Você já deve ter ouvido falar no IPSEC, mais específicamente associado à conexões VPN, mas é o IPSEC no modo de Transporte ?

 

Projetos de segurança baseados somente na proteção do perímetro não são mais suficientes, com a diversidade dos cenários, clientes e dispositivos precisamos ampliar nosso projeto de segurança para endereçar diversos fatores, são eles :

 

- Acesso Remoto - Clientes com acesso remoto;
- Acessos de Parceiros - Acesso local e/ou remoto de computadores que não fazem parte do seu domínio;
- Wireless - Acesso aos dados em qualquer ponto da empresa;
- Rede Fisica - Permitir acesso à rede somente para computadores cadastrados;

 

Um dos primeiros contatos que tive com o IPSEC foi em um projeto que desenvolvemos aqui na Universidade( http://www.uvv.br ) 2004, nesta ocasião precisávamos de uma solução para melhorar nossa segurança na rede local, este projeto precisava contemplar os sequintes requisitos :

 

- Melhorar a Segurança da Rede Local
    - Precisávamos ter certeza de que somente máquinas confiáveis teriam acesso à rede local;
- Restrição de Acesso a alguns servidores e serviços
    - Alguns Servidores  e Serviços deveriam ter acesso restrito a um grupo de usuários/computadores;
- Baixo orçamento disponível
    - Não havia orçamento para substituição de ativos de rede, no caso de escolhermos 802.1X;

 

Decidimos implementar um projeto de Isolamente de Servidores e Domínio (IPSec) ( http://rodrigoi.org.br/post/Voce-sabe-quem-esta-usando-sua-rede-.aspx ) , com esta implementação conseguimos atingir os seguintes objetivos :

 

- Máquinas não conhecidas (confiáveis) não tinham mais acesso aos nossos dados ;
- Dados sigilosos passaram a ser criptografados;
- Gerenciamente centralizado e Baseado em Políticas;
- Transparente para o usuário;

 

É verdade que com o Windows Server 2003 desenvolver um projeto baseado em políticas de IPSEC pode ser um pouco complexo, principalmente devido ao fato da configuração das políticas não ter uma interface muito amigável, todavia este problema foi completamente removido com a evolução para o Windows Server 2008, várias questões que poderiam causar problemas, ou gerar mais esforço de implementação, foram resolvidas nessa nova versão.

 

O número necessário de políticas de IPSEC no Windows 2008, para fazer as mesmas funções que no Windows 2003, reduziram drasticamente graças à nova Interface. Outros fatores também somam às evoluções :

 

- Integrado ao Windows Firewall with Advanced Security;
- Melhor performace para fallback, Windows Vista and later send both connection, IPsec and nos-IPsec.

 

Neste post ( http://rodrigoi.org.br/post/E-o-IPSEC-no-Vista-e-Windows-Server-2008-.aspx )  existe uma comparação entre um script para o Windows Server 2003 e para o Windows Server 2008.

 

E o futuro ?

 

Que você já ouviu falar no IPV6 eu tenho certeza, mas você também acha que é um futuro distante ? 

 

Uma das novas features de segurança do Windows 7 e do Windows Server 2008 R2 é o DirectAccess ( http://rodrigoi.org.br/post/Reinventando-o-Acesso-Remoto-com-DirectAccess.aspx ), com ele podemos dizer que estamos dando o primeiro passo, e porque não dizer empurrão, na direção do uso do IPV6.

Abraços,

A algum tempo tenho trabalhado com o Time de Networking e Segurança da MSFT ajudando com sugestões de features e documentação de algumas soluções e cenários específicos.

 

Recentemente o nosso projeto do DirectAccess, integrado com nossa solução de Isolamento de Servidores e Domínio (IPSec) , foi considerado Estudo de Caso pela Microsoft ( http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?casestudyid=4000005738 ), enjoy !

 

 

 

Abraços,

< Este foi o título de uma das minhas palestras na edição 2009 do Teched Brasil  >

 

Uma das novas features de segurança do Windows 7 e do Windows Server 2008 R2 é o DirectAccess, com ele podemos dizer que estamos dando o primeiro passo, e porque não dizer empurrão, na direção do uso do IPV6.

