Garantir a segurança dos dados e sistemas de uma empresa é um dos grandes desafios dos profissionais que atuam na área de Segurança da Tecnologia da Informação (Security IT).
A preocupação em atender algumas demandas vivenciadas pelas empresas é fundamental. Saber quem são seus usuários e ativos de redes se torna um problema na realidade atual onde acesso remoto, wireless, várias filiais e sistemas distribuídos são uma realidade nas empresas.
Nos tempos atuais o firewall é apenas um dos vários pontos que precisamos nos preocupar para reduzir a superficie de ataque na empresas. Os investimentos em segurança não podem se limitar, apenas, a uma excelente solução para garantir que nao haja ataques vindos da Internet.
Sua rede Interna está segura ?
Você consegue garantir que, agora, em sua rede somente máquinas que você conhece estão conectadas e utilizando seus recursos e servidores ? Agora imagina esse cenário em uma empresa onde existem vários prédios, milhares de pontos de rede, centenas de Access Point (AP) para acesso Wireless, dezenas de empresas parceiras trabalhando em projetos conjunto e etc.
Server and Domain isolation(usando IPSEC e group policy), essa é a solução para endereçarmos problemas como esse.
Um cenário típico de aplicação dessa solução é o que encontramos na figura 1.
Nesse exemplo temos a necessidade de garantir o acesso aos servidores e dados da rede interna somente para máquina confiáveis, maquinas do nosso domínio.
O objetivo secundário é de isolar, dentro da rede já protegida criada pelo IPSEC, o acesso ao servidor de código fonte a um grupo restrito de máquinas e com o máximo de segurança, no caso com todo o tráfego criptografado.
Figura 1 – Domain Isolation Diagram
Como o Internet Protocol Security (IPSEC) funciona na camada de rede do protocolo, abaixo da camada de aplicação, o trafego pode ser autenticado ou autenticado e criptografado, de maneira centralizada com group policy no Active Directory.
A política de IPSEC é composta por um conjunto de regras, conforme diagrama abaixo (figura 2)
Figura 2 – Diagrama IPSEC
Para atender o cenário descrito anteriormente e seguindo a lógica do diagrama acima seguimos a seguinte seguencia para implementar a solução.
Primeiro passo - Criação da IPSEC Policy, neste ponto estamos criando as policies no AD que serão distribuídas à todas as máquinas em seu ambiente
Segundo passo – Difinir a sequencia de aplicação da policies
Terceiro passo – Criação dos grupos Universais, onde recebão os objetos afetados pelas policies
Quarto passo – Criação dos Filtros de IP, já dentro do IPSEC Security Policies
Quinto passo – Criação das ações das políticas de IPSEC
E as novidades ?
No Windows Server 2008 e Windows Vista muita melhorias forão acrescentadas à implementação de IPSec da Microsoft.
Agora temos além a autenticação por máquina também temos a autenticação por usuários. A interface foi toda reformulada e está muito mais simples de ser implementada políticas de IPsec, agora podemos em algumas poucas políticas resolver os mesmos cenários que hoje necessitamos criar dezenas de regras do IPSEC.
Conclusão
Podemos concluir que a maneira como enxergamos o perimetro de rede está mudando, alguns autores até arriscam dizer que a DMZ está “morrendo”.
Agora as Empesas são Globais, conectadas fisicamente e lógicamente a fornecedores, consultores, usuários remotos e etc.
Cada vez mais o conceito de proteção somente na fronteira de sua rede com Firewall ( Edge ) não cabe mais às necessidade de segurança das Empresas.
Sua rede está preparada ?
