local onde o arquivo será criado, digite a senha que será utlizada para carregar o arquivo no servidor ISA e clique em OK. Clique em OK na mensagem para finalizar. A tela de cadastro do Agent Host ficará da seguinte maneira:

Clique em Ok para finalizar o cadastro do servidor ISA como Agent Host. 

Instalação do RSA Authentication Manager 

Inicie a instalação do RSA Authentication Manager for Windows no servidor ISA. Clique em Next para Iniciar:

Selecione o Local correto e clique em Next:

Aceite os termos de licença e clique em Next:

Selecione a opção Custom e clique em Next:

Deixe habilitadas apenas as seguintes opções:

- Remote Authentication Server
- RSA Security EAP Client

Aqui você deve indicar o local do arquivo sdconf.rec que foi gerado quando o servidor RSA foi instalado (Este não é o arquivo que geramos há pouco com o Agent Host)

Selecione o local de instalação do RSA Authentication Manager:

Clique em Install para iniciar o processo de instalação:

Aguarde o término do processo de instalação. Ao finalizar, será necessário reiniciar o servidor:

Carregando o Node Secret

Agora que o RSA Authentication Manager foi instalado, é necessário carregar o Node Secret File para que o servidor ISA receba as informações do servidor RSA. Para isso, utilizaremos a ferramenta “agent_nsload.exe”.

Neste momento, copie o executável “agent_nsload.exe” para o servidor ISA junto com o Node Secret File. Abra o promtp de comando e navegue até a pasta onde o “agent_nsload.exe” está e digite o seguinte comando:

- agent_nsload.exe – nodesecretfile –p <password>

Verifique se o processo foi concluído com êxito. É necessário também copiar o arquivo sdconf.rec, para as pastas ...\System32 e ...\Microsoft ISA Server\sdconfig.

Criando a Regra de Acesso

É preciso criar uma regra de acesso no ISA para que o protocolo SecurID seja permitido. Para isso, inicie o Wizard “Create Access Rule”. Digite o nome da regra:

Selecione a opção Allow:

Selecione o protocolo SecurID:

Selecione o servidor ISA (Local Host):

Selecione as redes Internal e VPN Clients:

Deixe a opção All Users:

Clique em Finish para criar a regra:

Clique em Apply no ISA para aplicar a regra que foi criada:

Configurando o Roteamento e Acesso Remoto

É preciso agora, habilitar o Roteamento e Acesso Remoto para permitir conexões com autentiação por RSA EAP. Para isso, abra a console Routing and Remote Access e clique em Remote Access Policy. Abra as propriedades de ISA Server Default Policy:

Clique em Edit Profile:

Clique em EAP Methods:

Adicione o protocolo RSA Security EAP:

Testando a conectividade

Neste momento o servidor ISA tem condições de autenticar as conexões comunicando-se com o servidor RSA. Para testar se tudo está funcionando corretamente, vamos utilizar o RSA Security Center no servidor ISA para certificar que a autenticação está ocorrendo normalmente. Abra o RSA Security Center e clique em Authentication Test e depois em Test:

Digite o nome de usuário e o código que aparece no token do usuário, depois clique em Ok para testar:

A seguinte tela deverá ser exibida, confirmando que a comunicação ocorreu corretamente entre o Servidor ISA e o Servidor RSA.

Configurando o VPN Server

Agora que a conexão dos servidores ISA e RSA está funcionando corretamente, é preciso configurar a conexão VPN dentro do ISA Server 2006. Veja que não entraremos nas configurações da VPN em si, mas apenas nas opções que irão permitir que o protocolo RSA EAP seja utilizado com a conexão VPN. Você deve configurar sua VPN de acordo com as normas de segurança de sua empresa. Para habilitar o protocolo EAP abra o ISA Server 2006 e clique em Virtual Privates Network e depois em Configure Address Assignment Method:

Clique na aba Authentication e marque apenas a opção “Extensible authentication protocol (EAP) with smart card or other certificate”:

Desta forma, o ISA irá permitir que os clientes utilizem seus tokens para se autenticar em suas conexões VPN.

É importante ressaltar que você deve configurar a conexão VPN de acordo com as normas de sua empresa. Há outras configurações, como por exemplo DHCP, que devem ser verificadas caso à caso.

Configurando o VPN Client

Para configurar a conexão VPN na máquina cliente, é preciso instalar o RSA Authentication Manager. Inicie a instalação e clique em Next:

Selecione o Local correto e clique em Next:

Aceite os termos de licença e clique em Next:

Selecione a opção Custom e clique em Next:

Deixe habilitada apenas a seguinte opção:

- RSA Security EAP Client

Selecione o local de instalação do RSA Authentication Manager:

Clique em Install para iniciar a instalação:

Aguarde o término do processo de instalação. Ao finalizar, será necessário reiniciar a máquina:

Após reiniciar a máquina, inicie o processo de criação de nova conexão:

Selecione a opção Connect to a Workplace:

Selecione Use my Internet Connection (VPN)

Insira as informações de Conexão de sua empresa e clique em Next:

Clique em create sem fornecer as informações de usuário:

Clique em Set up the Connection anyway:

Clique em Manage network Connections:

Abra as propriedades da VPN criada:

Clique na aba Security e selecione Advanced. Depois clique em Settings:

Marque a opção Use Extensible Authentication Protocol e selecione RSA Security EAP (encryption enabled):

Clique em Ok nas telas que ficaram abertas.
Neste momento a conexão está configurada corretamente. Para finalizar faça uma conexão e verifique se a autenticação ocorreu normalmente.