DirectAccess Solution Accelerator

12. June 2010
Comments (0)

 

Várias pessoas me perguntam sobre a instalação e configuração do DirectAccess.

Na maioria dos casos a implementação do DirectAccess é relativamente simples, entretanto quando ocorre algum problema o troubleshooting (resolução de problemas) não é fácil. Do lado do servidor temos várias ferramentas que nos ajudam a resolver um problema, mas do lado do cliente as opções são mais restritas.

Pensando nisso a Microsoft disponibilizou um assistente - Microsoft DirectAccess Connectivity Assistant - para ajudar na resolução dos problemas de conexão dos clientes.

Todas as informações, com os procedimentos de instalação e configuração, estão no arquivo Microsoft_DirectAccess_Connectivity_Assistant_DeploymentGuide. De qualquer forma segue um pequeno passo a passo com algumas dicas :

Passo 1 : Copiar o arquivo DirectAccess Connectivity Assistant GP.adml para a pasta %systemroot%\PolicyDefinititions\language dentro de um servidor Windows Server 2008 R2;

Passo 2 : Copiar o arquivo DirectAccess Connectivity Assistant GP.ADMX para a pasta %systemroot%\PolicyDefinitions dentro de um servidor Windows Server 2008 R2;

Passo 3 : Criar uma GPO para aplicar nos computadores que fazem parte do grupo de acesso via DirectAccess;

image
image

Passo 4 : As duas configurações mínimas que devem ser feitas na GPO são nas opções DTE e CorporateResources.

- Para preencher a opção DTE você pode recuperar os dados dentro do servidor onde o DirectAccess está instalado. Nas configurações de IP (ipconfig) procure os endereços IP (IPV6)da opção do 6TO4, no formato PING:XXX:XXX:XXX::XXX

image

- A opção CorporateResources deve ser preenchida com algum dos recursos que está disponibilizado para acesso externo, por exemplo :  PING:<SERVIDOR DE ARQUIVOS> ou HTTP:http://siteinterno .

Passo 5 : Instalar o agente no cliente;

 

Uma vez instalado o programa, e com a GPO aplicada,  você já consegue colher algumas informações :

image

Ambiente Operacional
image

Problema na Conexão
image

Problema na Conexão

 

No caso de um problema de conexão o usuário pode gerar dados detalhados com as configurações de todo seu ambiente e enviar ao Administrador da Rede para identificação e correção.

 

image

Desta forma o traballho de troubleshooting fica muito mais fácil …

Abraços,

, , , , , , ,

Porque você deve considerar o uso do IPSec agora …

22. December 2009
Comments (0)

Você já deve ter ouvido falar no IPSEC, mais específicamente associado à conexões VPN, mas é o IPSEC no modo de Transporte ?

 

Projetos de segurança baseados somente na proteção do perímetro não são mais suficientes, com a diversidade dos cenários, clientes e dispositivos precisamos ampliar nosso projeto de segurança para endereçar diversos fatores, são eles :

 

- Acesso Remoto - Clientes com acesso remoto;
- Acessos de Parceiros - Acesso local e/ou remoto de computadores que não fazem parte do seu domínio;
- Wireless - Acesso aos dados em qualquer ponto da empresa;
- Rede Fisica - Permitir acesso à rede somente para computadores cadastrados;

 

Um dos primeiros contatos que tive com o IPSEC foi em um projeto que desenvolvemos aqui na Universidade( http://www.uvv.br ) 2004, nesta ocasião precisávamos de uma solução para melhorar nossa segurança na rede local, este projeto precisava contemplar os sequintes requisitos :

 

- Melhorar a Segurança da Rede Local
    - Precisávamos ter certeza de que somente máquinas confiáveis teriam acesso à rede local;
- Restrição de Acesso a alguns servidores e serviços
    - Alguns Servidores  e Serviços deveriam ter acesso restrito a um grupo de usuários/computadores;
- Baixo orçamento disponível
    - Não havia orçamento para substituição de ativos de rede, no caso de escolhermos 802.1X;

 

Decidimos implementar um projeto de Isolamente de Servidores e Domínio (IPSec) ( http://rodrigoi.org.br/post/Voce-sabe-quem-esta-usando-sua-rede-.aspx ) , com esta implementação conseguimos atingir os seguintes objetivos :

 

- Máquinas não conhecidas (confiáveis) não tinham mais acesso aos nossos dados ;
- Dados sigilosos passaram a ser criptografados;
- Gerenciamente centralizado e Baseado em Políticas;
- Transparente para o usuário;

 

É verdade que com o Windows Server 2003 desenvolver um projeto baseado em políticas de IPSEC pode ser um pouco complexo, principalmente devido ao fato da configuração das políticas não ter uma interface muito amigável, todavia este problema foi completamente removido com a evolução para o Windows Server 2008, várias questões que poderiam causar problemas, ou gerar mais esforço de implementação, foram resolvidas nessa nova versão.

