Ameaças e contramedidas

  • Artigo

Capítulo 11: Contramedidas adicionais

Atualizado em: 27 de dezembro de 2005

Este capítulo descreve como implementar algumas das contramedidas adicionais, como a proteção de contas. Este capítulo também contém informações gerais, referências e orientações sobre configuração para o uso de filtros IPSec (IP Security) como uma contramedida eficaz contra ataques à rede.

Nesta página

Procedimentos de proteção a servidor membro
Configurando o Firewall do Windows
Mais informações

Procedimentos de proteção a servidor membro

Embora você possa aplicar a maioria das contramedidas abordadas neste guia usando a Diretiva de Grupo, há configurações adicionais que são difíceis ou impossíveis de se aplicar por meio dela. As seções seguintes fornecem orientação sobre como implementar estas configurações adicionais para servidores membros de domínio.

Protegendo as contas

O Microsoft® Windows Server™ 2003 com Service Pack 1 (SP1) tem algumas contas de usuário internas que não podem ser excluídas mas que podem ser renomeadas. Duas das contas internas mais conhecidas do Windows Server 2003 são Convidado e Administrador.

Vulnerabilidade

Por padrão, a conta Convidado é desabilitada em servidores membros e em controladores de domínio. Essa configuração não deve ser alterada. Muitas variações de códigos mal-intencionados usam a conta interna Administrador em uma tentativa inicial de comprometer um servidor. Você deve renomear a conta Administrador interna e alterar sua descrição para ajudar a prevenir o comprometimento de servidores remotos por invasores que tentam valer-se dessa conta bem conhecida.

O valor dessa alteração de configuração tem diminuído nos últimos anos, desde o lançamento de ferramentas de ataque que tentam violar o servidor especificando o SID (Identificador de Segurança) da conta interna Administrador para descobrir seu nome real. Um SID é o valor que identifica de forma exclusiva cada usuário, grupo, conta de computador e sessão de logon em uma rede. Não é possível alterar o SID desta conta interna.

Contramedida

Renomeie a conta de Administrador e altere a senha para um valor extenso e complexo em todos os servidores.

Observação: é possível renomear a conta interna Administrador por meio da Diretiva de Grupo. As diretivas de linha de base que estão incluídas no Guia de Segurança do Windows Servidor 2003 não implementam esta configuração porque toda organização deve escolher um nome exclusivo para esta conta. Para renomear a conta, defina a configuração Renomear conta do administrador na Diretiva de Grupo no seguinte local:
Computer Configuration\Windows Settings\Security Settings\Local Policies\
Security\Options
Idealmente, as organizações devem utilizar senhas diferentes em cada servidor, embora essa configuração cause sobrecarga de gerenciamento. Entretanto, caso sua organização use os mesmos nomes de conta e senhas em todos os servidores, um invasor que conseguir acessar um servidor membro poderá obter acesso a todos os outros. Registre quaisquer alterações feitas em um local protegido.

Impacto potencial

Os usuários que gerenciam os computadores devem controlar os nomes de conta atribuídos a cada computador. Usuários que precisam fazer logon em um servidor específico com a conta local Administrador precisam consultar essa documentação protegida para determinar o nome de usuário e a senha do servidor.

NTFS

As partições de configuração NTFS oferecem suporte a listas de controle de acesso (ACLs) e, opcionalmente, para criptografia (por meio de EFS, Encrypting File System) nos níveis de arquivo e de pasta. Esse suporte não está disponível nos sistemas de arquivos FAT, FAT32 ou FAT32x. FAT32 é uma versão do sistema de arquivos FAT que foi atualizada para permitir tamanhos de cluster padrão significativamente menores e para dar suporte para discos rígidos com até dois terabytes de tamanho. O sistema FAT32 está incluído no Microsoft Windows® 95 OSR2, Windows 98, Windows Me, Windows Server 2003 e Windows XP.

Vulnerabilidade

Os arquivos que você não pode proteger com ACLs podem ser facilmente exibidos, alterados ou excluídos por usuários não autorizados, que podem acessá-los localmente ou pela rede. Outros arquivos podem ser protegidos por ACLs, mas a criptografia proporciona muito mais proteção e é uma opção viável para arquivos que só precisam estar acessíveis a um único usuário.

Contramedida

Formate todas as partições em todos os servidores com NTFS. Use o utilitário de conversão para converter partições FAT de forma não destrutiva em NTFS, mas lembre-se de que o utilitário configura as ACLs da unidade convertida em Todos: Controle Total.

Para computadores com Windows Server 2003 and Windows XP, aplique localmente os seguintes modelos de segurança a fim de configurar as ACLs padrão do sistema de arquivos:

  • Para estações de trabalho. %windir%\inf\defltwk.inf

  • Para servidores. %windir%\inf\defltsv.inf

  • Para controladores de domínio. %windir%\inf\defltdc.inf

Consulte o Capítulo 12, "The Bastion Host Role," no Guia de Segurança do Windows Server para obter instruções de como aplicar modelos de segurança localmente.

Observação: as configurações padrão de segurança de controlador de domínio são aplicadas quando um servidor é promovido a um controlador de domínio.

Impacto potencial

Não há impacto negativo.

Importante: a configuração adequada de permissões de NTFS ajudará a proteger os dados de sua organização contra exposição ou modificações não autorizadas, mas é importante que você não se esqueça da segurança física. Um invasor que tenha obtido controle físico de um computador pode inicializá-lo com um sistema operacional alternativo, usando um CD-ROM ou disquete inicializável. Um invasor que tenha removido um disco rígido de um dos computadores da empresa pode transferi-lo para outro computador que não seja gerenciado. Depois que o invasor obtém controle físico total da mídia de armazenamento, é muito difícil manter os dados seguros.

Este problema fundamental de segurança de computador também existe para os sistemas de arquivos de outros sistemas operacionais. Depois que um invasor tem acesso físico ao disco, as permissões de NTFS —- e a maioria das outras salvaguardas —- podem ser facilmente ignoradas. Medidas de segurança físicas óbvias que sua organização pode implementar incluem o acesso restrito a edifícios, a instalação de cadeados magnéticos em salas de servidores, o uso de cadeados em racks de servidor e o uso de cadeados em estações de encaixe para computadores laptop. Além destas medidas de segurança, a Microsoft recomenda as seguintes tecnologias adicionais que podem ajudar a diminuir o impacto destes tipos de ataques:

  • Usar Syskey com uma senha offline para impedir a inicialização do sistema operacional Windows por pessoas não autorizadas.

  • Usar EFS para criptografar dados de usuário. Instruir os usuários a usar suas contas domínio e não configurar um agente de recuperação ou configurá-lo para as contas de administrador do domínio em vez da conta local de administrador.

  • Usar senhas de BIOS para negar a usuários não autorizados a capacidade de iniciar computadores dentro de sua organização.

  • Configurar o BIOS do sistema para desativar a capacidade de computadores serem iniciados a partir de unidades de CD-ROM e disquetes. Esta configuração negará a capacidade de usuários não autorizados a iniciarem computadores com seu próprio sistema operacional.

Segmentação de dados e aplicativos

Há muito tempo, considera-se uma prática recomendada separar dados, aplicativos e arquivos do sistema operacional em dispositivos de armazenamento distintos para aprimorar o desempenho do computador. Se você segregar estes tipos de arquivos em servidores, também ajudará a proteger os aplicativos, dados e sistemas operacionais de ataques de atravessamento de diretório.

Vulnerabilidade

Dois tipos de vulnerabilidades serão expostos se você localizar aplicativos, dados, e arquivos de log no mesmo volume de armazenamento que o sistema operacional. Uma vulnerabilidade é o potencial para um usuário ou usuários encherem acidentalmente ou deliberadamente um arquivo de log do aplicativo ou carregar arquivos no servidor e encher o volume de armazenamento com dados.

