Você sabe quem está usando sua rede ?

Por Rodrigo Immaginario

Publicado em: 13 de setembro de 2006

Introdução

Garantir a segurança dos dados e sistemas de uma empresa é um dos grandes desafios dos profissionais que atuam na área de Segurança da Tecnologia da Informação (Security IT).

A preocupação em atender algumas demandas vivenciadas pelas empresas é fundamental. Saber quem são seus usuários e ativos de redes se torna um problema na realidade atual, onde acesso remoto, wireless, entre várias filiais e interligando sistemas distribuídos são uma realidade nas empresas.

Nos tempos atuais o firewall é apenas um dos vários pontos que precisamos nos preocupar para reduzir a superficie de ataque na empresas. Os investimentos em segurança não podem se limitar apenas a uma solução para garantir que não haja ataques vindos da Internet.

Sua rede Interna está segura ?

Você consegue garantir que, agora, em sua rede somente máquinas que você conhece estão conectadas e utilizando seus recursos e servidores ? Agora imagine esse cenário em uma empresa onde existem vários prédios, milhares de pontos de rede, centenas de Access Points (AP) para acesso Wireless, dezenas de empresas parceiras trabalhando em projetos conjunto e etc.

A solução para endereçarmos problemas como esse é Server and Domain isolation(usando IPSEC e group policy).

Um cenário típico de aplicação dessa solução é o que encontramos na figura 1. Nesse exemplo temos a necessidade de garantir o acesso aos servidores e dados da rede interna somente para máquina confiáveis, ou seja, maquinas que estão no nosso domínio. O objetivo secundário é isolar, dentro da rede já protegida criada pelo IPSEC, o acesso ao servidor de código fonte a um grupo restrito de máquinas e com o máximo de segurança: com todo o tráfego criptografado.
Cc716446.sep06mvp1(pt-br,TechNet.10).jpg
Figura 1 - Domain Isolation Diagram

Como o Internet Protocol Security (IPSEC) funciona na camada de rede do protocolo TCP/IP, abaixo da camada de aplicação, o trafego pode ser autenticado ou autenticado e criptografado, de maneira centralizada com group policy no Active Directory.

A política de IPSEC é composta por um conjunto de regras, conforme diagrama abaixo (figura 2)
Cc716446.quemusa2(pt-br,TechNet.10).jpg
Figura 2 - Diagrama IPSEC

Para atender o cenário descrito anteriormente e seguindo a lógica do diagrama acima, seguimos a seguinte seguencia para implementar a solução.

Primeiro passo - Criação da IPSEC Policy: neste ponto estamos criando as policies no AD que serão distribuídas a todas as máquinas em seu ambiente

IPSEC Policies

Filter

Isolated Domain Policy

Bondary Isolation Policy

No Fallback Isolation Policy

Encryption Isolation Policy

Any <-> Secure Subnets List

Secure Request Mode

Request Mode

Require Mode

Require Encryption Mode

Any <-> Domain Controllers

Permit

Permit

Permit

Permit

Any <-> Exempted IP Addresses

Permit

Permit

Permit

Permit

Any <-> Firewall Addresses

Permit

Permit

Permit

Permit

Any <-> Any, ICMP

Permit

Permit

Permit

Permit

Any <-> External Subnets

N/A

N/A

N/A

N/A

 

Segundo passo - Difinir a sequencia de aplicação da policies
Cc716446.quemusa3(pt-br,TechNet.10).gif

 

Terceiro passo - Criação dos grupos Universais, que recebam os objetos afetados pelas policies

Universal Groups

Universal Computer Group

Description

Group Members

CG_TrustNetwork

Contains the machines that are part of the Isolated Domain

Domain Computers

CG_Boundary

Contains the machines that are part of the Boundary Isolation Group

WSUS Server

CG_IsolatedNetwork

Contains the machines that are part of the No Fallback Isolation Group

File Server, Exchange Server, SQL Server, Intranet Server

CG_EncryptedNetwork

Contains the machines that are part of the Encryption Isolation Group

Source Code Server

CG_Exclusion

Contains the machines that will not receive any IPsec Policy

Domain Controllers, Proxy Server

 

Quarto passo - Criação dos Filtros de IP, já dentro do IPSEC Security Policies

IP Filter List

IP Filter List

Description

Filters

Domain Controllers

Exempts traffic to AD Domain Controllers

Any <-> Domain Controller IP Address, All traffic, Mirrored (Multiple filters)