 

O número necessário de políticas de IPSEC no Windows 2008, para fazer as mesmas funções que no Windows 2003, reduziram drasticamente graças à nova Interface. Outros fatores também somam às evoluções :

 

- Integrado ao Windows Firewall with Advanced Security;
- Melhor performace para fallback, Windows Vista and later send both connection, IPsec and nos-IPsec.

 

Neste post ( http://rodrigoi.org.br/post/E-o-IPSEC-no-Vista-e-Windows-Server-2008-.aspx )  existe uma comparação entre um script para o Windows Server 2003 e para o Windows Server 2008.

 

E o futuro ?

 

Que você já ouviu falar no IPV6 eu tenho certeza, mas você também acha que é um futuro distante ? 

 

Uma das novas features de segurança do Windows 7 e do Windows Server 2008 R2 é o DirectAccess ( http://rodrigoi.org.br/post/Reinventando-o-Acesso-Remoto-com-DirectAccess.aspx ), com ele podemos dizer que estamos dando o primeiro passo, e porque não dizer empurrão, na direção do uso do IPV6.


Abraços,

, , , ,

Usando o DirectAccess com S&DI (IPSec) – Estudo de Caso Microsoft

4. November 2009
Comments (0)

A algum tempo tenho trabalhado com o Time de Networking e Segurança da MSFT ajudando com sugestões de features e documentação de algumas soluções e cenários específicos.

 

Recentemente o nosso projeto do DirectAccess, integrado com nossa solução de Isolamento de Servidores e Domínio (IPSec) , foi considerado Estudo de Caso pela Microsoft ( http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?casestudyid=4000005738 ), enjoy !

 

image

 

 

Abraços,

, , , , , , , ,

Reinventando o Acesso Remoto com DirectAccess

21. September 2009
Comments (0)

< Este foi o título de uma das minhas palestras na edição 2009 do Teched Brasil  >

 

Uma das novas features de segurança do Windows 7 e do Windows Server 2008 R2 é o DirectAccess, com ele podemos dizer que estamos dando o primeiro passo, e porque não dizer empurrão, na direção do uso do IPV6.

 

A rigor o DirectAccess nada mais é que um conjuntos de políticas de IPSEC utilizando uma infraestrutura de IPV6. Claro que essa é apenas uma visão geral, e superficial dessa nova feature, por baixo do capô existem outras tecnologias que são necessárias para que a solução funcione ( NRPT, Teredo, 6to4, ISATAP e etc), o fato é que esta é uma das primeiras funcionalidades que nos alerta do poder do IPV6 e de como vários paradigmas mudarão junto com a versão do protocolo IP.

 

Um dos pontos que, na minha opinião, causará mais impacto é o fato de que o IPV6, apoiado na segurança do IPSEC, fará com que o perimetro de rede acabe, ou seja sua rede local não será só mais os pontos que estão dentro dos seus prédios ou dos seus ativo de rede, sua rede será a Internet !!!

 

image

 

O DirectAccess traz benefícios tanto para o usuário final como para os administradores de rede :

 

- Para o Usuário Final

- Não é necessário nenhuma configuração, assim que o computador do usuário estiver conectado na Internet já terá acesso à rede interna;

- Não são necessárias portas aberta para acesso, no firewall da rede que estiver usando, como é necessário para uma conexão VPN;

 

- Para o Administrador da Rede

- Políticas de Domínio são aplicadas nos computadores remotos;

- Suporte ao NAP;

- Máquinas remotas podem ser gerenciadas pelo Administrador da Rede;

 

Para utilziar o DirectAccess você deve ficar atento aos pré-requisitos :

- Infraestrutura de Certificação Digital (PKI);

- Windows 7 para o clientes (deve fazer parte do domínio);

- Windows Server 2008 R2 para o Servidor do DirectAccess;

- IPV6;

 

Em nosso ambiente de produção já temos todos os pré-requisitos funcionando uma solução integrada do IPSEC (Isolamento de Servidores e Domínio) com o NAP, desta forma não levamos mais que algumas poucas horas para configurar e começar a utilização do DirectAccess. Hoje nossos usuários de acesso remoto já está se beneficiando dessa nova funcionalidade.