A segunda vulnerabilidade é conhecida como exploração de atravessamento de diretório, na qual um invasor tira vantagem de um erro em um serviço de rede para navegar pela árvore de diretório até a raiz do volume do sistema. O invasor pode então pesquisar as pastas de arquivos do sistema operacional para executar um utilitário remotamente.

Há milhares de variações dos ataques de passagem de diretório que exploram aplicativos e sistemas operacionais vulneráveis. O IIS já esteve vulnerável a ataques semelhantes em anos recentes. Por exemplo, os worms NIMDA e Code Red usaram um estouro do buffer para percorrer árvores de diretório de sites e executar remotamente o arquivo Cmd.exe para obter acesso a um shell remoto e executar comandos adicionais.

Contramedida

Sempre que possível, transfira o conteúdo da Web, aplicativos, dados e arquivos de log de aplicativos para uma partição separada do volume do sistema.

Impacto potencial

Em organizações que criam e mantêm servidores com segurança, o impacto deve ser mínimo. Para organizações que não mantenham estas informações, o impacto será um pouco maior porque os administradores terão que investigar como cada computador está configurado.

Configurar o nome da comunidade SNMP

O SNMP (Simple Network Management Protocol) é um padrão de gerenciamento de rede amplamente usado em redes TCP/IP. O SNMP fornece um meio de gerenciar nós-servidores, estações de trabalho, roteadores, pontes e hubs de rede, a partir de um host centralmente localizado. O SNMP executa seus serviços de gerenciamento usando uma arquitetura distribuída de sistemas e agentes de gerenciamento. Os computadores que executam o software de gerenciamento de rede são chamados de sistemas de gerenciamento SNMP ou gerenciadores SNMP. Os nós de rede gerenciados são chamados de agentes SNMP.

O serviço SNMP oferece uma forma rudimentar de segurança por meio de nomes de comunidade e interceptações de autenticação. Você pode restringir comunicações de SNMP para agentes e permitir que se comuniquem com apenas uma lista específica de sistemas de gerenciamento SNMP, e nomes de comunidade podem ser usados para autenticar mensagens SNMP. Embora um host possa pertencer a várias comunidades ao mesmo tempo, um agente SNMP não aceita solicitações de um sistema de gerenciamento em uma comunidade que não esteja em sua lista de nomes de comunidade aceitáveis. Não há relação entre nomes de comunidade e nomes de domínio ou nomes de grupo de trabalho. Um nome de comunidade pode ser considerado como uma senha compartilhada por consoles de gerenciamento SNMP e computadores gerenciados. Como administrador do sistema, você é responsável pela criação de nomes de comunidades difíceis de detectar quando você instalar o serviço SNMP.

Vulnerabilidade

O protocolo SNMP é inerentemente fraco com referência à segurança. A maior e principal vulnerabilidade do SNMP é que quase todos os fornecedores configuram um nome padrão de seqüência de caracteres de comunidade, e estes nomes padrão de comunidade são bem conhecidos. Por exemplo, a Microsoft usa a palavra Público.

Há uma segunda vulnerabilidade que é mais difícil de superar. Como o tráfego SNMP é enviado em texto sem formatação, a seqüência de caracteres de comunidade é transmitida através da rede sem ser criptografada ou passada por hash quando um dispositivo de gerenciamento SNMP se conecta a um cliente SNMP. Para abordar esta segunda vulnerabilidade, você pode criptografar todo o tráfego entre servidores. No entanto, esta contramedida está além do escopo deste guia.

Contramedida

Configure a seqüência de caracteres da comunidade SNMP em todos os computadores para acesso de leitura com um valor alfanumérico aleatório.

Para configurar a seqüência de caracteres de comunidade SNMP

  1. No console Serviços, clique duas vezes em Serviço SNMP.

  2. Clique na guia Segurança na caixa de diálogo Propriedades de Serviço SNMP.

  3. Selecione public na lista Nomes de comunidades aceitos.

  4. Clique no botão Editar e digite o novo nome de comunidade na caixa de diálogo Nome da Comunidade de Serviço SNMP quando ela for exibida.

  5. Clique no botão OK para fechar as caixas de diálogo.

Mantenha o acesso de gravação por meio do SNMP desativado.

Observação: o nome da comunidade é armazenado no Registro como um valor do Registro com o valor DWORD de 4; portanto, você pode automatizar esta alteração criando um script ou adicionando uma linha a um modelo de segurança e importando o modelo para uma Diretiva de Grupo baseada em domínio. O valor é armazenado em: HKLM\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities.

Impacto potencial

Você também deve reconfigurar a seqüência de caracteres da comunidade em todas as ferramentas de gerenciamento que usam o protocolo SNMP.

Desativar o NetBIOS e SMB em interfaces públicas

Esta seção discute recomendações especificamente projetadas para servidores que estão localizados em redes que não podem ser totalmente controladas, como servidores Web publicamente acessíveis e gateways de email. Estes tipos de servidores costumam ser chamados de hosts bastião. Se você tiver estes servidores, deverá considerar os procedimentos recomendados nesta contramedida. No entanto, você deve testar cada alteração completamente e assegurar que entende que será um desafio gerenciar computadores nos quais NetBIOS foi desativado.

Vulnerabilidade

Para ajudar a proteger um host bastião, você pode reduzir bastante a superfície de ataque se desativar os blocos de mensagens do servidor (SMB) e NetBIOS sobre TCP/IP. Será difícil gerenciar servidores que operam sob esta configuração, e eles serão incapazes de acessar pastas compartilhadas na rede. No entanto, estas medidas protegem eficientemente o servidor do comprometimento pelos protocolos SMB e NetBIOS. Portanto, você deve desativar SMB e NetBIOS em TCP/IP para conexões de rede em servidores que estejam acessíveis na Internet.

Contramedida

A comunicação SMB não será impedida se você desativar NetBIOS. O SMB usará a porta de TCP 445 (conhecida como SMB Direct Host ou a porta CIFS (Common Internet File System)) na ausência de portas normais de NetBIOS. Assim, devem ser executadas etapas explícitas para desativar o NetBIOS e o SMB separadamente.

O NetBIOS usa as seguintes portas:

  • UDP/137 (serviço de nomes do NetBIOS)

  • UDP/138 (serviço de datagrama do NetBIOS)

  • UDP/139 (serviço de sessões do NetBIOS)

O SMB usa as seguintes portas:

  • TCP/139

  • TCP/445

Em servidores que estão acessíveis na Internet, complete os procedimentos seguintes para remover Compartilhamento de Arquivos e Impressoras para Redes Microsoft e Cliente para Redes Microsoft.

Para desabilitar o SMB

  1. Em Painel de controle, clique duas vezes em Conexões de rede.

  2. Clique com o botão direito do mouse em qualquer conexão com a Internet e clique em Propriedades.

  3. Na caixa de diálogo Propriedades, clique para selecionar Cliente para redes Microsoft e, em seguida, clique em Desinstalar.

  4. Siga as etapas de instalação.

  5. Selecione Compartilhamento de arquivos e impressoras para redes Microsoft e clique em Desinstalar.

  6. Siga as etapas de instalação.

Para desativar o NetBIOS sobre TCP/IP

  1. No Painel de controle, clique duas vezes em Sistema, clique na guia Hardware e clique no botão Gerenciador de dispositivos.

  2. No menu Exibir, clique em Mostrar dispositivos ocultos.

  3. Expanda Drivers que não são plug and play.

  4. Clique com o botão direito do mouse em NetBios em Tcpip e clique em Desativar.

Estas etapas desativarão a escuta de host direto do SMB nas portas TCP/445 e UDP 445.

Observação: esse procedimento desativa o driver Nbt.sys. Embora ele desative o Serviço de Sessão de NetBIOS (que escuta na porta TCP 139), ele não desativa o SMB completamente. Para fazer isto, siga as etapas anteriores do procedimento "Para desativar o SMB".

