Security WatchProteção de Acesso à Rede

John Morello

As informações de pré-lançamento sobre o Windows Server “Longhorn” apresentadas nesta coluna estão sujeitas a alterações.

Uma das maiores ameaças à segurança que organizações de todos os tamanhos estão enfrentando hoje em dia é o uso de dispositivos não autorizados por trás do perímetro da rede. Independentemente do nível de autoproteção de uma organização contra ameaças externas vindas da Internet, sua segurança pode ser ameaçada por um funcionário bem-intencionado que, involuntariamente, se torna um vetor de

transmissão de malware por um worm ou um cavalo de Tróia. Em nenhum lugar isso acontece mais do que nos ambientes de TI de pequenas e médias empresas, onde os laptops corporativos e pessoais dos membros da equipe podem ser um dispositivo só e onde as tecnologias de controle de acesso à rede geralmente são muito caras e complexas para serem implantadas. No entanto, são precisamente essas organizações que costumam pagar um preço alto pela inatividade, por isso é tão importante se protegerem contra essas ameaças.

A tecnologia de NAP (Proteção de Acesso à Rede) da Microsoft permite que organizações de todos os tamanhos verifiquem a integridade dos computadores de maneira proativa durante o ingresso deles na rede e a garantam durante todo o tempo em que estiverem conectados. A NAP fornece uma arquitetura flexível e baseada em diretivas para as organizações se protegerem contra computadores incompatíveis que sejam trazidos para suas redes, intencional ou inadvertidamente, por funcionários, fornecedores e visitantes. A NAP se baseia em quatro pilares: validação de diretivas, isolamento, correção e conformidade contínua.

Visão geral da NAP

O primeiro serviço básico fornecido pela NAP é a validação de diretivas, que é o processo no qual a NAP avalia um sistema em relação a um conjunto de regras definidas pelo administrador e classifica o estado de integridade do sistema.

Os administradores de TI especificam um conjunto de elementos de diretiva que a NAP usa para fins de comparação quando os computadores tentam se conectar à rede. Os computadores que correspondem aos elementos de diretiva são considerados íntegros, enquanto os que falham em uma ou mais verificações (conforme especificado pelo administrador) são considerados problemáticos. Essas diretivas podem verificar, por exemplo, a presença de software antivírus e anti-spyware, se o firewall de um host está ativo e se faltam atualizações de segurança no computador. Além disso, como a NAP foi criada para ser extensível, os fornecedores independentes de software podem criar seus próprios plug-ins para NAP que permitam verificações específicas para o aplicativo.

Outro serviço básico fornecido pela NAP é a restrição da conectividade de rede. Dependendo das diretivas definidas por um administrador, a NAP pode colocar os computadores em vários estados de conectividade de rede. Por exemplo, se um computador for considerado problemático porque faltam atualizações críticas de segurança, a NAP poderá colocá-lo em uma rede de quarentena, onde ele ficará isolado do restante do ambiente até retornar a um estado íntegro. Sem a NAP, o cliente problemático teria acesso irrestrito à rede da organização. Se o malware conseguisse comprometer o computador através de falhas que as atualizações ausentes teriam evitado, ele poderia tentar espalhar ativamente sua infecção para o restante da rede. A Figura 1 dá uma idéia geral da arquitetura.

Figura 1** Arquitetura geral da NAP **(Clique na imagem para aumentar a exibição)

Contudo, simplesmente restringir a conectividade não é uma maneira eficiente de lidar com computadores problemáticos (afinal de contas, os usuários ainda têm trabalho a fazer). Por isso, a NAP também fornece serviços de correção com os quais os computadores problemáticos em quarentena podem corrigir seus problemas de integridade sem a intervenção do administrador. No exemplo acima, a rede restrita permitiria que o computador problemático acessasse apenas determinados recursos de rede necessários para instalar as atualizações ausentes, como o computador Windows Server® Update Services (WSUS) da organização. Em outras palavras, com a NAP em vigor, o computador problemático só consegue acessar aqueles recursos de rede que lhe permitem readquirir a integridade; ele não pode enviar tráfego para o restante da rede enquanto não estiver curado.