 

A rigor o DirectAccess nada mais é que um conjuntos de políticas de IPSEC utilizando uma infraestrutura de IPV6. Claro que essa é apenas uma visão geral, e superficial dessa nova feature, por baixo do capô existem outras tecnologias que são necessárias para que a solução funcione ( NRPT, Teredo, 6to4, ISATAP e etc), o fato é que esta é uma das primeiras funcionalidades que nos alerta do poder do IPV6 e de como vários paradigmas mudarão junto com a versão do protocolo IP.

 

Um dos pontos que, na minha opinião, causará mais impacto é o fato de que o IPV6, apoiado na segurança do IPSEC, fará com que o perimetro de rede acabe, ou seja sua rede local não será só mais os pontos que estão dentro dos seus prédios ou dos seus ativo de rede, sua rede será a Internet !!!

 

 

O DirectAccess traz benefícios tanto para o usuário final como para os administradores de rede :

 

- Para o Usuário Final

- Não é necessário nenhuma configuração, assim que o computador do usuário estiver conectado na Internet já terá acesso à rede interna;

- Não são necessárias portas aberta para acesso, no firewall da rede que estiver usando, como é necessário para uma conexão VPN;

 

- Para o Administrador da Rede

- Políticas de Domínio são aplicadas nos computadores remotos;

- Suporte ao NAP;

- Máquinas remotas podem ser gerenciadas pelo Administrador da Rede;

 

Para utilziar o DirectAccess você deve ficar atento aos pré-requisitos :

- Infraestrutura de Certificação Digital (PKI);

- Windows 7 para o clientes (deve fazer parte do domínio);

- Windows Server 2008 R2 para o Servidor do DirectAccess;

- IPV6;

 

Em nosso ambiente de produção já temos todos os pré-requisitos funcionando uma solução integrada do IPSEC (Isolamento de Servidores e Domínio) com o NAP, desta forma não levamos mais que algumas poucas horas para configurar e começar a utilização do DirectAccess. Hoje nossos usuários de acesso remoto já está se beneficiando dessa nova funcionalidade.

 

OBS: Durante minha palestra, no Teched Brasil deste ano, algumas pessoas me pediram para publicar um video com o passo a passo da configuração do DirectAccess. Abaixo segue um video apenas com a configuração do DirectAccess Management, em breve vou preparar uma serie de videos explicando a configuração de toda a infraestrura mínima necessária para configurar e utilizar o DirectAccess. Até lá …

 

 

Abraços,

Hoje nosso Projeto de Virtualização foi publicado como Estudo de Caso pela Microsoft !!!

 

Após algumas entrevistas e troca de mensagens o texto final foi publicado no link  http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?CaseStudyID=4000005268

 

Estamos agora preparando a migração dessa solução para o Windows Server 2008 R2, com isso vamos nos beneficiar das novas funcionalidades como o Live Migration. Em breve trarei mais informações sobre o andamento dessa atualização …

 

Abraços,

O Teched Brasil 2009 está chegando - http://www.teched.com.br/ - !!!

 

Este ano estarei participando com 4 palestras :

 

- Melhoramentos de Segurança no Windows 7 e Internet Explorer 8;

- Tire suas dúvidas sobre o Windows Server em 75 minutos;

- Reinventando o Acesso Remoto com o DirectAccess;

- Economize o Consumo de Link WAN com o BranchCache;

 

Espero vocês lá …

 

Abraços,

Configurando VPN – Parte I

 

 

Configurando VPN – Parte II

 

 

Monitoramento do ISA Server

Abraços,

 

Um grupo de 12 dos nossos Servidores, de uma geração antiga, precisava ser substituido e com isso seria necessário um grande investimento em hardware e tempo de implementação e para resolvermos esse problema decidimos implementar a solução baseada em Virtualização.

 

O escopo principal do projeto era de redução de custo, alta disponibilidade e otimização dos recursos de informática. A idéia é simples, criar servidores virtuais, representações idênticas dos servidores físicos, em único hardware. Abaixo segue uma imagem que ilustra o projeto.

 

 

 

O primeiro desafio foi a escolha correta do Hardware, este equipamento além de endereçar o problema inicial, migrar 12 servidores físicos, deveria estar preparado para as novas funcionalidades que estão por vir com o Windows Server 2008 R2, como o Live Migration.