Impacto potencial

Nenhum computador pode se conectar com o servidor via SMB. Os servidores não poderão acessar pastas compartilhadas na rede. As ferramentas de gerenciamento que dependem de NetBIOS ou SMB para conectividade serão incapazes de se conectar aos servidores.

Configurar a porta dos Serviços de terminal

Os Serviços de terminal são uma ferramenta útil para administradores de rede, porque permitem o gerenciamento remoto de servidores e computadores de usuários finais. O cliente da Área de trabalho remota é instalado por padrão em todos os computadores Windows Server 2003 e Windows XP e está disponível como um componente opcional na mídia de instalação do Windows 2000 Server. Também é possível baixar de um cliente Microsoft ActiveX® que é executado no Internet Explorer ou no MMC (Console de Gerenciamento Microsoft). A área de trabalho Remota e os clientes ActiveX são conhecidos coletivamente como Terminal Services Advanced Client (TSAC).

Vulnerabilidade

Os Serviços de terminal escutam na porta TCP 3389 por padrão e todas as versões de clientes da Área de trabalho remota tentam se conectar a esta porta. Embora a sessão inteira (inclusive a autenticação do usuário) seja criptografada, os clientes dos Serviços de terminal não executam a autenticação do servidor. Um invasor que era capaz de falsificar um servidor legítimo dos Serviços de terminal pode fazer com que os usuários se conectem ao servidor do invasor em vez do servidor legítimo. Para conseguir isso, o invasor pode alterar registros de DNS para redirecionar os usuários a seu servidor ou usar algum outro meio.

Contramedida

Altere a porta TCP usada pelos Serviços de terminal ou implemente uma diretiva IPSec para exigir confiança e negociar o AH (Authentication Header) ou ESP (Encapsulation Security Payload) usando o modo de transporte IPSec (não o modo de encapsulamento IPSec). Em certas situações, pode ser viável isolar o Terminal Server por trás de um gateway VPN para que sejam exigidos encapsulamentos PPTP (Point to Point Tunneling Protocol) ou encapsulamentos VPN L2TP/IPSec protegidos para o acesso ao Terminal Server.

Para obter informações sobre como alterar a porta que é usada por Serviços de terminal e pelo cliente da Área de trabalho remota, consulte o artigo do Microsoft Knowledge Base (em inglês) "How to Change Terminal Server's Listening Port" em https://support.microsoft.com/?scid=187623. Este artigo explica como alterar a porta de escuta para o cliente de área de trabalho comum. Para fazer isso no cliente Web do Terminal Services Advanced Client, você deve adicionar a seguinte linha de script à página da Web:

MsRdpClient.RDPport = xxx

(xxx representa o número de porta TCP desejado.) Para obter mais informações sobre como você pode usar e personalizar a conexão da Web da Área de trabalho remota para executar sessões de Serviços de terminal no Microsoft Internet Explorer, consulte "Providing for RDP Client Security", em https://msdn.microsoft.com/library/default.asp?url=/library/en-us/termserv/termserv/providing\_for\_rdp\_client\_security.asp (em inglês).

Impacto potencial

A implementação de IPsec com AH terá um impacto insignificante no desempenho do computador, mas introduzirá nova sobrecarga para gerenciar a configuração de IPsec de cliente e servidor. A sobrecarga adicional também será necessária para gerenciar um método de confiança mútua entre computadores cliente e servidor que são usados pela negociação de segurança Internet Exchange Key (IKE) antes que as associações de segurança IPsec sejam estabelecidas. A diretiva IPsec deve ser projetada para proteger todo o tráfego ao servidor ou para exigir IPsec somente para conexões à porta TCP 3389. Se você exigir IPsec no lado do servidor, os computadores clientes que não tenham uma configuração compatível de IPsec e confiança terão acesso negado. Consulte a seção “Configurar diretivas IPsec” mais adiante neste capítulo para obter mais informações sobre como usar diretivas IPsec para negociar a segurança de tráfego TCP/IP.

Se você alterar as portas padrão em servidores e clientes de Serviços de terminal, os usuários legítimos que não tenham seu software cliente configurado para usar a nova porta não poderão se conectar a computadores cujas atribuições de porta tenham sido alteradas. Além disso, não há nenhum meio de alterar a porta TCP na versão atual do TSAC.

Desativar Dr. Watson: Desativar execução automática do depurador de sistema Dr. Watson

Os depuradores de sistema facilitam a resolução de problemas de computadores e aplicativos. Estes programas coletam dados e os apresentam ao administrador do sistema ou ao desenvolvedor de aplicativos enquanto o computador é executado. A ferramenta Dr. Watson que é incluída no Windows Server 2003 e no Windows XP é um depurador de sistema automatizado que registra informações sobre os aplicativos e o estado do sistema que estão ativos no momento em que ocorre uma falha de programa.

Vulnerabilidade

Algumas organizações podem sentir que nenhum depurador deve ser instalado em computadores de produção críticos. Não existem explorações conhecidas relacionadas ao Dr. Watson que possam ser executadas por usuários que não tenham privilégios administrativos. Em outras palavras, um invasor necessitaria pertencer ao grupo local Administradores para usar o Dr. Watson como uma ferramenta de ataque contra outros usuários ou processos. Um invasor que já tenha obtido privilégios administrativos tem controle completo do computador, e assim os invasores ainda poderão seguir outros caminhos se você desativar o Dr. Watson.

Contramedida

Para obter instruções sobre como desativar o depurador de sistema Dr. Watson, consulte o artigo do Microsoft Knowledge Base (em inglês) "How to Disable Dr. Watson for Windows" em https://support.microsoft.com/?kbid=188296.

Impacto potencial

Nenhum depurador de sistema será executado, e nenhum relatório será criado automaticamente se os programas falharem. Os administradores de sistemas e os desenvolvedores terão menos informações disponíveis para diagnosticar a causa de tais problemas, e o recurso de relatório de erros não funcionará.

Desativar SSDP/UPNP: Desativar SSDP/UPNP

Se você desativar o serviço host Universal Plug and Play (UPnP™), outros aplicativos como Windows Messenger ainda poderão usar o processo de descoberta de serviços Simple Service Discovery Protocol (SSDP) para identificar gateways de rede ou outros dispositivos de rede.

Para obter mais informações, consulte o artigo do Microsoft Knowledge Base (em inglês) "Traffic Is Sent After You Turn Off the SSDP Discover Service and Universal Plug and Play Device Host" em https://support.microsoft.com/?kbid=317843.

Vulnerabilidade

Os recursos do UPnP incluídos no Windows XP e no Windows Server 2003 podem ser extremamente úteis para usuários domésticos e pequenas empresas porque podem automatizar a instalação e configuração de dispositivos UPnP quando estão conectados à rede local. Algumas organizações podem querer assegurar que nenhum tráfego UPnP ou SSDP passe por sua rede. Embora não haja vulnerabilidades conhecidas com estes recursos no momento, um problema importante foi descoberto no Windows XP há alguns anos que exigia a aplicação de um hotfix.

Contramedida

Para assegurar que nenhum aplicativo use recursos de SSDP e UPnP que sejam incluídos no Windows XP, você pode adicionar um valor do Registro REG_DWORD chamado UPnPMode à chave do Registro seguinte:

HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP\

e configurar seu valor como 2.

Impacto potencial

Os recursos UPnP e SSDP serão completamente desativados. Quando os dispositivos UPnP estiverem conectados à rede, você terá que configurá-los e gerenciá-los manualmente.

