Publicando um Portal Sharepoint

 

 

Publicando WEB Farm Parte I

 

 

Publicando WEB Farm Parte II

 

Em outros posts tenho falado um pouco sobre IPSEC e em todos os exemplos que citei sempre usei os formatos compatíveis com o xp e 2003, mas o que mudou no Windows Vista ?

 

Como a pilha TCP/IP no Windows Vista foi totalmente reescrita muita coisa mudou, para o IPSEC vou citar algumas mudanças que acho importante :

 

- Novos algoritmos de Criptografia;

- Autenticação de Computadores e Usuários (antes do Vista o IPSEC autenticava somente computadores);

- Melhor Integração com o NAP;

- Integrado ao novo Windows Firewall with Advanced Security;

 

Este último item acredito que é um dos mais importantes para ajudar na aceleração da adoção dessa tecnologia.

 

Antes do Windows Vista configurar uma política de IPSEC não era uma tarefa fácil, em um cenário real suas políticas de ipsec podem ter centenas de itens,  exceções e etc, tornando tanto a implementação como a administração bastante trabalhosa, com as mudanças implementadas no Windows Vista esta tarefa está muito mais simples e fácil.

 

Para melhor ilustrar o quanto ficou mais fácil a implementação do IPSEC segue um pequeno comparativo entre um script no formato antigo e no novo. Ambos os scripts terão o mesmo resultado final.

 

Script IPSEC – Compatível com Windows 2000 ou superior

pushd ipsec static set store location=local # FILTROS DE ACOES add filteraction name="Bloqueio" description="Bloqueia o acesso" action=block add filteraction name="Permite" description="Permite o trafego em claro" action=permit add filteraction name="Requisicao Segura" description="Aceita conexoes inbound somente com IPsec, e permite conexoes outbound em claro" soft=yes action=negotiate qmsecmethods="ESP[None,SHA1] ESP[3DES,SHA1]" # Lista Exceção add filterlist name="Excecao" description="Maquinas fora da Política de IPSEC" add filter filterlist="Excecao" srcaddr=any dstaddr=x.x.x.x description="Máquina I" protocol=any srcport=0 dstport=0 # Domain Controllers add filterlist name="Domain Controllers" description="Domain Controllers" add filter filterlist="Domain Controllers" srcaddr=any dstaddr=x.x.x.x description="DC-01" protocol=any srcport=0 dstport=0 # Rede Segura add filterlist name="Rede Segura" description="Rede Segura" add filter filterlist="Rede Segura" srcaddr=any dstaddr=10.x.x.x dstmask=255.0.0.0 description="Rede Segura" protocol=any srcport=0 dstport=0 # Habilita PING add filterlist name="Habilita PING" description="Habilita PING" add filter filterlist="Habilita PING" srcaddr=any dstaddr=me description="Habilita PING" protocol=ICMP # Cria a Politica add policy name="Politica IPSEC Maquinas Fora do Dominio" description="Politica IPSEC Maquinas Fora do Dominio" activatedefaultrule=no mmlifetime=180 assign=no pollinginterval=60 mmsecmethods="3DES-SHA1-2 3DES-MD5-2 DES-SHA1-1 DES-MD5-1" # Adiciona as Regras # Colocar o nome da autoridade certificadora no campo rootca add rule name="Rede Segura" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Rede Segura" filteraction="Requisicao Segura" rootca="C=BR, O=XXX, CN=XXXXX" add rule name="Habilita PING" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Habilita PING" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX" add rule name="Domain Controllers" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Domain Controllers" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX" add rule name="Excecao" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Excecao" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX" # Liga a Politica set policy name=”Politica IPSEC Maquinas Fora do Dominio" assign=YES popd exit

 

Script IPSEC – Compatível com Windows Vista ou superior

netsh advfirewall consec add rule name="Rede Segura" endpoint1=any endpoint2=10.x.x.x/y action=requireinrequestout auth1=computercert auth1ca="C=BR, O=XXX, CN=XXXXX " netsh advfirewall consec add rule name="Domain Controllers" endpoint1=any endpoint2=x.x.x.x,y.y.y.y action=noauthentication netsh advfirewall consec add rule name="Excecao" endpoint1=any endpoint2=x.x.x.x action=noauthentication

 

Muita mais fácil não ?

Agora é só planejar e implementar logo o IPSEC porque o IPV6 está chegando !!! :) **assunto para um próximo post….

 

Abraços,

Imaginem o seguinte cenário …

 

Seu ambiente está protegido com o IPSEC (Isolamento de Servidores e Domínio) mas existem algumas máquinas que não irão fazer parte do seu domínio, os motivos podem ser diversos (Máquinas de Terceirizados, Máquinas não Windows[Linux] e etc), e mesmo assim você quer manter seu nível de segurança, quais opções temos ?

 

- Colocar esses equipamentos na lista de exceção do IPSEC;

- Criar uma solução de “IPSEC Proxy” com o ISA Server;

- Configurar as Políticas de IPSEC de forma manual nessas máquinas;

 

Como em qualquer projeto a melhor opção é uma resultante da análise do cenário de negócio e políticas da Empresa. Neste post vou exemplificar a configuração da terceira opção.

