Você saber quem está acessando sua rede ?
Veja como o IPSEC, PKI e NAP podem ajudar !
Rodrigo Immaginario
CISSP
MVP Security
http://rodrigoi.org.br
Novos Desafios de TI
Política, não a topologia, define a fronteira
Fronteira
2-factor
and biometrics
Autenticação
e
Autorização
Claims-based
Security
Controle
deDirectory
Identidades
Active
Definição da
IPSec
Policies
Fronteira
Acesso
IPv6
Universal
do Protection
NetworkSaúde
Access
Ambiente
Anti-malware
Per-application
VPN
Acesso de qualquer ponto
and Firewalls
Cenário Atual
Home
USB Drive
Independent
Consultant
•
•
•
Mobile Devices
Não há fronteira para o fluxo da informação
Informação é compartilhada, armazenada e acessada sem
o controle do owner
Segurança do Host e da Rede são insuficientes
Partner
Organization
O que fazer ?
Reduzir o risco de ameaças à segurança da rede
Uma camada adicional no “defense-in-depth”
Reduzir a superficie de ataques em máquinas conhecidas
Aumentar o gerenciamento e a “saúde” dos clientes
Proteger dádos sensíveis e a propriedade intelectual
Comunicação autenticada ponto-a-ponto nas comunicações de
rede
Proteger a confidencialidade e integridade dos dados
Oferecer acesso remoto seguro
Suporta autenticação de máquinas e usuários com IPsec
Network Access Protection com VPNs e IPsec
Secure routing compartments aumenta o isolamento em
conexões VPN
Isolamento de Servidores e Domínio
Corporate
Network
Active Directory
Domain Controller
Trusted Resource
Server
X
Servers with
HR Workstation Sensitive Data
Unmanaged/Rogue
Computer
X
Server
Isolation
Untrusted
Managed
Computer
Managed
Computer
Domain
Isolation
Distribui
políticas
epodem
credenciais
Bloquei
Computadores
conexões
Restringe
controlados
de
acesso
computadores
a dados
críticos
não
se comunicar
confiáveis
Define
os
limites
lógicos
Network Access Protection - NAP
Policy Servers
O que é o Network Access
Protection?
Health Policy Validation
Windows
Client
DHCP, VPN
Switch/Router NPS
Limitar o acesso a rede
Not policy
Health
compliant
Policy
compliant
such as: Patch, AV
Policy Compliance Remediation
Servers
Restricted
Network
Example: Patch
Aumentar a segurança
Corporate Network
Aumentar o valor do negócio
Integração Cisco e Microsoft
NAP – Como funciona ?
Policy Servers
e.g. Patch, AV
3
1
2
Not policy
compliant
Windows
Client
Restricted
Network
MSFT NPS
DHCP, VPN
Switch/Router
Cliente solicita o acesso a rede apresentando seu
estado de saúde
2
DHCP, VPN ou Switch/Router encaminha o status de saúde
para o Microsoft Network Policy Server (RADIUS)
3
Network Policy Server (NPS) valida de acordo com as políticas
definida
Se não houver conformidade o cliente é colocado em um
VLAN restrita e terá acesso somente aos servidores de
remediação (Repeat 1 - 4)
5
Fix Up
Servers
e.g. Patch
Policy
compliant
1
4
4
Havendo conformidade o cliente terá acesso completo a rede
5
Corporate Network
NAP - Arquitetura
Remediation
Servers
System Health
Servers
Updates
Client
System Health Agent (SHA)
Health
Statements
Network
Access
Requests
Health policy
MS Network
Policy Server
MS and 3rd Parties
Quarantine Agent (QA)
Health
Certificate
Enforcement Client (EC)
(DHCP, IPSec, 802.1X, VPN)
System Health Validator
Network Access Devices
and Servers
Client
SHA – Health agents check client state
QA – Coordinates SHA/EC
EC – Method of enforcement
Remediation Server
Serves up patches, AV signatures, etc.
Quarantine Server (QS)
Network Policy Server
QS – Coordinates SHV
SHV – Validates client health
System Health Server
Provides client compliance policies
NAP + IPSec
Quarantine
Zone
Boundary
Zone
Protected
Zone
Posso ter um certificado de
saúde?
Aqui está meu SoH..
Host
Aqui
Vocêestá
nãoseu
possui
certificado
um certificado
de
saúde.
de saúde. Faça sua atualização
Preciso de
Acessando a
atualizações.
Cliente ok?
Exchange
HCS
rede
Sim,
Não, pegue
precisaseu
de
novo
certificado
correções

Aqui está.
Remediation
Server
Policy
Server
Active Directory Certificate Services
Segurança
Gerenciamento
Interoperabilidade
Cryptography Next
Generation
Windows Server
2008 Server Role
Suporte ao OCSP
Granular Admin
PKIView
Suporte ao IDP CRL
V3 Certificates
Novas GPOs
Suporte MSCEP
PKI – Benefícios Secundários
- Alterar autenticação do IPSEC de Kerberos para Certificados
Digitais
- Autenticação com 2 fatores (Token para acesso Administrativo)
- Requisitos para diversas soluções de segurança (RMS, EFS, etc)
- Segurança Wireless
- Segurança Acesso Remoto
- Interoperabilidade
E mais …
-
Direct Access
File Classification
RMS
Windows Firewall
Windows Defender
Bitlocker
UEFI
Applocker
Casos Reais !!!
Download

Network Policy Server