Você sabe quem está usando sua rede ?
Por Rodrigo Immaginario
Publicado em: 13 de setembro de 2006
Introdução
Garantir a segurança dos dados e sistemas de uma empresa é um dos grandes desafios dos profissionais que atuam na área de Segurança da Tecnologia da Informação (Security IT).
A preocupação em atender algumas demandas vivenciadas pelas empresas é fundamental. Saber quem são seus usuários e ativos de redes se torna um problema na realidade atual, onde acesso remoto, wireless, entre várias filiais e interligando sistemas distribuídos são uma realidade nas empresas.
Nos tempos atuais o firewall é apenas um dos vários pontos que precisamos nos preocupar para reduzir a superficie de ataque na empresas. Os investimentos em segurança não podem se limitar apenas a uma solução para garantir que não haja ataques vindos da Internet.
Sua rede Interna está segura ?
Você consegue garantir que, agora, em sua rede somente máquinas que você conhece estão conectadas e utilizando seus recursos e servidores ? Agora imagine esse cenário em uma empresa onde existem vários prédios, milhares de pontos de rede, centenas de Access Points (AP) para acesso Wireless, dezenas de empresas parceiras trabalhando em projetos conjunto e etc.
A solução para endereçarmos problemas como esse é Server and Domain isolation(usando IPSEC e group policy).
Um cenário típico de aplicação dessa solução é o que encontramos na figura 1. Nesse exemplo temos a necessidade de garantir o acesso aos servidores e dados da rede interna somente para máquina confiáveis, ou seja, maquinas que estão no nosso domínio. O objetivo secundário é isolar, dentro da rede já protegida criada pelo IPSEC, o acesso ao servidor de código fonte a um grupo restrito de máquinas e com o máximo de segurança: com todo o tráfego criptografado.
Figura 1 - Domain Isolation Diagram
Como o Internet Protocol Security (IPSEC) funciona na camada de rede do protocolo TCP/IP, abaixo da camada de aplicação, o trafego pode ser autenticado ou autenticado e criptografado, de maneira centralizada com group policy no Active Directory.
A política de IPSEC é composta por um conjunto de regras, conforme diagrama abaixo (figura 2)
Figura 2 - Diagrama IPSEC
Para atender o cenário descrito anteriormente e seguindo a lógica do diagrama acima, seguimos a seguinte seguencia para implementar a solução.
Primeiro passo - Criação da IPSEC Policy: neste ponto estamos criando as policies no AD que serão distribuídas a todas as máquinas em seu ambiente
IPSEC Policies
Filter |
Isolated Domain Policy |
Bondary Isolation Policy |
No Fallback Isolation Policy |
Encryption Isolation Policy |
---|---|---|---|---|
Any <-> Secure Subnets List |
Secure Request Mode |
Request Mode |
Require Mode |
Require Encryption Mode |
Any <-> Domain Controllers |
Permit |
Permit |
Permit |
Permit |
Any <-> Exempted IP Addresses |
Permit |
Permit |
Permit |
Permit |
Any <-> Firewall Addresses |
Permit |
Permit |
Permit |
Permit |
Any <-> Any, ICMP |
Permit |
Permit |
Permit |
Permit |
Any <-> External Subnets |
N/A |
N/A |
N/A |
N/A |
Segundo passo - Difinir a sequencia de aplicação da policies
Terceiro passo - Criação dos grupos Universais, que recebam os objetos afetados pelas policies
Universal Groups
Universal Computer Group |
Description |
Group Members |
---|---|---|
CG_TrustNetwork |
Contains the machines that are part of the Isolated Domain |
Domain Computers |
CG_Boundary |
Contains the machines that are part of the Boundary Isolation Group |
WSUS Server |
CG_IsolatedNetwork |
Contains the machines that are part of the No Fallback Isolation Group |
File Server, Exchange Server, SQL Server, Intranet Server |
CG_EncryptedNetwork |
Contains the machines that are part of the Encryption Isolation Group |
Source Code Server |
CG_Exclusion |
Contains the machines that will not receive any IPsec Policy |
Domain Controllers, Proxy Server |
Quarto passo - Criação dos Filtros de IP, já dentro do IPSEC Security Policies
IP Filter List
IP Filter List |
Description |
Filters |
---|---|---|
Domain Controllers |
Exempts traffic to AD Domain Controllers |
Any <-> Domain Controller IP Address, All traffic, Mirrored (Multiple filters) |