Configurar diretivas IPsec

O IPsec (disponível em sistemas operacionais Windows 2000, Windows XP e Microsoft Windows Server 2003) é uma ferramenta que permite aos administradores de segurança de rede permitir, bloquear ou negociar a segurança de tráfego TCP/IP. O IPsec é independente e transparente aos aplicativos. A meta do projeto do Windows 2000 era apresentar uma maneira de proteger o tráfego de rede usando o formato AH ou ESP do protocolo IPsec. A diretiva IPsec fornece filtros estáticos de tráfego TCP/IP (também chamados seletores) que são necessários para negociar a segurança por IKE

O Capítulo 6, "Deploying IPsec," do Windows Server 2003 Deployment Kit: Deploying Network Services fornece informações mais aprofundadas sobre os recursos mais recentes de IPsec. A seção "Determining Your IPSec Needs" identifica usos do IPsec. O kit de implantação está disponível para download em www.microsoft.com/downloads/details.aspx?
FamilyID=d91065ee-e618-4810-a036-de633f79872e&DisplayLang=en.

Para a maioria dos aplicativos, o componente Firewall do Windows fornece proteção de host adequada contra tráfego de entrada mal-intencionado. O Assistente de Configuração de Segurança (ACS) do Windows Server 2003 com SP1 simplifica bastante a configuração e gerenciamento de definições do Firewall do Windows para grandes implantações. O IPsec deve ser usado para proteger o tráfego entre hosts e entre hosts e clientes onde apropriado, e o Firewall do Windows normalmente deve ser implantado na maioria de organizações como uma camada defensiva adicional.

Vulnerabilidade

Embora a maioria das estratégias de segurança de rede se concentrem em impedir ataques de fora da rede da organização, muitas informações confidenciais podem ser perdidas devido a ataques internos que interpretam dados na rede ou que exploram pontos fracos do projeto ou da implementação nos protocolos da camada superior para obter acesso ao computador. Os invasores podem usar sessões NetBT nulas para obter informações que podem ser usadas para comprometer senhas de administrador (se outras configurações de segurança não forem usadas ou se forem acidentalmente desativadas).

Os invasores só precisarão encontrar uma vulnerabilidade em uma porta de aplicativo para obter acesso e assumir o controle total do computador. Como observado, porque muitos tipos de dados não são protegidos quando viajam através da rede, os funcionários, membros de pessoal de suporte ou visitantes podem ser capazes de copiar dados para análise posterior. Firewalls que estejam localizados entre a rede interna e a Internet não oferecem proteção contra essas ameaças internas. Muitas vezes, os firewalls internos não podem oferecer os controles de acesso autenticados necessários para proteger os clientes e servidores nem proporcionar segurança ponto a ponto do tráfego de rede entre computadores.

Contramedida

Os filtros IPsec reconhecem o tráfego TCP/IP pelo endereço IP de origem e destino, pelo tipo de protocolo IP e pelas portas TCP e UDP. Os filtros IPsec ajudam a conter e controlar a disseminação de código mal-intencionado porque bloqueiam o tráfego de worms e vírus. Além disso, o IPsec torna muito difícil para um invasor o uso de shells remotos ou de outros utilitários de ataque com o intuito de obter acesso ao computador por meio de um aplicativo comprometido. Para obter mais detalhes sobre como uma diretiva IPsec pode ser aplicada no Windows 2000 para bloquear portas, consulte o artigo do Microsoft Knowledge Base (em inglês) “How to block specific network protocols and ports by using IPSec” em https://support.microsoft.com/?scid=813878. Além disso, o documento "Using IPSec to Lock Down a Server" em www.microsoft.com/technet/itsolutions/network/security/ipsecld.mspx fornece orientação passo a passo para filtragem de permissão/bloqueio de IPsec no Windows Server 2003 que é semelhante a esta orientação. No entanto, as configurações de Registro NoDefaultExempt que são recomendadas pelo artigo do Knowledge Base devem ser adicionadas para o Windows 2000.

O Windows Server 2003 fornece o snap-in do MMC Gerenciamento de Diretiva de IPsec, que é uma interface gráfica do usuário (GUI) que você pode usar para gerenciar a diretiva IPsec. Esta ferramenta é muito semelhante à do Windows 2000 e Windows XP. O Windows Server 2003 possui o snap-in do MMC Monitor IPsec e o utilitário de linha de comando NETSH IPsec para mostrar os filtros de diretiva IPsec conforme são aplicados ao computador. Os filtros de permissão e bloqueio aparecem na configuração de modo rápido do IKE; os filtros genéricos do modo rápido são os definidos na diretiva IPsec atribuída. Os filtros específicos de modo rápido do IKE resultam da diretiva aplicada à configuração IP específica do computador. Observe que a função de filtros específicos do modo rápido de IKE Localizar filtros correspondentes não pode ser usada para fazer a correspondência entre filtros de permissão e bloqueio, apenas filtros que tenham uma ação de negociação.

Os termos seguintes são discutidos no restante desta seção:

  • Lista de filtros. Inclui portas, protocolos e direções. As listas de filtros provocam uma decisão quando o tráfego corresponde a algo especificado na lista. Uma lista pode conter vários filtros.

  • Ação de filtro. A resposta necessária quando o tráfego coincide com uma lista de filtro. As ações específicas incluem o bloqueio ou permissão de um determinado tráfego.

  • Regra. Uma regra é a correlação de uma lista de filtros com uma ação de filtro.

  • Diretiva IPsec. Uma coleção de regras. Apenas uma diretiva pode estar ativa de cada vez.

Uma maneira fácil de registrar estas informações é usar uma tabela chamada mapa de tráfego de rede. Um mapa de tráfego de rede contém informações básicas sobre a função do servidor, a direção do tráfego de rede, o destino do tráfego, o endereço IP da interface, o protocolo IP, a porta TCP e a porta UDP (User Datagram Protocol) envolvida. Um mapa de tráfego de rede de exemplo é mostrado na tabela seguinte.

Um mapa de tráfego de rede ajuda a entender que tipos de tráfego de rede entram e saem de servidores específicos. Antes de você criar diretivas IPsec, é essencial entender que tráfego é exigido para o servidor funcionar adequadamente. Deixar de entender isso pode fazer com que você crie filtros que são rígidos demais, o que pode causar falhas do aplicativo.

Para criar um mapa de tráfego

  1. Determine os serviços básicos de rede necessários para a função do servidor.

  2. Identifique os protocolos e portas necessários para cada serviço. Este processo pode envolver o uso do Monitor de Rede para capturar e analisar o tráfego de rede e determinar endereços de destino, protocolos e portas. Além disso, podem ser usadas ferramentas como o comando Netstat.exe para exibir portas abertas e conexões ativas.

  3. Documente as regras de filtragem IPsec necessárias para permitir apenas o tráfego identificado.

Começando com os filtros IPsec mais restritivos e abrindo portas adicionais apenas conforme a necessidade, pode ser obtido o nível de segurança mais alto possível para estas configurações. Este processo é muito mais fácil se você dividir os serviços em serviços de cliente e servidor. Os serviços de servidor devem ser definidos para qualquer serviço que o computador forneça a outros hosts.

Tabela 11.1 Exemplo de mapa de tráfego de rede

Serviço

Protocolo

Porta de origem

Porta de destino

Endereço de origem

Endereço de destino

Ação

Espelho

Servidor HTTP

TCP

QUALQUER

80

QUALQUER

ME

PERMITIR

SIM

Servidor HTTPS

TCP

QUALQUER

443

QUALQUER

ME

PERMITIR

SIM

Cliente DNS

TCP

QUALQUER

53

ME

DNS

PERMITIR

SIM

Bloquear tudo

QUALQUER

QUALQUER

QUALQUER

QUALQUER

QUALQUER

BLOQUEAR

SIM

No mapa de tráfego de exemplo acima, o servidor Web fornecerá serviços HTTP e HTTPS a computadores de qualquer endereço IP de origem; portanto, o tráfego adequado é permitido. O destino ME é interpretado pelo serviço IPsec para criar um filtro para cada um dos endereços IP no computador. Cada filtro é espelhado para permitir que o tráfego retorne ao computador de origem. Esta abordagem significa que a regra do servidor HTTP permite que o tráfego originado de qualquer host em qualquer porta de origem se conecte à porta 80 no servidor IIS. O espelhamento desta regra permite que o tráfego TCP da porta 80 do servidor IIS vá para qualquer porta em qualquer host.