 

OBS: Durante minha palestra, no Teched Brasil deste ano, algumas pessoas me pediram para publicar um video com o passo a passo da configuração do DirectAccess. Abaixo segue um video apenas com a configuração do DirectAccess Management, em breve vou preparar uma serie de videos explicando a configuração de toda a infraestrura mínima necessária para configurar e utilizar o DirectAccess. Até lá …

 

 

Abraços,

, , , , , ,

E o IPSEC no Vista e Windows Server 2008 ?

28. May 2009
Comments (0)

Em outros posts tenho falado um pouco sobre IPSEC e em todos os exemplos que citei sempre usei os formatos compatíveis com o xp e 2003, mas o que mudou no Windows Vista ?

 

Como a pilha TCP/IP no Windows Vista foi totalmente reescrita muita coisa mudou, para o IPSEC vou citar algumas mudanças que acho importante :

 

- Novos algoritmos de Criptografia;

- Autenticação de Computadores e Usuários (antes do Vista o IPSEC autenticava somente computadores);

- Melhor Integração com o NAP;

- Integrado ao novo Windows Firewall with Advanced Security;

 

Este último item acredito que é um dos mais importantes para ajudar na aceleração da adoção dessa tecnologia.

 

Antes do Windows Vista configurar uma política de IPSEC não era uma tarefa fácil, em um cenário real suas políticas de ipsec podem ter centenas de itens,  exceções e etc, tornando tanto a implementação como a administração bastante trabalhosa, com as mudanças implementadas no Windows Vista esta tarefa está muito mais simples e fácil.

 

Para melhor ilustrar o quanto ficou mais fácil a implementação do IPSEC segue um pequeno comparativo entre um script no formato antigo e no novo. Ambos os scripts terão o mesmo resultado final.

 

Script IPSEC – Compatível com Windows 2000 ou superior

pushd ipsec static
set store location=local

# FILTROS DE ACOES
add filteraction name="Bloqueio" description="Bloqueia o acesso" action=block
add filteraction name="Permite" description="Permite o trafego em claro" action=permit
add filteraction name="Requisicao Segura" description="Aceita conexoes inbound somente com IPsec, e permite conexoes outbound em claro" soft=yes action=negotiate qmsecmethods="ESP[None,SHA1] ESP[3DES,SHA1]"

# Lista Exceção
add filterlist name="Excecao" description="Maquinas fora da Política de IPSEC"
add filter filterlist="Excecao" srcaddr=any dstaddr=x.x.x.x description="Máquina I" protocol=any srcport=0 dstport=0

# Domain Controllers
add filterlist name="Domain Controllers" description="Domain Controllers"
add filter filterlist="Domain Controllers" srcaddr=any dstaddr=x.x.x.x description="DC-01" protocol=any srcport=0 dstport=0

# Rede Segura
add filterlist name="Rede Segura" description="Rede Segura"
add filter filterlist="Rede Segura" srcaddr=any dstaddr=10.x.x.x dstmask=255.0.0.0 description="Rede Segura" protocol=any srcport=0 dstport=0

# Habilita PING
add filterlist name="Habilita PING" description="Habilita PING"
add filter filterlist="Habilita PING" srcaddr=any dstaddr=me description="Habilita PING" protocol=ICMP

# Cria a Politica
add policy name="Politica IPSEC Maquinas Fora do Dominio" description="Politica IPSEC Maquinas Fora do Dominio" activatedefaultrule=no mmlifetime=180 assign=no pollinginterval=60 mmsecmethods="3DES-SHA1-2 3DES-MD5-2 DES-SHA1-1 DES-MD5-1"

# Adiciona as Regras

# Colocar o nome da autoridade certificadora no campo rootca

add rule name="Rede Segura" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Rede Segura" filteraction="Requisicao Segura" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Habilita PING" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Habilita PING" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Domain Controllers" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Domain Controllers" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Excecao" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Excecao" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"

# Liga a Politica
set policy name=”Politica IPSEC Maquinas Fora do Dominio" assign=YES

popd

exit

 

Script IPSEC – Compatível com Windows Vista ou superior

netsh advfirewall consec add rule name="Rede Segura" endpoint1=any endpoint2=10.x.x.x/y action=requireinrequestout auth1=computercert auth1ca="C=BR, O=XXX, CN=XXXXX "
netsh advfirewall consec add rule name="Domain Controllers" endpoint1=any endpoint2=x.x.x.x,y.y.y.y action=noauthentication
netsh advfirewall consec add rule name="Excecao" endpoint1=any endpoint2=x.x.x.x action=noauthentication

 

Muita mais fácil não ?