Firewalls |
Exempts traffic to Proxy Servers used for Internet Access |
Any <-> Proxy Server IP Address, All Traffic, Mirrored (Multiple filters) |
Exclusion IP |
Generic filter that exempts traffic to specific IP addresses |
Any <-> Exempted IP Address, All Traffic, Mirrored (Multiple filters) |
All ICMP Traffic |
Exempts ICMP Traffic |
Any <-> Any, ICMP, Mirrored |
Secure Network |
Defines the IP subnets protected by the Domain Isolation solution |
Any <-> Internal Subnet, All Traffic, Mirrored (Multiple filters) |
Quinto passo - Criação das ações das políticas de IPSEC
Action
IP Filter Action |
Description |
Method |
Configuration |
---|---|---|---|
Permit |
Allows traffic to pass |
Permit |
None |
Block |
Blocks traffic |
Block |
None |
Request with IPSec |
Accepts inbound packets that are either IPsec or plaintext. Triggers an IKE negotiation for outbound traffic and allows Fall back to clear if no response. Used to implement the Boundary group. |
Negotiate |
Security Methods: ESP/Null with SHA-1, ESP/3DES with SHA-1, Accept unsecured communication, but always respond with IPsec & Allow unsecured communication with non-IPsec-aware computers |
Request with security |
Inbound packets are secured by IPsec and host ignores non-IPsec inbound packets. For outbound traffic, it triggers an IKE negotiation, and allows Fall back to clear if no response. Used to implement the Isolation Domain. |
Negotiate |
Security Methods: ESP/Null with SHA-1, ESP/3DES with SHA-1, Allow unsecured communication with non-IPsec-aware computers |
Require IPSec |
Requires IPsec-secured communications for both inbound and outbound packets. This filter action is used to implement the No Fallback isolation group. |
Negotiate |
Security Methods: ESP/Null - SHA-1, ESP/3DES - SHA-1 , ESP/3DES - MD5 |
Encrypt |
Allows inbound TCP/IP access only when packets are secured by IPsec ESP 3DES encryption and ignores non-IPsec inbound packets. For outbound traffic, it triggers an IKE negotiation that requires IPsec ESP 3DES encryption. This filter action is used to implement the Encryption isolation group. |
Negotiate |
Security Method: ESP/3DES - SHA-1 |
O futuro do IPSEC
Para o Longhorn Server, muitas melhorias estão sendo desenvolvidas para nos ajudar a manter nosso ambiente integro e seguro.
Ainda no IPSEC, teremos autenticação por usuários, que hoje é feita somente por máquina. A interface foi toda reformulada e está muito mais simples de ser implementada. Podemos agora, com algumas poucas politicas, resolver os mesmos cenários para os quais hoje necessitamos criar dezenas de regras do IPSEC.
Conclusão
A maneira como enxergamos o perimetro de rede está mudando. Alguns autores até arriscam dizer que a DMZ (Zona desmilitarizada) está "morrendo".
Hoje em dia as Empesas são Globais, conectadas fisicamente e lógicamente a fornecedores, consultores, usuários remotos e etc. Cada vez mais o conceito de proteção somente na fronteira de sua rede com Firewall ( Edge ) não se aplica mais às necessidades de segurança das Empresas.
Um novo problema está cada vez mais latente na segurança dos ambiente de TI, o quanto "saudáveis" estão os computadores conectados em nossa rede ?
Para resolver essa questão está surgindo o NAP - Network Access Protection - que tem como objetivo principal de garantir que as máquinas estejam em dia, com o NAP poderemos manter a versão de anti-virus, configuração de firewall, instalação de hotfix e etc sempre atualizados e de acordo com as políticas de segurança da empresa.
Trabalhando juntos, NAP e o IPSEC, conseguirão garantir não só que máquinas conhecidas e autorizadas acessem nossos recursos de rede, mas também que essas máquinas estejam com um estado de "saúde" aprovado pelas nossas políticas.
Só poderemos começar a fazer uso do NAP no LongHorn Server. Para estações cliente poderemos usar o Windows Vista e o Windows XP. Mas independente disso, já podemos começar a preparar nossa estrutura para suportar essa nova tecnologia.
A implementação de um projeto de IPSEC, adoção de uma estrutura de certificação digital (PKI) e também o uso de um servidor de autenticação RADIUS - IAS é um excelente ponto de partida ...