Um serviço de cliente pode ser qualquer serviço que o computador execute no qual as diretivas usem outro host. No exemplo do mapa de tráfego, o servidor pode precisar de serviços DNS de cliente para executar pesquisas de nome para um dos aplicativos da Web. Nesse exemplo, um filtro foi criado para permitir o tráfego de e para servidores DNS. O Windows Server 2003 fornece aprimoramentos de diretivas em relação ao Windows 2000 Server para este tipo de configuração, permitindo o tráfego para o DNS e outros servidores de infra-estrutura. No Windows 2000, a diretiva IPsec deve conter cada um dos endereços IP de servidores DNS na diretiva. No Windows Server 2003, a diretiva pode usar o DNS do nome lógico, que é expandido em um filtro para cada endereço IP de servidor DNS com base na configuração IP local do servidor.

Observação: diretivas IPsec que usam recursos do Windows Server 2003 como esse não devem ser atribuídas a computadores com Windows 2000 ou Windows XP.

O filtro de bloqueio espelhado de Qualquer IP para Meu endereço IP bloqueia todo o outro tráfego IP de difusão ponto a ponto de ou para um endereço IP no computador. Este filtro é mais genérico do que os filtros específicos de protocolo e porta definidos para DNS, HTTP e HTTPS. Como as isenções padrão foram removidas no Windows Server 2003, este filtro faz a correspondência de pacotes de difusão seletiva e difusão ponto a ponto de saída e os bloqueia, porque o IP de origem é Meu endereço IP e o endereço de destino corresponde a Qualquer endereço IP. No entanto, observe que este filtro não faz a correspondência do tráfego de difusão seletiva e difusão ponto a ponto de entrada. O endereço de origem é Qualquer IP, mas o endereço de destino de um pacote de difusão seletiva ou difusão ponto a ponto não é um endereço IP específico no computador, mas um endereço IP de difusão seletiva ou difusão ponto a ponto. Portanto, esta regra não bloqueará o tráfego de difusão seletiva de entrada nem o tráfego de difusão no Windows Server 2003. Esta definição de filtro também tem suporte no Windows 2000 e Windows XP. No entanto, ela só faz a correspondência do tráfego IP de difusão ponto a ponto. Estas plataformas não foram projetadas para fazer a correspondência de pacotes de difusão seletiva ou difusão ponto a ponto em relação a filtros IPsec. Portanto, pacotes de saída e de entrada de difusão ponto a ponto e difusão seletiva são permitidos, embora este filtro seja aplicado em computadores com Windows 2000 e Windows XP.

A última regra, Bloquear tudo, demonstra outro aperfeiçoamento de filtro no Windows Server 2003. Esta regra não tem suporte no Windows 2000 ou Windows XP. Esta regra bloqueia o tráfego de entrada e de saída de difusão ponto a ponto e de difusão seletiva, assim como todo o outro tráfego de difusão ponto a ponto que não corresponde a um filtro mais específico. Se esta regra for usada, não será necessária a regra anterior, “Qualquer IP para mim”.

É importante observar que se esta diretiva for adotada, o computador não poderá se comunicar com seu servidor DHCP para renovar uma concessão, com os controladores de domínio, com os servidores WINS, com sites de revogação CRL nem com estações de monitoramento de servidor. Além disso, esta diretiva não permite o gerenciamento remoto do administrador com snap-ins do MMC baseados em RPC nem uma conexão de cliente da Área de trabalho remota. Observe também que se o servidor IIS de exemplo tiver duas placas de interface de rede -- uma para acesso à Internet e outra para acesso interno -- todo o tráfego nas duas interfaces será filtrado da mesma maneira. Desse modo, esta diretiva precisa ser bastante personalizada para acomodar ambientes de produção. O tráfego de rede deve ser filtrado de forma diferente para o endereço IP ou sub-rede interna. As regras de filtro usadas para exigir gerenciamento remoto criptografado por IPsec de estações específicas de gerenciamento também devem ser usadas sempre que possível para impedir que outros servidores comprometidos obtenham acesso a servidores por meio da interface interna ou capturem o tráfego de rede de logon administrativo para ataques offline.

Se for necessário um serviço do cliente que não pode ser restrito a conexões com um servidor de destino específico ou um número limitado de servidores de destino, o nível de segurança proporcionado pelos filtros IPsec poderá ser bastante reduzido. No mapa de tráfego de rede de exemplo a seguir, uma regra é adicionada de modo que um administrador possa usar um navegador da Web para acessar qualquer site da Internet com a finalidade de obter informações de ajuda e baixar patches. Este recurso exige um filtro de permissão estático de saída espelhado para o tráfego da porta TCP 80 de destino.

Tabela 11.2 Exemplo de mapa de tráfego de rede que permite a navegação da Web de saída

Serviço

Protocolo

Porta de origem

Porta de destino

Endereço de origem

Endereço de destino

Ação

Espelho

ICMP de entrada para PMTU TCP

ICMP

QUALQUER

QUALQUER

QUALQUER

ME

PERMITIR

NÃO

HTTP de servidor IIS de entrada:80

TCP

QUALQUER

80

QUALQUER

ME

PERMITIR

SIM

FTP de servidor IIS de entrada:21

TCP

QUALQUER

21

QUALQUER

ME

PERMITIR

SIM

Terminal Server de entrada

TCP

QUALQUER

3389

QUALQUER

ME

PERMITIR

SIM

Todo o tráfego de DCs Me para domínio

QUALQUER

QUALQUER

QUALQUER

ME

Nome do domínio

PERMITIR

SIM

UDP/TCP de DNS de saída

UDP

QUALQUER

53

ME

DNS

PERMITIR

SIM

UDP/TCP de DNS de saída

TCP

QUALQUER

53

ME

DNS

PERMITIR

SIM

WINS de saída

UDP

137

137

ME

WINS

PERMITIR

SIM

DHCP de saída

UDP

68

67

ME

DHCP

PERMITIR

SIM

HTTP de saída:80

TCP

QUALQUER

80

ME

QUALQUER

PERMITIR

SIM

Bloquear tudo

QUALQUER

QUALQUER

QUALQUER

QUALQUER

QUALQUER

BLOQUEAR

SIM

Embora este mapa de tráfego de exemplo pareça uma configuração adequada, o resultado é que a diretiva inteira agora não fornece nenhuma segurança contra um invasor que inicie uma conexão de entrada de Qualquer endereço IP pela porta de origem TCP 80. Este invasor pode acessar qualquer porta TCP aberta pelo filtro de permissão de entrada, e a resposta é permitida pelo filtro de permissão de saída de volta à porta de destino TCP 80.

Qualquer das soluções seguintes pode ser usada para bloquear o ataque de entrada:

  • Use regras adicionais de filtragem IPsec para impedir que um invasor use a porta 80 para obter acesso de entrada às portas abertas.

  • Use um firewall ou roteador de filtragem monitoradora front-end para bloquear o tráfego de entrada da porta 80 de origem, a menos que ele corresponda a uma conexão de saída.

  • Além desta diretiva IPsec, configure o Firewall do Windows no adaptador de rede externo do servidor para oferecer filtragem monitoradora para todo o tráfego de saída permitido por filtros IPsec. Como o Firewall do Windows está na camada acima do IPsec, ele também deve ser configurado para permitir portas TCP 80 e 443 de entrada (embora esta seja a configuração padrão).

