Pular para o conteúdo principal

Laboratório Técnico: Select and Configure a Tunnel Type

Questões

Questão 1 — Múltipla Escolha

Uma empresa precisa estabelecer conectividade site-to-site entre sua rede on-premises e o Azure. O dispositivo VPN local é um roteador certificado que suporta IKEv2, e o requisito de segurança exige Perfect Forward Secrecy (PFS). O gateway VPN do Azure foi provisionado com o SKU VpnGw2.

Qual tipo de túnel deve ser selecionado para atender a esses requisitos?

A) IKEv1 com modo agressivo, pois oferece negociação mais rápida e é compatível com PFS
B) IKEv2, pois suporta PFS nativamente e é compatível com o SKU VpnGw2
C) OpenVPN, pois é o único protocolo que garante PFS no Azure VPN Gateway
D) SSTP, pois é o protocolo padrão para conexões site-to-site com suporte a PFS

Questão 2 — Cenário Técnico

Um administrador configurou uma conexão point-to-site (P2S) no Azure VPN Gateway usando o tipo de túnel SSTP. Usuários com Windows 10 conseguem conectar normalmente, mas usuários com macOS e Linux relatam que o cliente VPN nativo não consegue estabelecer a conexão.

Qual é a causa mais provável desse comportamento?

A) O SSTP exige que o certificado raiz seja importado manualmente em cada cliente não-Windows, etapa que foi omitida
B) O SSTP é um protocolo proprietário da Microsoft com suporte nativo apenas em clientes Windows, sendo incompatível com macOS e Linux
C) O gateway está configurado com SKU Basic, que bloqueia conexões de sistemas operacionais não-Microsoft
D) O método de autenticação selecionado é incompatível com clientes macOS e Linux quando combinado com SSTP

Questão 3 — Verdadeiro ou Falso

Em uma conexão VNet-to-VNet no Azure, é possível utilizar o tipo de túnel IKEv2 independentemente de as VNets estarem na mesma região ou em regiões diferentes, desde que ambos os gateways sejam do tipo RouteBased.

Questão 4 — Cenário Técnico

Uma equipe de rede precisa conectar funcionários remotos ao Azure usando o Azure VPN Gateway com autenticação via Microsoft Entra ID (sem uso de certificados). Após revisar a documentação, o administrador percebe que apenas um tipo de túnel suporta esse método de autenticação no contexto P2S.

Qual configuração representa a abordagem correta?

Gateway Type:    VPN
VPN Type:        RouteBased
Tunnel Type:     ?
Authentication:  Microsoft Entra ID
SKU:             VpnGw1 ou superior

A) IKEv2, pois é o protocolo padrão para autenticação federada com Microsoft Entra ID
B) SSTP, pois suporta autenticação baseada em token OAuth2 do Microsoft Entra ID
C) OpenVPN, pois é o único tipo de túnel P2S compatível com autenticação via Microsoft Entra ID
D) IKEv1, pois mantém compatibilidade com o fluxo de autenticação SAML do Microsoft Entra ID

Questão 5 — Múltipla Escolha

Ao comparar os tipos de túnel disponíveis para conexões point-to-site no Azure VPN Gateway, qual afirmação descreve corretamente uma diferença funcional relevante entre IKEv2 e OpenVPN?

A) IKEv2 suporta autenticação via Microsoft Entra ID, enquanto OpenVPN suporta apenas autenticação por certificado
B) OpenVPN opera na camada de transporte (TCP/UDP) e atravessa NAT e firewalls com mais facilidade do que IKEv2, que depende de protocolos IP específicos
C) IKEv2 é o único protocolo que permite conexões simultâneas de clientes Windows, macOS e Linux no mesmo gateway
D) OpenVPN exige um SKU de gateway superior ao IKEv2 para operar em ambientes de produção

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O IKEv2 é o protocolo recomendado para conexões site-to-site quando o dispositivo on-premises suporta esse padrão. Ele oferece suporte nativo a Perfect Forward Secrecy (PFS), negociação mais robusta e é compatível com todos os SKUs VpnGw (incluindo VpnGw2). O IKEv1 não deve ser preferido quando IKEv2 está disponível, pois o modo agressivo do IKEv1 apresenta vulnerabilidades conhecidas. O SSTP é exclusivo para conexões point-to-site, sendo tecnicamente inválido para site-to-site. O OpenVPN também é usado principalmente em P2S e não é a escolha padrão para site-to-site com dispositivos certificados.