Agora é só planejar e implementar logo o IPSEC porque o IPV6 está chegando !!! :) **assunto para um próximo post….

 

Abraços,

, , , , , ,

IPSEC em Máquinas Fora do Domínio

23. May 2009
Comments (0)

Imaginem o seguinte cenário …

 

Seu ambiente está protegido com o IPSEC (Isolamento de Servidores e Domínio) mas existem algumas máquinas que não irão fazer parte do seu domínio, os motivos podem ser diversos (Máquinas de Terceirizados, Máquinas não Windows[Linux] e etc), e mesmo assim você quer manter seu nível de segurança, quais opções temos ?

 

- Colocar esses equipamentos na lista de exceção do IPSEC;

- Criar uma solução de “IPSEC Proxy” com o ISA Server;

- Configurar as Políticas de IPSEC de forma manual nessas máquinas;

 

Como em qualquer projeto a melhor opção é uma resultante da análise do cenário de negócio e políticas da Empresa. Neste post vou exemplificar a configuração da terceira opção.

 

A opção de configurarmos as Políticas de IPSEC de forma manual em uma máquina fora do domínio requer uma solução de PKI implementada em seu ambiente, a única forma de uma máquina fora do seu domínio falar IPSEC com sua rede interna (Rede Segura) é utilizar a opção de autenticação por Certificados Digitais. Considerando que sua estrutura possui esse pré-requisito vamos lá …

 

O primeiro passo é configurar em sua Autoridade Certificadora um Template de IPSEC para trabalhar em modo Offline, no Site da Microsoft existe um artigo que pode ajuda-lo. A resultante dessa etapa é a criação e publicação em sua CA de um Template para máquinas fora do domínio.

 

image

 

Em seguida temos de gerar um certificado para a máquina que está fora do domínio e vai falar IPSEC com sua rede. Nesse meu exemplo estou usando o Windows 7 RC - Claro !!! :) – mas esta etapa é a mesma, considerando as difenças na forma de execução, para qualquer SO, Windows ou Linux.

 

Crie um arquivo chamado certrequest.inf, este arquivo será usado para gerar os dados necessários para envio à autoridade certificadora da sua rede, o conteúdo desse arquivo é :

[Version]
Signature= "$Windows NT$"

[NewRequest]
RequestType = PKCS10
ProviderName = "Microsoft Software Key Storage Provider"
Subject = "CN=NOMECOMPUTADOR"  ***Repare que o campo subject deve ser alterado colocando o nome do computador que está sendo configurado.
KeyLength = 4096
MachineKeySet = TRUE
KeySpec = 2
KeyUsage = 0x80

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.8.2.2 ;IP Security IKE Intermediate

 

Execute o comando < certreq – new > e siga as instruções da tela. Este comando terá como resultante um arquivo .req que contém os dados neccessário para enviarmos a CA.

 

O próximo passo deve ser executado dentro da CA.

 

Acesse o site https://ServidorCA/certsrv e escolha a opção “Request a Certificate”;

image

Em seguida  clique na opção “Advanced”;

image Escolha a opção “Submit a Certificate”

image No campo onde tem a opção Base-64-encoded você deve colar o conteúdo do arquivo .req eu foi gerado na sua máquina cliente, em seguida selecione o template correto e envie para a CA;

image

Feito isso é só fazer o download do arquivo gerado e instalar em sua máquina cliente;

image

 

Voltando para o nosso Windows 7 (máquina que está fora do domínio), importe o certificado gerado. Lembrando que você deve estar no contexto de computador dentro do Snap-in de Certificates.

image

A parte do Certificado Digital está concluída ! 

 

Agora precisamos apenas criar as políticas de IPSEC localmente, Para esta etapa podemos gerar um script, que deve ficar em conformidade com as regras definidas para a rede local, e executar em cada uma das máquinas que estão fora do domínio mas vão se comunicar com IPSEC, segue um exemplo do script :

 

##############################################

# Configuracoes de seguranca baseadas em IPSEC
# Execute o script da seguinte forma :
# netsh -f ScriptIPSEC.txt
# Criado por : Rodrigo Immaginario

###########  modo estatico ###########

pushd ipsec static
delete all
set store location=local

# FILTROS DE ACOES
add filteraction name="Bloqueio" description="Bloqueia o acesso" action=block
add filteraction name="Permite" description="Permite o trafego em claro" action=permit
add filteraction name="Requisicao Segura" description="Aceita conexoes inbound somente com IPsec, e permite conexoes outbound em claro" soft=yes action=negotiate qmsecmethods="ESP[None,SHA1] ESP[3DES,SHA1]"

