Rodrigo Immaginario

O modelo tradicional, figura abaixo, usado para "garantir" a segurança de um ambiente tinha como ponto principal isolar o acesso entre sua rede e a Internet com o uso de um Firewall.

Entretanto a realidade atual é um pouco mais complexa. O aumento das necessidades de interconexões entre redes, devices e etc, está forçando a nos preocupar na segurança mais próxima do cliente (host), vocês já devem ter ouvido falar em "Defesa em Profundidade"...

 

Aproximadamente 4 anos atrás nós iniciamos um projeto para aumentar a segurança física e lógica da nossa rede e dados.

 

Eu gosto de pensar nesse projeto como um projeto de "escopo aberto", já que nós precisamos, constantemente, nos atualizar com as necessidades de negócio da empresa, com as novas tecnologias e vulnerabilidades.

 

Nós começamos com um projeto de Isolamento de Servidores e Domínio (http://www.microsoft.com/casestudies/casestudy.aspx?casestudyid=49593 ), inicialmente utilizando Kerberos e, em seguida, passamos a utilizar a autenticação PKI, com a implementação de um outro Projeto de Certificação Digital.

 

Nesse estágio do projeto nós já tinhamos conseguido aumentar a segurança física da nossa rede, sem nenhum investimento extra com a compra de equipamento que suportam 802.1x, conseguimos aumentar a segurança dos dados mais sensíveis da rede, implementando a criptografia do tráfego e também conseguimos restringir o acesso a alguns servidores mais críticos para somente um grupo seleto de máquinas.

 

Como benefícios secundários da implementação dessa primeira etapa do projeto nós conseguimos aumentar a segurança do acesso via VPN em nossa rede, com a adoção de tokens para os usuários e também alteramos a autenticação de nossa rede Wireless para trabalhar com Certificados Digitais.

 

Mesmo com todos esse benefícios ainda tinhamos um grande problema, os notebooks da rede, como poderiamos garantir que esse notebooks não causariam algum tipo de vúlnerabilidade ao nosso ambiente ? Esse problema nós endereçamos no a implementação do NAP.

 

Na etapa de implementação do projeto do NAP, seguimos os seguinte passos :

I - Implementar o NAP, usando DHCP, em Reporting Mode;

II - Implementar o NAP, usando IPSEC, em Reporting Mode;

III - Implementar o Forefront Client Security Validator Health System; (Neste momento o anti-virus do nosso ambiente já havia sido migrado para o Forefront Client)

IV - Alterar o NAP para o modo de Enforcement;

( http://www.uvv.br/ITmomentum2007.wmv )

 

Nosso cenário atual é algo assim :

 

Mesmo com o Windows XP SP3 suportando o NAP nós ainda estamos em processo de migração das estações de trabalho, administrativas e acadêmicas, para o Windows Vista, onde nós esperamos darmos mais um passo no Projeto de Segurança minimizando nossos riscos.

 

Em breve eu vou compartilhar com vocês aqui os passos dessa migração e também os benefícios que temos conseguido ;)

 

 

Abraços,

Rodrigo Immaginario

nap, seguranca, technet, ipsec, server and domain isolation, wireless, vpn