O mapa de tráfego de exemplo na tabela seguinte usa filtros adicionais de IPsec para bloquear quaisquer tentativas de acessar portas abertas da porta 80. Primeiro, o comando Netstat –ano é usado para determinar que portas TCP devem estar abertas no servidor ao qual o invasor pode se conectar. A saída deste comando é semelhante a:

C:\Documents and Settings\testuser.domain.000>netstat -ano
Active Connections

Proto  Local Address       Foreign Address     State         PID
TCP    0.0.0.0:135         0.0.0.0:0           LISTENING     740
TCP    0.0.0.0:445         0.0.0.0:0           LISTENING     4
TCP    0.0.0.0:1025        0.0.0.0:0           LISTENING     884
TCP    0.0.0.0:1046        0.0.0.0:0           LISTENING     508
TCP    192.168.0.5:139     0.0.0.0:0           LISTENING     4
UDP    0.0.0.0:445         *:*                               4
UDP    0.0.0.0:500         *:*                               508
UDP    0.0.0.0:1026        *:*                               816
UDP    0.0.0.0:1029        *:*                               508
UDP    0.0.0.0:1051        *:*                               452
UDP    0.0.0.0:4500        *:*                               508
UDP    127.0.0.1:123       *:*                               884
UDP    192.168.0.5:123     *:*                               884
UDP    192.168.0.5:137     *:*                               4
UDP    192.168.0.5:138     *:*                               4

A regra é então definida para bloquear o ataque específico da porta TCP 25 de origem para cada porta TCP aberta, conforme indicado na tabela a seguir:

Tabela 11.3 Exemplo revisado de mapa de tráfego de rede que permite a navegação da Web de saída

Serviço

Protocolo

Porta de origem

Porta de destino

Endereço de origem

Endereço de destino

Ação

Espelho

ICMP de entrada para PMTU TCP

ICMP

QUALQUER

QUALQUER

QUALQUER

ME

PERMITIR

NÃO

HTTP de servidor IIS de entrada:80

TCP

QUALQUER

80

QUALQUER

ME

PERMITIR

SIM

FTP de servidor IIS de entrada:21

TCP

QUALQUER

21

QUALQUER

ME

PERMITIR

SIM

Terminal Server de entrada

TCP

QUALQUER

3389

QUALQUER

ME

PERMITIR

SIM

Todo o tráfego de DCs Me para domínio

QUALQUER

QUALQUER

QUALQUER

ME

Nome do domínio

PERMITIR

SIM

UDP/TCP de DNS de saída

UDP

QUALQUER

53

ME

DNS

PERMITIR

SIM

UDP/TCP de DNS de saída

TCP

QUALQUER

53

ME

DNS

PERMITIR

SIM

WINS de saída

UDP

137

137

ME

WINS

PERMITIR

SIM

DHCP de saída

UDP

68

67

ME

DHCP

PERMITIR

SIM

HTTP de saída:80

TCP

QUALQUER

80

ME

QUALQUER

PERMITIR

SIM

Redução de um ataque de entrada src 80

TCP

80

135

QUALQUER

ME

BLOQUEAR

NÃO

Redução de um ataque de entrada src 80

TCP

80

139

QUALQUER

ME

BLOQUEAR

NÃO

Redução de um ataque de entrada src 80

TCP

80

445

QUALQUER

ME

BLOQUEAR

NÃO

Redução de um ataque de entrada src 80

TCP

80

1025

QUALQUER

ME

BLOQUEAR

NÃO

Redução de um ataque de entrada src 80

TCP

80

1046

QUALQUER

ME

BLOQUEAR

NÃO

Bloquear tudo

QUALQUER

QUALQUER

QUALQUER

QUALQUER

QUALQUER

BLOQUEAR

SIM

Este exemplo demonstra como criar filtros unidirecionais para bloquear tráfego com uma porta de origem 80 para quaisquer portas ativas no computador, o que bloquearia um ataque de entrada. Ele impede a falsificação de uma porta de origem 80 para conexão a portas que são exigidas por RPC, NetBT e SMB (CIFS).

Você pode aplicar diretivas IPsec de várias formas:

  • Aplique-as em um computador individual.

  • Vincule-as a uma UO ou domínio usando Diretiva de Grupo.

  • Escreva um script para o comando netsh ipsec e aplique o script em computadores selecionados.

É possível distribuir as diretivas IPsec com base na Diretiva de Grupo. No entanto, é recomendado o uso de diretivas locais quando for necessário ajustar as diretivas IPsec para computadores específicos. Como alternativa, uma mistura de diretivas locais ou baseadas no domínio e diretivas persistentes com scripts NETSH IPsec podem ser a opção mais fácil de gerenciar. Mais especificamente, o NETSH deve ser usado para definir uma diretiva persistente que proporcione segurança durante a inicialização do computador. Para obter informações mais detalhadas, consulte a seção "Assigning Domain-based, OU-Level, and Local IPSec Policies" no Capítulo 6, "Deploying IPSec" do Windows Server 2003 Deployment Kit: Deploying Network Services.

Negociando a proteção IPSec para o tráfego

A integração do protocolo IKE com a filtragem IPsec permite a negociação automática baseada em diretivas da proteção criptográfica IPsec para o tráfego IP de difusão ponto a ponto correspondente aos filtros IPsec. Os pacotes protegidos por IPsec podem usar o formato AH ou ESP com opções de segurança determinadas pela configuração de diretiva. O uso de diretivas IPsec para negociar o transporte protegido por IPsec para protocolos e aplicativos de camada superior oferece os seguintes benefícios:

  • Defesa abrangente contra ataques à rede. O IPsec é um protocolo de segurança maduro e moderno que foi projetado pela Internet Engineering Task Force (IETF). Ele permite adicionar uma camada forte de defesa a uma camada abaixo de todas as comunicações IP de difusão de ponto para aumentar a segurança baseada em aplicativos. Dessa forma, o IPsec oferece uma defesa contra vulnerabilidades de segurança de protocolos de camada superior e pode aumentar consideravelmente a segurança das comunicações. Por exemplo, o protocolo SMB de compartilhamento de arquivos é usado amplamente para duplicação, transferência de arquivos, impressão e para baixar diretivas de grupo do serviço de diretório Active Directory®. No entanto, o SMB não proporciona privacidade. Todos os dados enviados no SMB são visíveis para um observador passivo da rede. O SMB conta com o recurso de assinatura digital, embora em alguns casos não seja viável exigir isto, porque uma configuração afeta todos os caminhos de comunicação SMB. O IPsec pode ser aplicado para proteger um caminho de rede específico ou um conjunto de caminhos. Foram identificados dois problemas de segurança do SMB no Windows 2000 e Windows XP. Embora correções com suporte para esses problemas de segurança estejam agora disponíveis na Microsoft, é possível aumentar a segurança usando o IPsec como a primeira camada de defesa contra ataques no SMB ou em outros protocolos. Para obter mais informações sobre as duas vulnerabilidades de segurança identificadas no SMB e as correções com suporte para o Windows 2000 e Windows XP, consulte os seguintes artigos do Microsoft Knowledge Base (em inglês):

  • Autenticação e criptografia baseadas em host para todo o tráfego entre dois ou mais computadores para garantir que o proprietário administrativo dos dados mantenha o controle total dos dados enquanto eles percorrem a rede. Os dados no tráfego de rede contêm bens de informações centrais que são vitais e pertencentes aos proprietários. O roubo dessas informações enquanto elas transitam pela rede pode causar danos catastróficos aos negócios ou às metas da empresa. Se as relações de confiança comerciais e legais que gerenciam a confiança e a integridade do caminho de rede não forem perfeitamente adotadas ou se forem comprometidas de forma imperceptível, as comunicações criptografadas por IPsec permanecerão protegidas.

  • Passagem de firewall segura e simples. Os vários protocolos usados nas comunicações entre controladores de domínio, entre servidores ou entre clientes e servidores são interpretados pelos firewalls apenas como tráfego IPsec ESP (protocolo 50) ou como tráfego AH (protocolo 51). Os firewalls podem ser configurados para permitir o tráfego apenas para esses protocolos (e o tráfego IKE) e esses protocolos também são protegidos contra ataques.