# Lista Exceção
add filterlist name="Excecao" description="Maquinas fora da Política de IPSEC"
add filter filterlist="Excecao" srcaddr=any dstaddr=x.x.x.x description="Máquina I" protocol=any srcport=0 dstport=0

# Domain Controllers
add filterlist name="Domain Controllers" description="Domain Controllers"
add filter filterlist="Domain Controllers" srcaddr=any dstaddr=x.x.x.x description="DC-01" protocol=any srcport=0 dstport=0

# Rede Segura
add filterlist name="Rede Segura" description="Rede Segura"
add filter filterlist="Rede Segura" srcaddr=any dstaddr=10.x.x.x dstmask=255.0.0.0 description="Rede Segura" protocol=any srcport=0 dstport=0

# Habilita PING
add filterlist name="Habilita PING" description="Habilita PING"
add filter filterlist="Habilita PING" srcaddr=any dstaddr=me description="Habilita PING" protocol=ICMP

# Cria a Politica
add policy name="Politica IPSEC Maquinas Fora do Dominio" description="Politica IPSEC Maquinas Fora do Dominio" activatedefaultrule=no mmlifetime=180 assign=no pollinginterval=60 mmsecmethods="3DES-SHA1-2 3DES-MD5-2 DES-SHA1-1 DES-MD5-1"

# Adiciona as Regras

# Colocar o nome da autoridade certificadora no campo rootca


add rule name="Rede Segura" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Rede Segura" filteraction="Requisicao Segura" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Habilita PING" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Habilita PING" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Domain Controllers" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Domain Controllers" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Excecao" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Excecao" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"

# Liga a Politica
set policy name=”Politica IPSEC Maquinas Fora do Dominio" assign=YES

popd

exit

 

Pronto, agora é só testar !! 

 

Dá máquina fora do domínio, em nosso exemplo o Windows 7 RC, abra o IPSEC Monitor e verifique uma conexão a um servidor que esteja protegido pelo IPSEC, além de conseguir o acesso você verá que o tráfego já está seguro !

 

image

Abraços,

, , , , , , ,

Melhorando a Segurança de um Servidor WEB (IIS) com IPSEC

11. December 2008
Comments (0)

Algumas pessoas me perguntam como melhorar a segurança de um servidor WEB (IIS) publicado na Internet. Infelizmente não existe uma única resposta para essa pergunta, temos sempre de analisar o cenário onde este servidor está inserido ( arquitetura, ambiente, requisitos de negócio e etc).

Gosto sempre melhorar as configurações de segurança de um servidor WEB, publicado na Internet, com políticas de IPSEC.

Vamos considerar o seguinte estudo de caso :  Um servidor WEB - IIS -  publicado diretamente na Internet (em um Data-center ou outro modelo de hospedagem);

 

image

Podemos melhorar a segurança nesse servidor de várias formas, algumas delas são :

É importante considerar que a escolha de uma das opções acima não invalida as demais, ou seja, podemos utiliza-las em conjunto. Por exemplo : IPSEC + Security Configuration Wizard

 

Para esse Estudo de Caso minha proposta é melhorar a segurança com a implementação do IPSEC. Abaixo segue um modelo de script para criação e aplicação de uma Política de IPSEC, este script possui as seguintes configurações :

  • - Retrição de todo o acesso Inbound ao Servidor WEB;
  • - Tráfego HTTP e HTTPS habilitado para Inbound e Outbound;
  • - Tráfego DNS, Outbound, habilitado;
  • - Tráfego FTP e RDP habilitado somente para um IP específico;
  • - Tráfego ICMP (Ping) habilitado para facilitar resoluções de problemas;

############################################################
# Modelo de Script para Restringir o Acesso a um Servidor IIS - Baseado no IPSEC
#
# Execute o script da seguinte forma :
# Passo 1 - Salvar o arquivo com o nome ScriptIPSEC.txt
# Passo 2 - Substituir os campos XXX.XXX.XXX.XXX pelos IPs correspondentes a cada politica
# Passo 3 - no prompt de comando execute  < netsh -f ScriptIPSEC.txt >
#
# Criado por : Rodrigo Immaginario
# 12 de Dexembro de 2008
#
#############################################################

