Como restringir as conexões SSTP com um endereço IP específico no Windows Server 2008

ID do artigo: 947028 - Exibir os produtos aos quais esse artigo se aplica.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Expandir tudo | Recolher tudo

Nesta página

INTRODUÇÃO

SSTP (protocolo de encapsulamento de soquete seguro) é um novo tipo de encapsulamento de rede virtual privada (VPN) que está disponível na função de roteamento e serviços de acesso remoto no Windows Server 2008. SSTP também está disponível para uso no Windows Vista Service Pack 1 (SP1). SSTP usa o protocolo HTTPS pela porta 443 do TCP (Transmission Control Protocol) para transmitir o tráfego através de firewalls e proxies que podem bloquear o protocolo de encapsulamento ponto a ponto (PPTP) e Layer 2 Tunneling Protocol (L2TP) da Web / tráfego IPsec. SSTP permite que pacotes de protocolo ponto a ponto (PPP) a ser encapsulada pelo canal SSL (Secure Sockets LAYER) do protocolo HTTPS. Isso permite uma conexão VPN para ser mais facilmente estabelecido por meio de um firewall ou por meio de um dispositivo (Network Address TRANSLATION). Além disso, isso permite uma conexão VPN sejam estabelecidas por meio de um dispositivo de proxy HTTP. SSTP fornece um mecanismo para encapsular tráfego PPP sobre o canal SSL do protocolo HTTPS.

Por padrão, o SSTP é configurado para escutar em todas as interfaces. Por exemplo, o SSTP é configurado para escuta para IPv4 0.0.0.0 ou:: / 0 para IPv6. Por padrão, serviços de acesso remoto e roteamento permite para conexões VPN trafegue pelo IPv4 e IPv6 todos os endereços que estão disponíveis no computador. Além disso, serviços de acesso remoto e roteamento sempre define o certificado de computador, também conhecido como o certificado de máquina, como o HTTP.sys. HTTP.sys é o componente de ouvinte HTTPS em um computador baseado no Windows Server 2008 que está executando o roteamento e serviços de acesso remoto juntamente com 0.0.0.0:PortNum e [:]: PortNum.

Este artigo descreve como um administrador pode bloquear conexões SSTP de endereços IPv4 ou IPv6 IP específicos ou de interfaces específicas.
Voltar para o início | Submeter comentários

Mais Informações

Para bloquear conexões SSTP de endereços IPv4 ou IPv6 IP específicos ou de interfaces específicas, use um dos seguintes métodos.

Método 1: Configurar o filtro de pacote apropriado

  1. Inicie o snap-in MMC de acesso remoto e roteamento. Para fazer isso, clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em roteamento e acesso remoto .
  2. Expanda IPv4 e, em seguida, clique em Geral . A lista de interfaces disponíveis é exibida.
  3. Clique duas vezes a interface à qual VPN clientes se conectar.
  4. Clique em filtros de entrada .
  5. Clique em novo e, em seguida, clique para selecionar a caixa de seleção rede de destino .
  6. Na caixa endereço IP , digite o endereço IP de destino.
  7. Na caixa máscara de sub-rede , digite a máscara de sub-rede de destino.
  8. Na lista de protocolo , clique em TCP .
  9. Na caixa porta de origem , digite 443 . Ou, digite o número da porta SSTP se ele difere do 443.
  10. Na caixa porta de destino , digite 443 . Ou, digite o número da porta SSTP se ele difere do 443.

Método 2: Configurar o certificado para um endereço IP específico: porta para o ouvinte HTTP

Observação Para executar os comandos a seguir, você deve abrir o prompt de comando usando permissões elevadas. Para fazer isso, clique em Iniciar , clique com o botão direito do mouse Prompt de comando e, em seguida, clique em Executar como administrador .
  1. Excluir o certificado do HTTP.sys. Para fazer isso, digite os seguintes comandos no prompt de comando, onde 443 é o número de porta SSTP:
    netsh http delete sslcert ipport = 0.0.0.0:443
    netsh http delete sslcert ipport = [:]: 443
  2. Adicione o novo certificado para o HTTP.sys. Para fazer isso, digite os seguintes comandos no prompt de comando:
    netsh http adicionar sslcert ipport = IPv4 address for the HTTP listener: 443 certhash = a IDApl xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = meu
    netsh http adicionar sslcert ipport = IPv6 address for the HTTP listener: 443 certhash = a IDApl xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = meu

    Observação Nesses comandos, xxx é um espaço reservado para o hash de certificado SHA1 do novo certificado.
  3. No prompt de comando, digite o seguinte comando e pressione ENTER para configurar o valor de subchave de registro Sha256CertificateHash para o serviço SSTP:
    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters /v SHA256CertificateHash /t REG_BINARY /d Sha256 hash value for the IIS Web server certificate /f

    Observação As se você não conseguir localizar o hash de certificado SHA256 do certificado de computador, completa etapas da a e para configurar um valor para a subchave de registro Sha256CertificateHash.
    1. Reinicie o serviço Roteamento e acesso remoto.
    2. Configure qualquer valor binário de 32 bytes como um valor temporário para a chave de registro Sha256CertificateHash no local do registro mencionada na etapa 3. Essa chave do registro deve ser do tipo REG_BINARY.
    3. Em um computador diferente, crie uma conexão VPN que é baseado em SSTP onde o destino de VPN é o nome de host do servidor de acesso remoto e roteamento.
    4. Conectar-se a conexão VPN. A conexão falhará. Abra Visualizar eventos no computador cliente e, em seguida, localize o seguinte evento: 
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. Observe o valor de hash de certificado SHA256 no evento no computador cliente e, em seguida, usar esse valor para a chave do Registro Sha256CertificateHash no servidor de roteamento e acesso remoto.
  4. Reinicie o servidor de roteamento e acesso remoto. O HTTP.sys agora está definida para escutar uma determinado endereço IP: porta. Conexões HTTPS são eliminadas do outra endereço: portas IP.
Voltar para o início | Submeter comentários

Propriedades

ID do artigo: 947028 - Última revisão: quinta-feira, 29 de maio de 2008 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 947028
(http://support.microsoft.com/kb/947028/en-us/ )
Voltar para o início | Submeter comentários

Submeter comentários

 
Voltar para o inícioVoltar para o início