 

A opção de configurarmos as Políticas de IPSEC de forma manual em uma máquina fora do domínio requer uma solução de PKI implementada em seu ambiente, a única forma de uma máquina fora do seu domínio falar IPSEC com sua rede interna (Rede Segura) é utilizar a opção de autenticação por Certificados Digitais. Considerando que sua estrutura possui esse pré-requisito vamos lá …

 

O primeiro passo é configurar em sua Autoridade Certificadora um Template de IPSEC para trabalhar em modo Offline, no Site da Microsoft existe um artigo que pode ajuda-lo. A resultante dessa etapa é a criação e publicação em sua CA de um Template para máquinas fora do domínio.

 

 

Em seguida temos de gerar um certificado para a máquina que está fora do domínio e vai falar IPSEC com sua rede. Nesse meu exemplo estou usando o Windows 7 RC - Claro !!! :) – mas esta etapa é a mesma, considerando as difenças na forma de execução, para qualquer SO, Windows ou Linux.

 

Crie um arquivo chamado certrequest.inf, este arquivo será usado para gerar os dados necessários para envio à autoridade certificadora da sua rede, o conteúdo desse arquivo é :

[Version]
Signature= "$Windows NT$"

[NewRequest]
RequestType = PKCS10
ProviderName = "Microsoft Software Key Storage Provider"
Subject = "CN=NOMECOMPUTADOR"  ***Repare que o campo subject deve ser alterado colocando o nome do computador que está sendo configurado.
KeyLength = 4096
MachineKeySet = TRUE
KeySpec = 2
KeyUsage = 0x80

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.8.2.2 ;IP Security IKE Intermediate

 

Execute o comando < certreq – new > e siga as instruções da tela. Este comando terá como resultante um arquivo .req que contém os dados neccessário para enviarmos a CA.

 

O próximo passo deve ser executado dentro da CA.

 

Acesse o site https://ServidorCA/certsrv e escolha a opção “Request a Certificate”;

Em seguida  clique na opção “Advanced”;

Escolha a opção “Submit a Certificate”

No campo onde tem a opção Base-64-encoded você deve colar o conteúdo do arquivo .req eu foi gerado na sua máquina cliente, em seguida selecione o template correto e envie para a CA;

Feito isso é só fazer o download do arquivo gerado e instalar em sua máquina cliente;

 

Voltando para o nosso Windows 7 (máquina que está fora do domínio), importe o certificado gerado. Lembrando que você deve estar no contexto de computador dentro do Snap-in de Certificates.

A parte do Certificado Digital está concluída ! 

 

Agora precisamos apenas criar as políticas de IPSEC localmente, Para esta etapa podemos gerar um script, que deve ficar em conformidade com as regras definidas para a rede local, e executar em cada uma das máquinas que estão fora do domínio mas vão se comunicar com IPSEC, segue um exemplo do script :

 

##############################################

# Configuracoes de seguranca baseadas em IPSEC
# Execute o script da seguinte forma :
# netsh -f ScriptIPSEC.txt
# Criado por : Rodrigo Immaginario

###########  modo estatico ###########

pushd ipsec static
delete all
set store location=local

# FILTROS DE ACOES
add filteraction name="Bloqueio" description="Bloqueia o acesso" action=block
add filteraction name="Permite" description="Permite o trafego em claro" action=permit
add filteraction name="Requisicao Segura" description="Aceita conexoes inbound somente com IPsec, e permite conexoes outbound em claro" soft=yes action=negotiate qmsecmethods="ESP[None,SHA1] ESP[3DES,SHA1]"

# Lista Exceção
add filterlist name="Excecao" description="Maquinas fora da Política de IPSEC"
add filter filterlist="Excecao" srcaddr=any dstaddr=x.x.x.x description="Máquina I" protocol=any srcport=0 dstport=0

# Domain Controllers
add filterlist name="Domain Controllers" description="Domain Controllers"
add filter filterlist="Domain Controllers" srcaddr=any dstaddr=x.x.x.x description="DC-01" protocol=any srcport=0 dstport=0

# Rede Segura
add filterlist name="Rede Segura" description="Rede Segura"
add filter filterlist="Rede Segura" srcaddr=any dstaddr=10.x.x.x dstmask=255.0.0.0 description="Rede Segura" protocol=any srcport=0 dstport=0

# Habilita PING
add filterlist name="Habilita PING" description="Habilita PING"
add filter filterlist="Habilita PING" srcaddr=any dstaddr=me description="Habilita PING" protocol=ICMP

# Cria a Politica
add policy name="Politica IPSEC Maquinas Fora do Dominio" description="Politica IPSEC Maquinas Fora do Dominio" activatedefaultrule=no mmlifetime=180 assign=no pollinginterval=60 mmsecmethods="3DES-SHA1-2 3DES-MD5-2 DES-SHA1-1 DES-MD5-1"

# Adiciona as Regras

# Colocar o nome da autoridade certificadora no campo rootca

add rule name="Rede Segura" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Rede Segura" filteraction="Requisicao Segura" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Habilita PING" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Habilita PING" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Domain Controllers" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Domain Controllers" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Excecao" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Excecao" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"

# Liga a Politica
set policy name=”Politica IPSEC Maquinas Fora do Dominio" assign=YES

popd

exit

 

Pronto, agora é só testar !! 

 

Dá máquina fora do domínio, em nosso exemplo o Windows 7 RC, abra o IPSEC Monitor e verifique uma conexão a um servidor que esteja protegido pelo IPSEC, além de conseguir o acesso você verá que o tráfego já está seguro !

 

Abraços,