############# Seleciona modo Estatico ############

pushd ipsec static

# Apaga todas as politicas IPSEC existente
delete all

# Registra o armazenamento local
set store location=local

# FILTROS DE ACOES
add filteraction name="Acesso Bloqueado" description="Bloqueia o acesso" action=block
add filteraction name="Acesso Permitido" description="Acesso Permitido o trafego em claro" action=permit

# All - Inbound
add filterlist name="All - Inbound" description="All - Inbound"
add filter filterlist="All - Inbound" srcaddr=any dstaddr=me description="All - Inbound" protocol=any srcport=0 dstport=0 mirrored=YES

# RDP - Inbound
add filterlist name="RDP - Inbound" description="RDP - Inbound"
add filter filterlist="RDP - Inbound" srcaddr=XXX.XXX.XXX.XXX  dstaddr=me description="RDP - Inbound" protocol=TCP srcport=0 dstport=3389 mirrored=YES

# DNS - Oubound
add filterlist name="DNS - Oubound" description="DNS - Oubound"
add filter filterlist="DNS - Oubound" protocol=TCP srcaddr=ME srcport=0 dstaddr=DNS description="DNS - Oubound" dstport=53 mirrored=YES
add filter filterlist="DNS - Oubound" protocol=UDP srcaddr=ME srcport=0 dstaddr=DNS description="DNS - Oubound" dstport=53 mirrored=YES

# WEB - Inbound
add filterlist name="WEB - Inbound" description="WEB - Inbound"
add filter filterlist="WEB - Inbound" srcaddr=any dstaddr=me description="HTTP - Inbound" protocol=TCP srcport=0 dstport=80 mirrored=YES
add filter filterlist="WEB - Inbound" srcaddr=any dstaddr=me description="HTTPS - Inbound" protocol=TCP srcport=0 dstport=443 mirrored=YES

# WEB - Outbound
add filterlist name="WEB - Outbound" description="WEB - Outbound"
add filter filterlist="WEB - Outbound" srcaddr=me dstaddr=any description="HTTP - Outbound" protocol=TCP srcport=0 dstport=80 mirrored=YES
add filter filterlist="WEB - Outbound" srcaddr=me dstaddr=any description="HTTPS - Outbound" protocol=TCP srcport=0 dstport=443 mirrored=YES

# FTP - Inbound
add filterlist name="FTP - Inbound" description="FTP - Inbound"
add filter filterlist="FTP - Inbound" srcaddr=XXX.XXX.XXX.XXX dstaddr=me description="FTP - Inbound" protocol=TCP srcport=0 dstport=20 mirrored=YES
add filter filterlist="FTP - Inbound" srcaddr=XXX.XXX.XXX.XXX dstaddr=me description="FTP - Inbound" protocol=TCP srcport=0 dstport=21 mirrored=YES

# Versão da Politica - Para Documentação da Política
add filterlist name="Versao Politica IPsec 1.00.20081211.1000" description="Define a versao da politica IPsec"
add filter filterlist="Versao Politica IPsec 1.00.20081211.1000" srcaddr=1.1.1.1 dstaddr=1.1.1.2 description="Politica 1.00.20081211.1000" protocol=ICMP mirrored=YES

# Habilita PING - Para facilitar o Trobleshouting
add filterlist name="Habilita PING 1.00.20081211.1000" description="Habilita PING"
add filter filterlist="Habilita PING 1.00.20081211.1000" srcaddr=any dstaddr=me description="Habilita PING 1.00.20081211.1000" protocol=ICMP mirrored=YES

# Cria a Politica
add policy name="Hardening Servidor WEB (1.00.20081211.1000)" description="Hardening Servidor WEB" activatedefaultrule=no mmlifetime=60 assign=no pollinginterval=60 mmsecmethods="3DES-SHA1-2 3DES-MD5-2 DES-SHA1-1 DES-MD5-1"