O último pilar da NAP é a conformidade contínua, por meio da qual essas diretivas de integridade são impostas durante todo o tempo em que o computador estiver conectado à rede, e não apenas na conexão inicial. No nosso exemplo, pense no que aconteceria depois que o computador fosse atualizado e readquirisse a integridade (e, portanto, recebesse acesso irrestrito à rede). Se, posteriormente, esse computador ficasse fora do escopo da conformidade porque o Firewall do Windows foi desabilitado, por exemplo, a NAP automaticamente o recolocaria em quarentena. A NAP também permite que os administradores configurem a autocorreção, na qual o estado incompatível é automaticamente corrigido sem intervenção adicional do usuário, mesmo muito tempo depois da conclusão da conexão de rede inicial.

A NAP pode utilizar várias técnicas diferentes para controlar o acesso à rede. Para organizações com comutadores de rede gerenciada, o 802.1X pode ser utilizado para fornecer controle de acesso baseado em portas na camada de hardware da rede. A NAP possibilita utilizar imposição baseada no IPSec, na qual redes seguras são criadas através de associações de IPSec e sobrepostas nas redes físicas. Com a imposição baseada no IPSec, a NAP controla o acesso à zona segura criando e removendo dinamicamente certificados usados pelo mecanismo IPSec. Por último, a NAP pode fornecer imposição baseada no DHCP. Nesse caso, o servidor DHCP fornece concessões de IP de pools restritos aos clientes problemáticos. Essas concessões usam rotas de IP e sufixos DNS para controlar quais recursos poderão ser acessados por um cliente restrito.

O componente do servidor NAP está incorporado na próxima versão do Windows Server, cujo codinome é "Longhorn", especificamente no novo NPS (Servidor de Diretivas de Rede), o sucessor amplamente aprimorado dos Serviços de Autenticação da Internet. Para organizações que utilizam a imposição baseada no 802.1X, o hardware de rede deve oferecer suporte a autenticação 802.1X e a recursos de VLAN dinâmica (o site de Parceiros do NAP na barra lateral "Recursos da NAP" dá mais detalhes sobre fornecedores de hardware específicos). Para imposição baseada no DHCP, é necessário um serviço DHCP habilitado para NAP, como o disponibilizado no Windows Server "Longhorn". No cliente, o suporte a NAP vem incorporado ao Windows Vista™. Ele também estará disponível como complemento no Windows® XP, junto com um novo suplicante 802.1X que permitirá imposição do 802.1X.

Além disso, a NAP se integra à Central de Segurança do Windows, bem como a agentes de integridade de terceiros, para relatar informações sobre integridade. Por causa disso, a NAP é capaz de tomar decisões de validação de diretivas com base em nos dados expostos pela Central de Segurança.

Como a NAP é uma solução de gerenciamento de diretivas de nível empresarial altamente capaz, é impossível abordar todos os recursos e estratégias de implantação em um único artigo. Por isso, este artigo se concentra em implantações para pequenas e médias empresas nas quais o tempo da equipe de TI já está totalmente distribuído e onde a implantação de NAP pode ser simplificada para fornecer um rápido retorno sobre o investimento necessário para a implantação. Muitas das lições e da orientação geral, porém, são igualmente aplicáveis a qualquer design de NAP em organizações de qualquer tamanho. No entanto, observe que o meu exemplo não visa ser um guia de instalação passo a passo, mas sim uma visão geral das principais áreas de foco de uma implantação de NAP baseada no DHCP bem-sucedida. Consulte a barra lateral "Recursos da NAP" para ver o link para um guia de instalação mais detalhado.

Conjunto de problemas da Contoso

Para examinar mais de perto como a NAP pode atender às necessidades exclusivas de pequenas e médias empresas, vamos usar a Contoso, Inc. como exemplo. A Contoso é uma empresa de médio porte fictícia com 250 computadores em três escritórios principais. Ela tem uma força de trabalho altamente móvel, com muitos usuários se telecomunicando e se conectando ao escritório principal a partir de locais de clientes remotos. Conseqüentemente, cerca de metade da sua população de computadores é formada por laptops e Tablet PCs. Como muitas organizações, a Contoso vem enfrentando crescentes desafios de segurança à medida que sua força de trabalho se torna mais móvel. Alguns usuários com computadores móveis pegaram malware em sites de clientes ou em casa e trouxeram computadores infectados para a rede interna da Contoso.