 

Foi necessário a aquisição de um hardware com configurações específicas entretanto o custo desse hardware ficou, aproximadamente 40% mais barato que comprar os mesmos 12 servidores em equipamentos físicos. A configuração que escolhemos foi :

 

- 2 X Server Dual Quad-Core com 32GB RAM e 6 NICs

- Storage (FiberChannel) com 14 Discos

 

O segundo passo foi classificar os servidores físicos com base na sua necessidade de processamento e memória, criamos uma pequena escala :

 

- Servidores Pesados – Média de processamento superior a 40% e mais de 2GB de memória;

- Servidores Leves – Média de processamento inferior a 40% e menos de 2GB de memória;

 

Com base nessa análise definimos quais servidores poderiam ser virtualizados sem o risco de perda de performace e/ou comprometimento dos recursos alocados, na ocasião conseguimos mapear também o perfil (configuração) de cada máquina virtual que seria criada.

 

A parte lógica fizemos em duas etapas :

- Configuração do Cluster;

- Instalação e Migração da máquinas Virtuais;

 

Como a escolha do Hardware estava em conformidade com a solução de Cluster do Windows Server 2008 finalizamos essa etapa com bastante facilidade. Entretanto gostaria de compartilhar um problema que a meu ver é de Projeto mas só descobrimos durante a implementação.

 

Nossa idéia inicial era de usar a solução de “Network Team”, recurso de software que faz com que as placas de rede físicas funcionem como um única placa. Essa solução seria a ideal, no meu ponto de vista, porque teríamos redução de custos de gerênciamento e aumento na tolerância a falhas, todavia nos testes que fizemos, infelizmente, encontramos diversos problemas nessa abordagem, encontramos problemas desde perda de pacotes até baixa performace de acesso, outro ponto de problema é o fato dessa solução não ser suportada pela Microsoft, uma vez que o software utilizado é da fabricante do hardware.

 

Com a impossibilidade de seguirmos pelo caminho de utilizar o recurso de “Network Team” adotamos a abordagem tradicional e definimos nossas 6 placa de rede da seguinte forma :

 

- Uma placa para o HeatBeat;

- Uma placa para o acesso administrativo e futuramente para o Live Migration;

- Quatro placas para as máquinas virtuais;

 

De posse de todas essas informações a parte operacional do projeto me surpreendeu na facilidade e velocidade de implementação, utilizamos o System Center Virtual Machine Manager – SCVMM - e entre criar novas máquinas e migrar máquinas físicas para virtual  finalizamos todo o projeto em menos de 10 dias !!

 

Salvo algumas pequenas configurações e ajustes no SCVMM (que são facilmente encontradas referências no Technet) tudo o processo é muito simples e extremamente eficiênte, ao final conseguimos atingir vários objetivos :

 

- Redução de Custos de Manutenção;

- Redução Espaço Físico;

- Redução Consumo de Energia;

- Redução do Consumo do ar condicionado;

- Aumentar a disponbilidade dos Serviços e tolerância a falhas com a Implementação do Cluster;

 

Hoje temos diversos servidores críticos (Sistemas Internos, Sites, Banco de Dados de Legados e etc) rodando em máquinas virtuais com uma excelênte performace.

 

Para mim ficou claro o porque das grandes empresas falarem tanto de Virtualização, definitivamente é uma solução que consegue atender às espectativa de todas as áreas da empresa, desde a Financeira, passando pelos usuários e chegando até a áre de TI !

 

Abraços,

Em abril tive a oportunidade de participar de um projeto muito interessante e inovador na Microsoft Brasil.

 

O projeto se chamava “Demo Extravaganza” e a idéia era criarmos uma solução de interoperabilidade entre algumas tecnologias da Microsoft e Open Source. A equipe era composta por representantes de várias comunidades, MVP, Technet e Software Livre, e apesar de cansativo foi um final de semana bem divertido !

 

Pessoalmente tiro um grande aprendizado dessa experiência, para mim ficou claro que no desafio de interagir dois ambientes (Microsoft e Software Livre) existe muito mito, principalmente em relação às dificuldades de implementação e compatibilidade, de fato entre os ambientes existe bastante compatibilidade  e em vários casos se completam.

 

Abaixo segue o lay-out solução que montamos e o link do projeto :

 

 

http://technet.microsoft.com/pt-br/demosinterop.aspx

 

Abraços,

Publicando um Portal Sharepoint

 

 

Publicando WEB Farm Parte I

 

 

Publicando WEB Farm Parte II

 

Em outros posts tenho falado um pouco sobre IPSEC e em todos os exemplos que citei sempre usei os formatos compatíveis com o xp e 2003, mas o que mudou no Windows Vista ?