# Adiciona as Regras
add rule name="Regra - Versao Politica" policy="Hardening Servidor WEB (1.00.20081211.1000)" filterlist="Versao Politica IPsec 1.00.20081211.1000" filteraction="Acesso Permitido"
add rule name="Regra - Habilita PING" policy="Hardening Servidor WEB (1.00.20081211.1000)" filterlist="Habilita PING 1.00.20081211.1000" filteraction="Acesso Permitido"
add rule name="Regra - SMTP - Oubound" policy="Hardening Servidor WEB (1.00.20081211.1000)" filterlist="SMTP - Outbound" filteraction="Acesso Permitido"
add rule name="Regra - FTP - Inbound" policy="Hardening Servidor WEB (1.00.20081211.1000)" filterlist="FTP - Inbound" filteraction="Acesso Permitido"
add rule name="Regra - WEB - Outbound" policy="Hardening Servidor WEB (1.00.20081211.1000)" filterlist="WEB - Outbound" filteraction="Acesso Permitido"
add rule name="Regra - WEB - Inbound" policy="Hardening Servidor WEB (1.00.20081211.1000)" filterlist="WEB - Inbound" filteraction="Acesso Permitido"
add rule name="Regra - DNS - Oubound" policy="Hardening Servidor WEB (1.00.20081211.1000)" filterlist="DNS - Oubound" filteraction="Acesso Permitido"
add rule name="Regra - RDP - Inbound" policy="Hardening Servidor WEB (1.00.20081211.1000)" filterlist="RDP - Inbound" filteraction="Acesso Permitido"
add rule name="Regra - All - Inbound" policy="Hardening Servidor WEB (1.00.20081211.1000)" filterlist="All - Inbound" filteraction="Acesso Bloqueado"

# Liga a Politica
# O comando abaixo está comentado.
# Tenha certeza de que as configurações acima estão corretas, considerando seu cenário, para não perder o acesso ao Servidor ( ex. IP da politica de RDP)

## set policy name="Hardening Servidor WEB (1.00.20081211.1000)" assign=YES

popd

exit

 

Completando o nosso cenário podemos devemos considerar também :

  • - Instalação e configuração do URLScan3.1 ;
  • - Garantir que o Servidor esteja atualizado;

 

Está é a opção para melhorarmos um Servidor WEB publicado diretamente na Internet com base em Políticas IPSEC.

 

Abraços,

, , , , , , ,

Mais um passo para a "Defesa em Profundidade"

4. October 2008
Comments (0)

O modelo tradicional, figura abaixo, usado para "garantir" a segurança de um ambiente tinha como ponto principal isolar o acesso entre sua rede e a Internet com o uso de um Firewall.

image

Entretanto a realidade atual é um pouco mais complexa. O aumento das necessidades de interconexões entre redes, devices e etc, está forçando a nos preocupar na segurança mais próxima do cliente (host), vocês já devem ter ouvido falar em "Defesa em Profundidade"...

 

Aproximadamente 4 anos atrás nós iniciamos um projeto para aumentar a segurança física e lógica da nossa rede e dados.

 

Eu gosto de pensar nesse projeto como um projeto de "escopo aberto", já que nós precisamos, constantemente, nos atualizar com as necessidades de negócio da empresa, com as novas tecnologias e vulnerabilidades.

 

Nós começamos com um projeto de Isolamento de Servidores e Domínio (http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=49593 ), inicialmente utilizando Kerberos e, em seguida, passamos a utilizar a autenticação PKI, com a implementação de um outro Projeto de Certificação Digital.

 

Nesse estágio do projeto nós já tinhamos conseguido aumentar a segurança física da nossa rede, sem nenhum investimento extra com a compra de equipamento que suportam 802.1x, conseguimos aumentar a segurança dos dados mais sensíveis da rede, implementando a criptografia do tráfego e também conseguimos restringir o acesso a alguns servidores mais críticos para somente um grupo seleto de máquinas.

 

Como benefícios secundários da implementação dessa primeira etapa do projeto nós conseguimos aumentar a segurança do acesso via VPN em nossa rede, com a adoção de tokens para os usuários e também alteramos a autenticação de nossa rede Wireless para trabalhar com Certificados Digitais.

 

Mesmo com todos esse benefícios ainda tinhamos um grande problema, os notebooks da rede, como poderiamos garantir que esse notebooks não causariam algum tipo de vúlnerabilidade ao nosso ambiente ? Esse problema nós endereçamos no a implementação do NAP.

 

Na etapa de implementação do projeto do NAP, seguimos os seguinte passos :

I - Implementar o NAP, usando DHCP, em Reporting Mode;

II - Implementar o NAP, usando IPSEC, em Reporting Mode;

III - Implementar o Forefront Client Security Validator Health System; (Neste momento o anti-virus do nosso ambiente já havia sido migrado para o Forefront Client)

IV - Alterar o NAP para o modo de Enforcement;

( http://www.uvv.br/ITmomentum2007.wmv )

 

Nosso cenário atual é algo assim :

image

 

Mesmo com o Windows XP SP3 suportando o NAP nós ainda estamos em processo de migração das estações de trabalho, administrativas e acadêmicas, para o Windows Vista, onde nós esperamos darmos mais um passo no Projeto de Segurança minimizando nossos riscos.