A Contoso também lutou para garantir que esses computadores remotos fossem mantidos atualizados. Em geral, os usuários trabalham a partir de locais de clientes por longos períodos antes de retornar a um escritório da Contoso. Nessas situações, os computadores deles costumam ficar meses atrasados em termos atualizações de segurança, o que aumenta o risco geral para o restante dos computadores na rede da Contoso. A Contoso precisa de uma solução que possa garantir que todos os computadores conectados à sua rede, remota ou localmente, estejam protegidos e íntegros.

Como a NAP pode ajudar a Contoso a conseguir isso? Lembre-se dos pilares básicos da NAP. Através da validação de diretivas, a NAP pode verificar a integridade de todos os computadores que se conectem à rede da Contoso. A validação de diretivas pode determinar se um computador tem assinaturas de antivírus atuais e se está com todos os patches das atualizações de segurança instalados. Quando as rotinas da validação de diretivas da NAP determinam que um computador está problemático, a NAP restringe a conectividade de rede para os hosts problemáticos. Isso garante que um computador que tenha sido usado externamente e contraído malware não consiga espalhar o problema para outras partes da rede. A NAP restringirá a conectividade do computador problemático para que ele só possa acessar os recursos de correção definidos pelo administrador de TI da Contoso. Por exemplo, o computador problemático teria acesso ao servidor WSUS da Contoso e ao servidor que hospeda as assinaturas antivírus. Por último, a NAP pode garantir que, depois de o computador se tornar íntegro novamente, seja mantido em um estado contínuo de integridade. No exemplo que mostrei aqui, se o host problemático fosse usado por um telecomunicador pela VPN e o usuário desativasse o firewall do host, a NAP automaticamente corrigiria o problema. Assim que o firewall fosse desabilitado, a infra-estrutura da NAP colocaria o computador em quarentena, tornaria a habilitar o firewall, avaliaria novamente a integridade do computador e, depois de determinar se ele está íntegro, o devolveria à rede irrestrita. Os quatro pilares da NAP atendem diretamente às principais necessidades de segurança do ambiente de computação móvel e dinâmico da Contoso.

Design de NAP

Para pequenas e médias empresas, a imposição baseada no DHCP para NAP é a opção de implementação mais rápida e fácil. Isso porque a imposição de DHCP não requer nenhuma alteração adicional na rede e nenhum serviço além do DHCP e do NPS. Embora as opções de imposição de IPsec e de 802.1X sejam mais flexíveis, elas também requerem alterações adicionais na rede e a implantação de novos serviços. Para ambientes de menor complexidade, o uso de DHCP oferece os principais benefícios da NAP a um custo de implementação muito menor e com menos comprometimento operacional contínuo.

No ambiente da Contoso, um computador com o Windows Server "Longhorn" é usado como base da implantação de NAP. Como a NAP requer o NPS do Windows Server "Longhorn", não pode ser implantada em versões anteriores do Windows Server. A imposição baseada no DHCP para NAP também requer um servidor DCHP do Windows Server "Longhorn". Para consolidar serviços, a Contoso pode implantar o NPS e o DHCP no mesmo servidor; eles coexistem sem problemas. Por isso, a infra-estrutura do servidor NAP da Contoso é muito simples: um único computador com o Windows Server "Longhorn" executa os componentes de imposição e de diretiva.

No cliente, os computadores da Contoso que executam o Windows Vista já têm os recursos necessários para oferecer suporte a NAP. A única alteração no cliente necessária para os computadores com o Windows Vista é habilitar a funcionalidade da NAP, o que pode ser feito através da Diretiva de Grupo. Para os computadores da Contoso que executam o Windows XP, o pacote de um cliente NAP deve ser instalado separadamente. Computadores com Windows XP que tiverem ingressado no domínio têm, por padrão, a funcionalidade da Central de Segurança do Windows desabilitada. Se a diretiva da NAP usar informações de status da Central de Segurança para avaliar a integridade do computador, a Central de Segurança deverá ser executada para que a NAP funcione corretamente. Por isso, para computadores da Contoso com o Windows XP, os administradores ativaram a Central de Segurança através da Diretiva de Grupo. Além dessas alterações, nada mais é necessário no cliente para oferecer suporte a NAP.