  • O IPsec que usa o algoritmo de criptografia 3DES e o algoritmo de integridade SHA1 é certificado sob Common Criteria e FIPS 140-1. Muitas instituições governamentais, militares, financeiras e de assistência médica exigem que esses algoritmos certificados por Common Criteria ou FIPS 140-1 sejam usados para proteger o tráfego. O algoritmo de criptografia de fluxo RC4 é usado por padrão para criptografar o tráfego na maioria dos protocolos do Windows, como RPC, o protocolo de autenticação Kerberos e LDAP (Lightweight Directory Access Protocol). O RC4 não é um dos algoritmos credenciados por Common Criteria ou FIPS 140-1.

  • Como uma solução Windows baseada em software, o IPsec é um meio mais barato de proteger comunicações entre hosts do que uma solução de hardware. Soluções de segurança baseadas em hardware, como uma rede virtual privada (VPN) ou uma linha dedicada específica, podem ser mais caras que o uso do IPsec do Windows.

  • O IPsec pode oferecer menor utilização da CPU do que o uso de medidas de segurança específicas de protocolos, como a assinatura do SMB. Os adaptadores de rede que descarregam o processamento de IPsec aceleram as operações criptográficas que são usadas para proteger pacotes IPsec, o que reduz os custos de desempenho para a criptografia. Dessa forma, conexões TCP/IP protegidas por IPsec podem obter o mesmo rendimento que conexões TCP/IP que não são protegidas por IPsec, embora possa haver custos adicionais com equipamento. Se esses adaptadores não puderem ser usados, então a criptografia de IPsec aumentará a carga da CPU em um controlador de domínio. Esta carga aumentada de CPU pode ou não pode exigir capacidade adicional de CPU, o que dependerá da CPU disponível e do tráfego de rede. Você deverá conduzir testes de desempenho para avaliar o impacto nos controladores de domínio em cenários específicos. Para obter mais informações sobre os benefícios do uso de adaptadores de descarregamento de hardware IPsec, consulte "Intel PRO/100S Network Adapter, IPSec Offload Performance and Comparison", em http://www.veritest.com/clients/reports/intel/intelps.pdf (em inglês).

Impacto potencial

O IPsec é uma ferramenta que você pode usar para fortalecer um servidor contra ataques de rede. Ela não deve ser considerada como a única ferramenta ou uma solução completa. A filtragem IPsec não foi projetada para substituir um firewall de perímetro com recursos completos ou filtros de roteadores. Ela é recomendada apenas para casos simples de filtragem de pacotes, para proteger clientes e servidores quando os filtros estáticos puderem ser eficazes. Além disso, a filtragem IPsec foi projetada para uma diretiva baseada em diretório a ser aplicada a muitos computadores. Assim, o snap-in do MMC Gerenciamento de Diretiva IPsec não pode fornecer informações detalhadas durante o processo de configuração sobre como uma diretiva será aplicada a um computador específico. As limitações de filtragem IPsec incluem:

  • Os filtros IPsec não podem ser aplicados a um aplicativo específico. Eles só podem ser definidos para protocolos e portas usados pelo aplicativo.

  • Os filtros IPsec são estáticos. Eles não fornecem filtragem de tráfego de saída "com informações de estado". Para permitir o tráfego de rede de saída, geralmente é necessário um filtro estático de permissão de saída e de entrada. Desse modo, o IPsec não pode oferecer uma defesa contra um invasor que use o filtro estático de permissão de entrada para obter acesso a qualquer porta aberta. Portanto, os filtros de permissão de saída devem ser específicos apenas para o endereço IP ou intervalo necessário.

  • Os filtros IPsec não fazem distinção entre tipos diferentes de mensagens ICMP.

  • Os filtros IPsec não executam a inspeção do conteúdo de pacotes IP para a detecção de invasão.

  • Os filtros IPsec podem ser sobrepostos, mas não podem ser classificados manualmente. O serviço IPsec calcula internamente o valor que fornece a ordem automática dos filtros. A parte do filtro com o endereço vem em primeiro lugar, depois o protocolo, seguido das portas de origem e destino.

  • Os filtros IPsec não são específicos para as interfaces. Eles podem ser configurados para ser específicos de endereços IP, mas todo o tráfego em cada interface será comparado com a lista de filtros.

  • Estes filtros IPsec não podem ser configurados explicitamente como filtros de entrada ou de saída. A direção de entrada e de saída é determinada automaticamente com base nos endereços especificados no filtro. Em alguns casos, os filtros de entrada e de saída são gerados automaticamente.

  • A diretiva IPsec não oferece suporte a filtros duplicados.

  • Embora o Windows Server 2003 tenha aprimorado consideravelmente o desempenho da filtragem IPsec, a filtragem baseada em host pode aumentar a carga da CPU caso haja volumes de tráfego muito grandes. Um roteador ou firewall front-end otimizado pode oferecer filtragem de tráfego mais rápida.

Quando a filtragem IPsec (ou outro dispositivo de rede) bloqueia o tráfego de rede, pode ocorrer um comportamento inesperado dos aplicativos e mensagens de evento. A filtragem IPsec não possui um log de tráfego de entrada e de saída cancelado fácil de ler. As capturas que o Monitor de Rede (Netmon) faz do tráfego de rede não detectam o tráfego de saída bloqueado. Embora o Netmon possa detectar o tráfego de entrada bloqueado, não há indicação no arquivo de captura de que um pacote específico foi cancelado. Diagnósticos eficazes dependem do conhecimento sobre o comportamento normal do aplicativo, eventos e fluxos de tráfego de rede quando a diretiva IPsec não é atribuída.

Além disso, o projeto correto de filtros IPsec para o tráfego de aplicativo pode depender da análise detalhada dos fluxos de tráfego de rede, para que seja possível entender como o aplicativo usa a rede. Por exemplo, o protocolo SMB usa a porta TCP 139 para transferências de arquivos, compartilhamento de arquivos e de impressão. Se esta porta estiver bloqueada por IPsec, o SMB também poderá usar porta TCP 445. Outro exemplo é quando um aplicativo exige fluxos múltiplos de tráfego de rede para destinos diferentes. O SMB e outros protocolos geralmente autenticam o usuário, o que claramente pode fazer o computador localizar e trocar o tráfego Kerberos com o controlador de domínio. O protocolo Kerberos usa DNS UDP 53 ou TCP 53 para detectar uma lista de endereços IP de controladores de domínio; em seguida, usa o LDAP UDP 389 e UDP e porta TCP 88 para detectar potencialmente qualquer um dos endereços IP de controladores de domínio. Portanto, uma falha de impressão na verdade pode ser causada por um pacote bloqueado destinado ao controlador de domínio. Alguns protocolos, como RPC, usam uma grande variedade de portas TCP que são determinadas dinamicamente quando um computador é iniciado, ou no momento em que um aplicativo é executado, o que significa que os aplicativos de RPC não podem ser controlados eficazmente por filtros estáticos em portas, a menos quando o aplicativo RPC exige o uso de uma porta estática.

No Windows 2000 e Windows XP, isenções padrão para filtros especificados na configuração de diretiva foram projetadas para tipos de tráfego de rede IP que não podem ser protegidas com IKE (pacotes IP de difusão seletiva e difusão ponto a ponto), devem ser isentas para que o recurso de QoS (Quality of Service) seja fornecido para o tráfego IPsec (protocolo RSVP) e devem ser necessárias para que o sistema IPsec funcione (o próprio IKE e o protocolo Kerberos como um método de autenticação IKE). Embora a chave do Registro tenha sido fornecida para removê-las, essas isenções freqüentemente não são desativadas quando os filtros IPsec são usados para cenários de firewall de permissão e bloqueio. Portanto, o Windows Server 2003 conta apenas com uma isenção para o tráfego IKE. A Microsoft recomenda que você remova as isenções padrão para todos os cenários de IPsec que usem Windows 2000 e Windows XP. Para obter mais informações sobre isenções padrão, consulte o artigo do Microsoft Knowledge Base (em inglês) "IPSec Default Exemptions Can Be Used to Bypass IPSec Protection in Some Scenarios” em https://support.microsoft.com/?kbid=811832 e o artigo do Microsoft Knowledge Base (em inglês) "IPSec default exemptions are removed in Windows Server 2003" em https://support.microsoft.com/?kbid=810207.

