Você já deve ter ouvido falar no IPSEC, mais específicamente associado à conexões VPN, mas é o IPSEC no modo de Transporte ?
Projetos de segurança baseados somente na proteção do perímetro não são mais suficientes, com a diversidade dos cenários, clientes e dispositivos precisamos ampliar nosso projeto de segurança para endereçar diversos fatores, são eles :
- Acesso Remoto - Clientes com acesso remoto;
- Acessos de Parceiros - Acesso local e/ou remoto de computadores que não fazem parte do seu domínio;
- Wireless - Acesso aos dados em qualquer ponto da empresa;
- Rede Fisica - Permitir acesso à rede somente para computadores cadastrados;
Um dos primeiros contatos que tive com o IPSEC foi em um projeto que desenvolvemos aqui na Universidade( http://www.uvv.br ) 2004, nesta ocasião precisávamos de uma solução para melhorar nossa segurança na rede local, este projeto precisava contemplar os sequintes requisitos :
- Melhorar a Segurança da Rede Local
- Precisávamos ter certeza de que somente máquinas confiáveis teriam acesso à rede local;
- Restrição de Acesso a alguns servidores e serviços
- Alguns Servidores e Serviços deveriam ter acesso restrito a um grupo de usuários/computadores;
- Baixo orçamento disponível
- Não havia orçamento para substituição de ativos de rede, no caso de escolhermos 802.1X;
Decidimos implementar um projeto de Isolamente de Servidores e Domínio (IPSec) ( http://rodrigoi.org.br/post/Voce-sabe-quem-esta-usando-sua-rede-.aspx ) , com esta implementação conseguimos atingir os seguintes objetivos :
- Máquinas não conhecidas (confiáveis) não tinham mais acesso aos nossos dados ;
- Dados sigilosos passaram a ser criptografados;
- Gerenciamente centralizado e Baseado em Políticas;
- Transparente para o usuário;
É verdade que com o Windows Server 2003 desenvolver um projeto baseado em políticas de IPSEC pode ser um pouco complexo, principalmente devido ao fato da configuração das políticas não ter uma interface muito amigável, todavia este problema foi completamente removido com a evolução para o Windows Server 2008, várias questões que poderiam causar problemas, ou gerar mais esforço de implementação, foram resolvidas nessa nova versão.
O número necessário de políticas de IPSEC no Windows 2008, para fazer as mesmas funções que no Windows 2003, reduziram drasticamente graças à nova Interface. Outros fatores também somam às evoluções :
- Integrado ao Windows Firewall with Advanced Security;
- Melhor performace para fallback, Windows Vista and later send both connection, IPsec and nos-IPsec.
Neste post ( http://rodrigoi.org.br/post/E-o-IPSEC-no-Vista-e-Windows-Server-2008-.aspx ) existe uma comparação entre um script para o Windows Server 2003 e para o Windows Server 2008.
E o futuro ?
Que você já ouviu falar no IPV6 eu tenho certeza, mas você também acha que é um futuro distante ?
Uma das novas features de segurança do Windows 7 e do Windows Server 2008 R2 é o DirectAccess ( http://rodrigoi.org.br/post/Reinventando-o-Acesso-Remoto-com-DirectAccess.aspx ), com ele podemos dizer que estamos dando o primeiro passo, e porque não dizer empurrão, na direção do uso do IPV6.
Abraços,