Implantação de NAP na Contoso

Depois que a Contoso tiver feito as alterações necessárias na Diretiva de Grupo que abordamos anteriormente, a próxima etapa na implantação de NAP é a instalação do Windows Server "Longhorn". Todas as versões do Windows Server "Longhorn" incluem os componentes de NAP necessários, por isso a Contoso pode usar a edição que melhor atender à suas necessidades. Uma vez concluída a instalação, o administrador de TI usará a ferramenta Gerenciador de Servidores para adicionar novas funções ao computador. Para a imposição baseada no DHCP que a Contoso está usando, as funções necessárias são Network Access Services (Serviços de Acesso à Rede) e DHCP Server (Servidor DHCP). O assistente Add Roles (Adicionar Funções) ajudará o administrador a lidar com as dependências e a incluir recursos adicionais no servidor. Uma vez adicionadas as funções, a Contoso está pronta para começar a configurar a NAP.

O administrador da Contoso usará a ferramenta Gerenciador de Servidores para acessar o snap-in do DHCP para o MMC (Console de Gerenciamento Microsoft) e adicionará um novo escopo. A configuração do servidor DHCP do Windows Server "Longhorn" fará com que todos os serviços DHCP existentes nos segmentos IP a que ele serve sejam substituídos. Depois de criado e populado o escopo com as opções certas baseadas na rede da Contoso, a NAP deverá ser habilitada nela. Isso é feito na guia Proteção de Acesso à Rede das propriedades do escopo (consulte a Figura 2).

Figura 2** Habilitando a NAP **(Clique na imagem para aumentar a exibição)

A NAP alterna os computadores entre o acesso à rede restrito ou irrestrito dentro do mesmo escopo usando uma nova opção de escopo de classe de usuário. Esse conjunto especial de opções de escopo (incluindo servidores DNS, sufixo DNS padrão, etc.) é usado quando concessões são fornecidas a clientes problemáticos. Por exemplo, enquanto os clientes íntegros receberiam o sufixo DNS padrão "contoso.com", os clientes problemáticos receberão o sufixo "restricted.contoso.com", como mostra a Figura 3. Uma vez configuradas as opções de escopo do DCHP, o Servidor de Diretivas de Rede poderá ser configurado e as regras criadas.

Figura 3** Acesso restrito **(Clique na imagem para aumentar a exibição)

A diretiva NPS é formada por quatro componentes principais. Os SHVs (Validadores da Integridade do Sistema) definem quais verificações devem ser executadas para avaliar a integridade de um computador. Os Grupos de Servidores de Atualizações contêm a lista de sistemas que podem ser acessados pelos computadores problemáticos para se tornarem íntegros de novo (o WSUS, por exemplo). O componente Modelo de Validador da Integridade do Sistema é usado para definir os estados de integridade atuais. Por exemplo, a Contoso pode dizer que um computador "Compatível" é aquele que passa no SHV da Segurança do Windows, mas permitir que o cliente falhe em outra verificação de SHV do fornecedor de antivírus. Finalmente, esses componentes são combinados em um conjunto de Diretivas de Rede, que contêm a lógica que determina o que acontece aos computadores com base no estado de integridade deles.

Os Validadores da Integridade do Sistema são listas de itens que o agente NAP verifica e cujo status ele relata para o NPS. Uma implantação de NAP padrão inclui o SHV do Windows, que se conecta à Central de Segurança do Windows e permite que a NAP verifique o status de todos os componentes de segurança relatados através da Central de Segurança. Isso inclui componentes de firewall, antivírus, atualizações automáticas e anti-spyware.

