Você saber quem está acessando sua rede ? Veja como o IPSEC, PKI e NAP podem ajudar ! Rodrigo Immaginario CISSP MVP Security http://rodrigoi.org.br Novos Desafios de TI Política, não a topologia, define a fronteira Fronteira 2-factor and biometrics Autenticação e Autorização Claims-based Security Controle deDirectory Identidades Active Definição da IPSec Policies Fronteira Acesso IPv6 Universal do Protection NetworkSaúde Access Ambiente Anti-malware Per-application VPN Acesso de qualquer ponto and Firewalls Cenário Atual Home USB Drive Independent Consultant • • • Mobile Devices Não há fronteira para o fluxo da informação Informação é compartilhada, armazenada e acessada sem o controle do owner Segurança do Host e da Rede são insuficientes Partner Organization O que fazer ? Reduzir o risco de ameaças à segurança da rede Uma camada adicional no “defense-in-depth” Reduzir a superficie de ataques em máquinas conhecidas Aumentar o gerenciamento e a “saúde” dos clientes Proteger dádos sensíveis e a propriedade intelectual Comunicação autenticada ponto-a-ponto nas comunicações de rede Proteger a confidencialidade e integridade dos dados Oferecer acesso remoto seguro Suporta autenticação de máquinas e usuários com IPsec Network Access Protection com VPNs e IPsec Secure routing compartments aumenta o isolamento em conexões VPN Isolamento de Servidores e Domínio Corporate Network Active Directory Domain Controller Trusted Resource Server X Servers with HR Workstation Sensitive Data Unmanaged/Rogue Computer X Server Isolation Untrusted Managed Computer Managed Computer Domain Isolation Distribui políticas epodem credenciais Bloquei Computadores conexões Restringe controlados de acesso computadores a dados críticos não se comunicar confiáveis Define os limites lógicos Network Access Protection - NAP Policy Servers O que é o Network Access Protection? Health Policy Validation Windows Client DHCP, VPN Switch/Router NPS Limitar o acesso a rede Not policy Health compliant Policy compliant such as: Patch, AV Policy Compliance Remediation Servers Restricted Network Example: Patch Aumentar a segurança Corporate Network Aumentar o valor do negócio Integração Cisco e Microsoft NAP – Como funciona ? Policy Servers e.g. Patch, AV 3 1 2 Not policy compliant Windows Client Restricted Network MSFT NPS DHCP, VPN Switch/Router Cliente solicita o acesso a rede apresentando seu estado de saúde 2 DHCP, VPN ou Switch/Router encaminha o status de saúde para o Microsoft Network Policy Server (RADIUS) 3 Network Policy Server (NPS) valida de acordo com as políticas definida Se não houver conformidade o cliente é colocado em um VLAN restrita e terá acesso somente aos servidores de remediação (Repeat 1 - 4) 5 Fix Up Servers e.g. Patch Policy compliant 1 4 4 Havendo conformidade o cliente terá acesso completo a rede 5 Corporate Network NAP - Arquitetura Remediation Servers System Health Servers Updates Client System Health Agent (SHA) Health Statements Network Access Requests Health policy MS Network Policy Server MS and 3rd Parties Quarantine Agent (QA) Health Certificate Enforcement Client (EC) (DHCP, IPSec, 802.1X, VPN) System Health Validator Network Access Devices and Servers Client SHA – Health agents check client state QA – Coordinates SHA/EC EC – Method of enforcement Remediation Server Serves up patches, AV signatures, etc. Quarantine Server (QS) Network Policy Server QS – Coordinates SHV SHV – Validates client health System Health Server Provides client compliance policies NAP + IPSec Quarantine Zone Boundary Zone Protected Zone Posso ter um certificado de saúde? Aqui está meu SoH.. Host Aqui Vocêestá nãoseu possui certificado um certificado de saúde. de saúde. Faça sua atualização Preciso de Acessando a atualizações. Cliente ok? Exchange HCS rede Sim, Não, pegue precisaseu de novo certificado correções Aqui está. Remediation Server Policy Server Active Directory Certificate Services Segurança Gerenciamento Interoperabilidade Cryptography Next Generation Windows Server 2008 Server Role Suporte ao OCSP Granular Admin PKIView Suporte ao IDP CRL V3 Certificates Novas GPOs Suporte MSCEP PKI – Benefícios Secundários - Alterar autenticação do IPSEC de Kerberos para Certificados Digitais - Autenticação com 2 fatores (Token para acesso Administrativo) - Requisitos para diversas soluções de segurança (RMS, EFS, etc) - Segurança Wireless - Segurança Acesso Remoto - Interoperabilidade E mais … - Direct Access File Classification RMS Windows Firewall Windows Defender Bitlocker UEFI Applocker Casos Reais !!!