 

Em breve eu vou compartilhar com vocês aqui os passos dessa migração e também os benefícios que temos conseguido ;)

 

 

Abraços,

Rodrigo Immaginario

, , , , , ,

Você sabe quem está usando sua rede ?

4. October 2008
Comments (0)

Garantir a segurança dos dados e sistemas de uma empresa é um dos grandes desafios dos profissionais que atuam na área de Segurança da Tecnologia da Informação (Security IT).

A preocupação em atender algumas demandas vivenciadas pelas empresas é fundamental. Saber quem são seus usuários e ativos de redes se torna um problema na realidade atual onde acesso remoto, wireless, várias filiais e sistemas distribuídos são uma realidade nas empresas.

Nos tempos atuais o firewall é apenas um dos vários pontos que precisamos nos preocupar para reduzir a superficie de ataque na empresas. Os investimentos em segurança não podem se limitar, apenas, a uma excelente solução para garantir que nao haja ataques vindos da Internet.

 

Sua rede Interna está segura ?

 

Você consegue garantir que, agora, em sua rede somente máquinas que você conhece estão conectadas e utilizando seus recursos e servidores ? Agora imagina esse cenário em uma empresa onde existem vários prédios, milhares de pontos de rede, centenas de Access Point (AP) para acesso Wireless, dezenas de empresas parceiras trabalhando em projetos conjunto e etc.

Server and Domain isolation(usando IPSEC e group policy), essa é a solução para endereçarmos problemas como esse.

Um cenário típico de aplicação dessa solução é o que encontramos na figura 1.

Nesse exemplo temos a necessidade de garantir o acesso aos servidores e dados da rede interna somente para máquina confiáveis, maquinas do nosso domínio.

O objetivo secundário é de isolar, dentro da rede já protegida criada pelo IPSEC, o acesso ao servidor de código fonte a um grupo restrito de máquinas e com o máximo de segurança, no caso com todo o tráfego criptografado.

 Server and Domain Isolation
Figura 1 – Domain Isolation Diagram

Como o Internet Protocol Security (IPSEC) funciona na camada de rede do protocolo, abaixo da camada de aplicação, o trafego pode ser autenticado ou autenticado e criptografado, de maneira centralizada com group policy no Active Directory.

A política de IPSEC é composta por um conjunto de regras, conforme diagrama abaixo (figura 2)

clip_image002

Figura 2 – Diagrama IPSEC

Para atender o cenário descrito anteriormente e seguindo a lógica do diagrama acima seguimos a seguinte seguencia para implementar a solução.

Primeiro passo - Criação da IPSEC Policy, neste ponto estamos criando as policies no AD que serão distribuídas à todas as máquinas em seu ambiente

image

Segundo passo – Difinir a sequencia de aplicação da policies

image 

Terceiro passo – Criação dos grupos Universais, onde recebão os objetos afetados pelas policies

image 

Quarto passo – Criação dos Filtros de IP, já dentro do IPSEC Security Policies

image 

Quinto passo – Criação das ações das políticas de IPSEC

image 

E as novidades ?

No Windows Server 2008 e Windows Vista muita melhorias forão acrescentadas à implementação de IPSec da Microsoft.

Agora temos além a autenticação por máquina também temos a autenticação por usuários. A interface foi toda reformulada e está muito mais simples de ser implementada políticas de IPsec, agora podemos em algumas poucas políticas resolver os mesmos cenários que hoje necessitamos criar dezenas de regras do IPSEC.

Conclusão

Podemos concluir que a maneira como enxergamos o perimetro de rede está mudando, alguns autores até arriscam dizer que a DMZ está “morrendo”.

Agora as Empesas são Globais, conectadas fisicamente e lógicamente a fornecedores, consultores, usuários remotos e etc.

Cada vez mais o conceito de proteção somente na fronteira de sua rede com Firewall ( Edge ) não cabe mais às necessidade de segurança das Empresas.

 

Sua rede está preparada ?

image

, , , , , , ,

BlogWorld !

4. October 2008
Comments (0)

Oi Pessoal,

Tenho ensaiado minha entrada no mundo dos blogs a algum tempo mas somente agora consegui me organizar para me aventurar nesse mundo :)

Pretendo passar minhas experiências e opiniões a respeitos dos mais diversos assunto, sempre com o foco em Infra-estrutura e Segurança, e espero que, de alguma forma, as informações que irei postar possam ajuda-los da mesma forma que outros Blogs me ajudam no meu dia a dia

Abraços !

Rodrigo Immaginario

, , , ,