O erro conceitual central nos distratores é confundir o escopo de uso dos protocolos: SSTP e OpenVPN são voltados para P2S, não para S2S.

Gabarito — Questão 2

Resposta: B

O SSTP (Secure Socket Tunneling Protocol) é um protocolo desenvolvido pela Microsoft que utiliza o canal HTTPS (porta 443). Seu suporte nativo está presente apenas em sistemas Windows. Clientes macOS e Linux não possuem suporte nativo ao SSTP, o que exige o uso de IKEv2 ou OpenVPN para esses sistemas operacionais. A alternativa A é plausível, mas o problema não está em um certificado ausente: mesmo com o certificado correto, o sistema operacional simplesmente não implementa o protocolo. A alternativa C é incorreta pois o SKU Basic limita recursos de gateway, mas não bloqueia SOs específicos por política. A alternativa D introduz uma correlação falsa entre método de autenticação e compatibilidade de SO.

Escolher SSTP como único tipo de túnel em um ambiente multiplataforma é um erro de planejamento comum no AZ-700.

Gabarito — Questão 3

Resposta: Verdadeiro

Conexões VNet-to-VNet no Azure utilizam os mesmos mecanismos de VPN Gateway que conexões site-to-site. Quando ambos os gateways são do tipo RouteBased, o protocolo IKEv2 é suportado independentemente da localização geográfica das VNets. O tipo RouteBased é pré-requisito para IKEv2; gateways PolicyBased suportam apenas IKEv1 e têm restrições adicionais (como suporte a uma única conexão). A afirmação é verdadeira porque o Azure não impõe restrição de região para o uso de IKEv2 em VNet-to-VNet quando os gateways são RouteBased.

Um equívoco comum é assumir que conexões entre regiões distintas exigem configurações de protocolo diferentes, o que não é o caso aqui.

Gabarito — Questão 4

Resposta: C

O OpenVPN é o único tipo de túnel P2S no Azure VPN Gateway que suporta autenticação via Microsoft Entra ID. Esse suporte utiliza o fluxo OAuth 2.0 para autenticar usuários diretamente com a identidade gerenciada no Entra ID, sem necessidade de certificados por cliente. O IKEv2 suporta autenticação por certificado ou RADIUS, mas não autenticação nativa com Microsoft Entra ID. O SSTP suporta apenas autenticação por certificado. O IKEv1 está fora do escopo de P2S moderno e não oferece integração com Entra ID.

A consequência prática de escolher IKEv2 nesse cenário seria a impossibilidade de configurar autenticação sem certificados, aumentando a complexidade operacional e eliminando os benefícios do SSO corporativo.

Gabarito — Questão 5

Resposta: B

O OpenVPN opera sobre TCP ou UDP na camada de transporte, o que lhe confere capacidade de atravessar NAT e firewalls restritivos com facilidade, pois pode usar a porta 443 (TCP), indistinguível de tráfego HTTPS. O IKEv2, por sua vez, depende de UDP 500 e 4500 e do protocolo ESP (IP protocolo 50), o que pode ser bloqueado em ambientes de rede mais restritivos. A alternativa A inverte a realidade: é o OpenVPN que suporta autenticação via Microsoft Entra ID, não o IKEv2. A alternativa C é falsa: ambos os protocolos suportam Windows, macOS e Linux. A alternativa D é incorreta: não há exigência de SKU superior específico para OpenVPN em relação ao IKEv2.

A diferença de traversal de NAT entre OpenVPN e IKEv2 é um critério de decisão real em arquiteturas com restrições de firewall corporativo.