Lembre-se que a NAP foi projetada para ser extensível e para permitir que terceiros criassem seus próprios SHVs para fornecer verificações mais detalhadas de componentes individuais (consulte microsoft.com/windowsserver2003/partners/nappartners.mspx para obter mais informações). Por exemplo, o SHV da Segurança do Windows permite que a NAP verifique se o antivírus está habilitado e atualizado, mas não pode executar verificações mais detalhadas sobre o aplicativo de antivírus, como a freqüência com que o computador é examinado ou outras opções específicas do aplicativo. O fornecedor de antivírus, porém, pode criar um SHV próprio que se conecte ao seu aplicativo mais profundamente e exponha mais verificações específicas do aplicativo que o SHV do Windows padrão. Esse SHV funcionaria em conjunto com o SHV do Windows e outros possíveis SHVs. Uma implantação de NAP pode ter muitos SHVs em uso ao mesmo tempo (consulte a Figura 4).

Figura 4** SHV da Segurança do Windows **

Os Grupos de Servidores de Atualizações são usados para especificar quais recursos um computador problemático é capaz de acessar. Geralmente, esses grupos incluem recursos como servidores WSUS ou SMS (Systems Management Server), assim como servidores de atualização de antivírus. É fundamental incluir não apenas os servidores em si, mas também os servidores de resolução de nome usados pelos clientes para encontrá-los. Como os clientes da Contoso foram configurados através de Diretiva de Grupo para usar o servidor chamado wsus.contoso.com para Atualizações Automáticas, os Grupos de Servidores de Atualizações devem incluir não apenas o endereço IP do servidor WSUS, como também o do servidor DNS que os clientes usam para converter o FQDN (nome de domínio totalmente qualificado) em um endereço IP numérico. Sem a permissão de acesso a esses recursos de resolução de nome (que podem ser tanto DNS como WINS, dependendo da forma como os clientes estão configurados), os clientes não conseguirão resolver os endereços IP dos recursos de correção e, portanto, não conseguirão acessá-los. A Figura 5 mostra as configurações de IP e DNS referentes ao exemplo.

Figura 5** Endereços IP e nomes DNS **(Clique na imagem para aumentar a exibição)

Os Modelos de Validador da Integridade do Sistema são usados para definir o que constitui um computador íntegro. Eles pegam os resultados das verificações do SHV e determinam se um computador é íntegro ou problemático com base na aprovação ou reprovação em uma ou mais verificações (consulte a Figura 6).

Figura 6** Verificações de conformidade **(Clique na imagem para aumentar a exibição)

No ambiente da Contoso (assim como em muitas implantações de pequeno e médio porte), há apenas dois estados definidos. Um computador íntegro é aquele que passa em todas as verificações do SHV. Um computador incompatível é aquele que falha em uma ou mais dessas verificações. Se necessário, as empresas podem optar por implementar lógica mais complexa (por exemplo, criando padrões de conformidade diferentes para usuários com base em função, departamento, localização geográfica, etc.), mas devem estar cientes de que isso pode tornar a identificação e solução de problemas mais difícil e demorada.

Todos esses componentes são reunidos às Diretivas de Rede, que são definidas por administradores e instruem o NPS a tratar os computadores com base no estado de integridade deles. Essas diretivas são avaliadas de cima para baixo (conforme exibidas na interface do usuário do NPS), e o processamento pára quando uma regra de diretiva for coincidente.

Mais uma vez, como a simplicidade é o objetivo da rede da Contoso, são necessárias apenas algumas diretivas. A primeira é a Compliant-FullAccess, que determina que os computadores que passarem em todas as verificações do SHV receberão acesso irrestrito à rede. Especificamente, se a integridade de um computador for avaliada e ele for aprovado em todas as verificações, o NPS instruirá o servidor DHCP a oferecer ao computador uma concessão de IP com opções de escopo "normais". O normal é essa diretiva Compliant-FullAccess estar listada em primeiro lugar na ordem de processamento, já que a maioria dos computadores deve estar compatível quando verificada. Isso reduz o tempo e o volume de processamento no NPS.

A próxima diretiva usada é Noncompliant-Restricted. No ambiente da Contoso, qualquer computador que falhe em uma ou mais verificações do SHV (e, portanto, coincidam com o Modelo de Validação da Integridade do Sistema Incompatível) corresponde a essa diretiva. Quando ela é coincidente, o NPS instrui o servidor DHCP a oferecer ao cliente uma concessão de IP com as opções especiais de escopo "restritas" da NAP. Isso permite que os computadores incompatíveis acessem apenas aqueles recursos definidos no Grupo de Servidores de Atualizações da Contoso.