 

Como a pilha TCP/IP no Windows Vista foi totalmente reescrita muita coisa mudou, para o IPSEC vou citar algumas mudanças que acho importante :

 

- Novos algoritmos de Criptografia;

- Autenticação de Computadores e Usuários (antes do Vista o IPSEC autenticava somente computadores);

- Melhor Integração com o NAP;

- Integrado ao novo Windows Firewall with Advanced Security;

 

Este último item acredito que é um dos mais importantes para ajudar na aceleração da adoção dessa tecnologia.

 

Antes do Windows Vista configurar uma política de IPSEC não era uma tarefa fácil, em um cenário real suas políticas de ipsec podem ter centenas de itens,  exceções e etc, tornando tanto a implementação como a administração bastante trabalhosa, com as mudanças implementadas no Windows Vista esta tarefa está muito mais simples e fácil.

 

Para melhor ilustrar o quanto ficou mais fácil a implementação do IPSEC segue um pequeno comparativo entre um script no formato antigo e no novo. Ambos os scripts terão o mesmo resultado final.

 

Script IPSEC – Compatível com Windows 2000 ou superior

pushd ipsec static set store location=local # FILTROS DE ACOES add filteraction name="Bloqueio" description="Bloqueia o acesso" action=block add filteraction name="Permite" description="Permite o trafego em claro" action=permit add filteraction name="Requisicao Segura" description="Aceita conexoes inbound somente com IPsec, e permite conexoes outbound em claro" soft=yes action=negotiate qmsecmethods="ESP[None,SHA1] ESP[3DES,SHA1]" # Lista Exceção add filterlist name="Excecao" description="Maquinas fora da Política de IPSEC" add filter filterlist="Excecao" srcaddr=any dstaddr=x.x.x.x description="Máquina I" protocol=any srcport=0 dstport=0 # Domain Controllers add filterlist name="Domain Controllers" description="Domain Controllers" add filter filterlist="Domain Controllers" srcaddr=any dstaddr=x.x.x.x description="DC-01" protocol=any srcport=0 dstport=0 # Rede Segura add filterlist name="Rede Segura" description="Rede Segura" add filter filterlist="Rede Segura" srcaddr=any dstaddr=10.x.x.x dstmask=255.0.0.0 description="Rede Segura" protocol=any srcport=0 dstport=0 # Habilita PING add filterlist name="Habilita PING" description="Habilita PING" add filter filterlist="Habilita PING" srcaddr=any dstaddr=me description="Habilita PING" protocol=ICMP # Cria a Politica add policy name="Politica IPSEC Maquinas Fora do Dominio" description="Politica IPSEC Maquinas Fora do Dominio" activatedefaultrule=no mmlifetime=180 assign=no pollinginterval=60 mmsecmethods="3DES-SHA1-2 3DES-MD5-2 DES-SHA1-1 DES-MD5-1" # Adiciona as Regras # Colocar o nome da autoridade certificadora no campo rootca add rule name="Rede Segura" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Rede Segura" filteraction="Requisicao Segura" rootca="C=BR, O=XXX, CN=XXXXX" add rule name="Habilita PING" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Habilita PING" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX" add rule name="Domain Controllers" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Domain Controllers" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX" add rule name="Excecao" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Excecao" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX" # Liga a Politica set policy name=”Politica IPSEC Maquinas Fora do Dominio" assign=YES popd exit

 

Script IPSEC – Compatível com Windows Vista ou superior

netsh advfirewall consec add rule name="Rede Segura" endpoint1=any endpoint2=10.x.x.x/y action=requireinrequestout auth1=computercert auth1ca="C=BR, O=XXX, CN=XXXXX " netsh advfirewall consec add rule name="Domain Controllers" endpoint1=any endpoint2=x.x.x.x,y.y.y.y action=noauthentication netsh advfirewall consec add rule name="Excecao" endpoint1=any endpoint2=x.x.x.x action=noauthentication

 

Muita mais fácil não ?

Agora é só planejar e implementar logo o IPSEC porque o IPV6 está chegando !!! :) **assunto para um próximo post….

 

Abraços,