Firewalls

Exempts traffic to Proxy Servers used for Internet Access

Any <-> Proxy Server IP Address, All Traffic, Mirrored (Multiple filters)

Exclusion IP

Generic filter that exempts traffic to specific IP addresses

Any <-> Exempted IP Address, All Traffic, Mirrored (Multiple filters)

All ICMP Traffic

Exempts ICMP Traffic

Any <-> Any, ICMP, Mirrored

Secure Network

Defines the IP subnets protected by the Domain Isolation solution

Any <-> Internal Subnet, All Traffic, Mirrored (Multiple filters)

 

Quinto passo - Criação das ações das políticas de IPSEC

Action

IP Filter Action

Description

Method

Configuration

Permit

Allows traffic to pass

Permit

None

Block

Blocks traffic

Block

None

Request with IPSec

Accepts inbound packets that are either IPsec or plaintext. Triggers an IKE negotiation for outbound traffic and allows Fall back to clear if no response. Used to implement the Boundary group.

Negotiate

Security Methods: ESP/Null with SHA-1, ESP/3DES with SHA-1, Accept unsecured communication, but always respond with IPsec & Allow unsecured communication with non-IPsec-aware computers

Request with security

Inbound packets are secured by IPsec and host ignores non-IPsec inbound packets. For outbound traffic, it triggers an IKE negotiation, and allows Fall back to clear if no response. Used to implement the Isolation Domain.

Negotiate

Security Methods: ESP/Null with SHA-1, ESP/3DES with SHA-1, Allow unsecured communication with non-IPsec-aware computers

Require IPSec

Requires IPsec-secured communications for both inbound and outbound packets. This filter action is used to implement the No Fallback isolation group.

Negotiate

Security Methods: ESP/Null - SHA-1, ESP/3DES - SHA-1 , ESP/3DES - MD5

Encrypt

Allows inbound TCP/IP access only when packets are secured by IPsec ESP 3DES encryption and ignores non-IPsec inbound packets. For outbound traffic, it triggers an IKE negotiation that requires IPsec ESP 3DES encryption. This filter action is used to implement the Encryption isolation group.

Negotiate

Security Method: ESP/3DES - SHA-1

 

O futuro do IPSEC

Para o Longhorn Server, muitas melhorias estão sendo desenvolvidas para nos ajudar a manter nosso ambiente integro e seguro.

Ainda no IPSEC, teremos autenticação por usuários, que hoje é feita somente por máquina. A interface foi toda reformulada e está muito mais simples de ser implementada. Podemos agora, com algumas poucas politicas, resolver os mesmos cenários para os quais hoje necessitamos criar dezenas de regras do IPSEC.

Conclusão

A maneira como enxergamos o perimetro de rede está mudando. Alguns autores até arriscam dizer que a DMZ (Zona desmilitarizada) está "morrendo".

Hoje em dia as Empesas são Globais, conectadas fisicamente e lógicamente a fornecedores, consultores, usuários remotos e etc. Cada vez mais o conceito de proteção somente na fronteira de sua rede com Firewall ( Edge ) não se aplica mais às necessidades de segurança das Empresas.
Cc716446.quemusa4(pt-br,TechNet.10).jpg

Um novo problema está cada vez mais latente na segurança dos ambiente de TI, o quanto "saudáveis" estão os computadores conectados em nossa rede ?

Para resolver essa questão está surgindo o NAP - Network Access Protection - que tem como objetivo principal de garantir que as máquinas estejam em dia, com o NAP poderemos manter a versão de anti-virus, configuração de firewall, instalação de hotfix e etc sempre atualizados e de acordo com as políticas de segurança da empresa.

Trabalhando juntos, NAP e o IPSEC, conseguirão garantir não só que máquinas conhecidas e autorizadas acessem nossos recursos de rede, mas também que essas máquinas estejam com um estado de "saúde" aprovado pelas nossas políticas.

Só poderemos começar a fazer uso do NAP no LongHorn Server. Para estações cliente poderemos usar o Windows Vista e o Windows XP. Mas independente disso, já podemos começar a preparar nossa estrutura para suportar essa nova tecnologia.

A implementação de um projeto de IPSEC, adoção de uma estrutura de certificação digital (PKI) e também o uso de um servidor de autenticação RADIUS - IAS é um excelente ponto de partida ...