Quando um computador com Windows 2000 é conectado à Internet, um filtro de permissão de saída espelhado (como o filtro para a porta 80 explicado anteriormente neste capítulo) permite que um invasor obtenha acesso a qualquer porta TCP aberta no servidor da Internet usando a porta de origem. Assim, um erro na configuração do IPsec pode resultar em perda da segurança esperada. As configurações devem ser testadas para garantir que forneçam a segurança e a proteção esperadas contra ataques.

Um comprometimento da segurança que permita a um invasor a obtenção do acesso de administrador local ou de sistema local pode permitir que ele desative ou altere a diretiva IPsec.

O IPsec no Windows 2000 não conta com filtragem completa durante a inicialização do computador. Há um breve intervalo de tempo durante o qual a pilha do TCP/IP responde. Um ataque automatizado pode acessar portas de aplicativo que a diretiva IPsec normalmente bloquearia. Na maioria dos casos, os aplicativos não podem iniciar conexões de processamento antes que a filtragem IPsec seja aplicada. Para obter o mais alto nível de segurança usando a filtragem IPsec, desconecte o computador da rede durante a reinicialização.

O Windows Server 2003 possui uma diretiva de inicialização inicial que o driver IPsec usa ao ser carregado pelo TCP/IP durante a inicialização do computador. Quando o serviço IPsec é iniciado, imediatamente aplica a diretiva persistente. Assim, quando uma atribuição de diretiva local ou de domínio pode ser determinada, ele a aplica juntamente com a diretiva persistente. Portanto, um script NETSH IPsec que configure uma diretiva persistente segura padrão (por exemplo, para bloquear todo o tráfego, exceto o tráfego de gerenciamento) pode fornecer proteção completa durante a transição de inicialização para a diretiva IPsec local ou atribuída pelo domínio. Há mais informações disponíveis na Ajuda Online do Windows Server 2003 e no kit de implantação.

No entanto, nem o Windows 2000 nem o Windows Server 2003 foram projetados para permitir a configuração de dependências de serviço na inicialização do serviço Agente de Diretiva IPsec. A configuração de uma dependência de serviço não garante eficientemente que os filtros estejam corretos antes de o serviço dependente ser iniciado.

O Windows Server 2003 e o Windows XP com SP2 fornecem o serviço Firewall do Windows, que executa a filtragem monitoradora para o tráfego de saída e oferece controles básicos para acesso de entrada a portas e tipos de mensagens ICMP. O Firewall do Windows também tem um log legível de pacotes de entrada e saída bloqueados. Os administradores devem investigar os recursos do Firewall do Windows para determinar se ele é o mais adequado às suas necessidades de filtragem de tráfego. A filtragem monitoradora que é fornecida pelo Firewall do Windows pode ser usada juntamente com a filtragem IPsec para proteção em situações em que o IPsec deva ser configurado para usar filtros de saída espelhados para permitir o tráfego. A filtragem de roteador ou firewall front-end deve ser usada como primeira linha de filtragem de defesa, quando viável.

Vale a pena considerar o uso de um sistema de detecção de intrusão baseado em host e outros sistemas antivírus para detecção e possível defesa contra infecções e ataques no tráfego de rede e em aplicativos permitidos. Um firewall baseado em host de outros fabricantes ou de limite pode proporcionar a melhor solução para necessidades complexas de filtragem.

Negociando a proteção IPsec para o tráfego

Embora a proteção ponto a ponto do IPsec possa aumentar bastante a segurança, se você implantar comunicações protegidas por IPsec na rede, terá custos de treinamento e administrativos adicionais. Ela também pode envolver custos de hardware adicionais caso você precise adquirir hardware para o IPsec, descarregar adaptadores de rede ou aumentar a capacidade da CPU. Portanto, antes de você implantar o IPsec para qualquer cenário específico, considere cuidadosamente e documente as ameaças potenciais de segurança que o IPsec deve abordar, seus requisitos de segurança, os custos de implantação de IPsec e os benefícios esperados para a empresa.

A implementação de IPsec com AH introduz uma nova sobrecarga para gerenciar uma configuração IPsec de cliente/servidor, assim como para gerenciar um método de confiança mútua entre computadores cliente/servidor. Se os dois computadores estiverem sempre no mesmo domínio ou em domínios mutuamente confiáveis, a Diretiva de Grupo poderá oferecer as configurações necessárias de diretiva IPsec e a autenticação Kerberos pode estabelecer a relação de confiança para associações de segurança IPsec. Se os computadores não puderem usar a autenticação Kerberos, podem ser usados certificados de computador ou uma chave de autenticação pré-compartilhada. No entanto, este guia não recomenda o uso de chaves de autenticação pré-compartilhadas, porque o valor da chave é armazenado sem proteção na configuração de diretiva IPsec.

Embora a diretiva IPsec local só possa ser lida pelos administradores que a definiram, a diretiva armazenada no Active Directory precisa estar acessível para todos os computadores do domínio. Logo, é difícil manter a privacidade do valor da chave pré-compartilhada. A Microsoft recomenda o uso de certificados digitais quando o protocolo Kerberos não pode ser usado para autenticação IKE. A diretiva IPsec deve ser projetada para proteger todo o tráfego ou para negociar IPsec apenas para portas TCP ou UDP específicas. A diretiva IPsec no lado cliente geralmente deve ser configurada com o endereço IP estático do servidor. Se você exigir IPsec no lado do servidor, o acesso será negado a computadores clientes que não tenham uma configuração compatível de diretiva IPsec e um método de confiança mútua.

Para obter mais informações sobre a implementação do IPsec do Windows, consulte o site do IPsec do Windows 2000 em https://www.microsoft.com/windows2000/technologies/communications/ipsec/default.asp (em inglês).

Configurando o Firewall do Windows

Um firewall da Internet pode ajudar a impedir que outros acessem seu computador pela Internet. O Windows XP com SP2 e o Windows Server 2003 com SP1 incluem o Firewall do Windows, um firewall interno que pode oferecer para muitas organizações uma camada de proteção adicional contras ataques de rede, como worms e ataques de negação de serviço.

  1. Clique em Iniciar e em Painel de controle.

  2. Clique em Firewall do Windows.    

  3. Clique no botão de opção Ativado (recomendado).

  4. Se necessário, clique na guia Exceções e configure exceções para protocolos que você quer permitir pelo firewall.

  5. Clique em OK para ativar o Firewall do Windows.

O Firewall do Windows não tem o rico conjunto de recursos fornecido por muitos produtos de terceiros, porque ele destina-se a ser um recurso básico de prevenção de invasões. O Firewall do Windows não permite coletar dados sobre o PC e bloqueia tentativas não solicitadas de conexão. No entanto, o Firewall do Windows não faz uma filtragem ampla de saída.

O Firewall do Windows adiciona várias melhorias de chave em relação ao Firewall de Conexão com a Internet (ICF) que era incluído em versões anteriores do Windows. Em particular, o Firewall do Windows pode ser gerenciado centralmente por Diretiva de Grupo. Para obter informações sobre configurações e ferramentas de gerenciamento disponíveis, consulte o documento "Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2" (em inglês) em www.microsoft.com/downloads/details.aspx?
FamilyID=4454e0e1-61fa-447a-bdcd-499f73a637d1&DisplayLang=en.

Mais informações

Os links a seguir fornecem informações adicionais sobre outras medidas de proteção para Windows Server 2003 e Windows XP:

Neste artigo

Download

Receba o Guia Ameaças e Contramedidas

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões

Dd459112.pageLeft(pt-br,TechNet.10).gif 12 de 14 Dd459112.pageRight(pt-br,TechNet.10).gif