A terceira diretiva usada é para fins de compatibilidade com versões anteriores. Lembre-se que, por padrão, o suporte a NAP está disponível para o Windows XP e sistemas operacionais posteriores (embora fornecedores independentes de software possam desenvolver clientes NAP para versões mais antigas do Windows e outros sistemas operacionais). Se a Contoso tiver o Windows 2000 ainda em produção, poderá criar uma regra (Downlevel-Full-Access no nosso exemplo) que permita que computadores sem suporte a NAP recebam acesso normal à rede (dadas as opções de escopo padrão do servidor DHCP). Essa diretiva deve ser avaliada por último e só precisa ser criada e habilitada quando computadores de nível inferior requererem acesso (consulte a Figura 7).

Figura 7** Configurações de acesso para computadores de nível inferior **(Clique na imagem para aumentar a exibição)

E se a Contoso tiver recursos em sua rede que não estão (nem nunca estarão) capacitados para NAP, como impressoras e outros tipos de hardware? Além disso, e se a Contoso tiver computadores que estão capacitados para NAP mas deseja isentar as verificações de diretiva permanente ou temporariamente? Uma maneira fácil de isentar esses computadores é pelo endereço MAC. Para fazer com que as verificações da NAP ignorem esses computadores, os administradores da Contoso podem criar uma nova diretiva (Exempt by MAC) que conceda acesso total à rede. Essa diretiva usa uma declaração de condição na qual a propriedade do cliente RADIUS chamada Calling Station ID coincide com o endereço MAC desses dispositivos que precisam ser ignorados pela NAP. Se um computador coincidir com a declaração de diretiva, o NPS instruirá o DHCP a oferecer uma concessão com as opções de escopo "normais". Essa diretiva deverá ser listada em primeiro lugar na ordem de avaliação a fim de reduzir o tempo e o volume de processamento geral no NPS. Computadores coincidentes com essa diretiva não precisam de nenhuma avaliação do SHV, por isso não há motivo algum para dedicar ciclos no NPS para verificá-los (consulte a Figura 8).

Figura 8** Ignorando determinados computadores **(Clique na imagem para aumentar a exibição)

Quando combinadas, essas diretivas ajudam a garantir que o NPS da Contoso avalie de maneira precisa e rápida os computadores que se conectem à rede. Se necessário, elas também fornecem isenções para dispositivos e computadores de nível inferior ou para ocasiões em que é necessário ignorar temporariamente dispositivos capacitados para NAP.

Conclusão

A NAP engloba um amplo conjunto de tecnologias e, principalmente em cenários mais complexos, requer planejamento e teste minuciosos. Embora eu tenha me concentrado em um cenário menos completo, o site da NAP contém orientações mais detalhadas para implantações de todos os tamanhos. O site também inclui assistência de planejamento para tecnologias de imposição de 802.1X e de IPSec, que geralmente são uma escolha melhor que a imposição baseada no DHCP para empresas.

A NAP oferece uma plataforma capaz e extensível para avaliar a integridade de computadores que se conectem a uma rede. Para pequenas e médias empresas, a imposição baseada no DHCP pode trazer muitos benefícios com baixos custos de gerenciamento e implementação. A NAP é um dos principais benefícios do Windows Server "Longhorn" e pode ajudar a aprimorar a segurança e a conformidade da sua organização.

Recursos NAP

• Proteção de Acesso à Rede
• Configurando imposição de protocolo de configuração de host dinâmico para a Proteção de Acesso à Rede em um laboratório de teste
• Parceiros da Proteção de Acesso à Rede
• WebCast do whitepaper “Introdução à Proteção de Acesso à Rede”

John Morello trabalha na Microsoft há seis anos, em várias funções. Como consultor sênior, Morello criou soluções de segurança para empresas da lista Fortune 100 e clientes civis federais e da defesa. Atualmente, ele é gerente de programas sênior do grupo Windows Server e trabalha em tecnologias de acesso em qualquer lugar.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..