Você saber quem está acessando sua rede ? Veja como o IPSEC, PKI e NAP podem ajudar !

Rodrigo ImmaginarioCISSPMVP Securityhttp://rodrigoi.org.br

Definição daFronteira

Controle de IdentidadesAcesso

Universal

Autenticação eAutorização

Saúde do Ambiente

Acesso de qualquer ponto

Fronteira

IPSec Policies

Active Directory

2-factor and biometricsClaims-based Security

IPv6

Network Access Protection

Anti-malware Per-application VPNand Firewalls

Novos Desafios de TIPolítica, não a topologia, define a fronteira

IndependentConsultant

PartnerOrganization

Home

Mobile Devices

USB Drive

• Não há fronteira para o fluxo da informação• Informação é compartilhada, armazenada e

acessada sem o controle do owner• Segurança do Host e da Rede são insuficientes

Cenário Atual

Oferecer acesso remoto seguroSuporta autenticação de máquinas e usuários com IPsecNetwork Access Protection com VPNs e IPsecSecure routing compartments aumenta o isolamento em conexões VPN

Proteger dádos sensíveis e a propriedade intelectualComunicação autenticada ponto-a-ponto nas comunicações de redeProteger a confidencialidade e integridade dos dados

Reduzir o risco de ameaças à segurança da redeUma camada adicional no “defense-in-depth”Reduzir a superficie de ataques em máquinas conhecidasAumentar o gerenciamento e a “saúde” dos clientes

O que fazer ?

Untrusted

Unmanaged/Rogue Computer

Domain Isolation

Active Directory Domain Controller

X

Server Isolation

Servers with Sensitive DataHR Workstation

Managed

Computer

X

Managed

Computer

Trusted Resource Server

Corporate Network

Define os limites lógicosDistribui políticas e credenciaisComputadores controlados podem se comunicarBloquei conexões de computadores não confiáveisRestringe acesso a dados críticos

Isolamento de Servidores e Domínio

Remediation

ServersExample: PatchRestricted

NetworkWindows

ClientPolicy

compliant

NPSDHCP, VPN

Switch/Router

Policy Serverssuch as: Patch, AV

Corporate Network

Not policy

compliant

O que é o Network Access Protection?

Integração Cisco e Microsoft

Health Policy Validation Health Policy Compliance

Limitar o acesso a rede Aumentar a segurança

Aumentar o valor do negócio

Network Access Protection - NAP

Not policy compliant

1

RestrictedNetwork

Cliente solicita o acesso a rede apresentando seu estado de saúde

1

4Se não houver conformidade o cliente é colocado em um VLAN restrita e terá acesso somente aos servidores de remediação (Repeat 1 - 4)

2 DHCP, VPN ou Switch/Router encaminha o status de saúde para o Microsoft Network Policy Server (RADIUS)

5 Havendo conformidade o cliente terá acesso completo a rede

MSFT NPS

3

Policy Serverse.g. Patch, AV

Policy compliant

DHCP, VPNSwitch/Router

3 Network Policy Server (NPS) valida de acordo com as políticas definida

2

WindowsClient

Fix UpServerse.g. Patch

Corporate Network5

4

NAP – Como funciona ?

MS Network Policy Server

Quarantine Server (QS)

Client

Quarantine Agent (QA)

Health policyUpdates

HealthStatements

NetworkAccessRequests

System Health Servers

Remediation Servers

HealthCertificate

Network Access Devices and Servers

System Health Agent (SHA)MS and 3rd Parties

System Health Validator

Enforcement Client (EC)(DHCP, IPSec, 802.1X, VPN)

ClientSHA – Health agents check client state

QA – Coordinates SHA/EC

EC – Method of enforcement

Remediation ServerServes up patches, AV signatures, etc.

Network Policy ServerQS – Coordinates SHV

SHV – Validates client health

System Health ServerProvides client compliance

policies

NAP - Arquitetura

Aqui está seu certificado de saúde.

Sim, pegue seu novo certificado

Acessando a rede X

Remediation Server

Policy Server

HCS

Posso ter um certificado de saúde?Aqui está meu SoH..

Cliente ok?

Não, precisa de correções

Você não possui um certificado de saúde. Faça sua atualizaçãoPreciso de

atualizações.

Aqui está.

Host

QuarantineZone

BoundaryZone

ProtectedZone

Exchange

NAP + IPSec

Segurança Gerenciamento

Interoperabilidade

Cryptography Next Generation

Granular Admin

V3 Certificates

Windows Server 2008 Server Role

PKIView

Novas GPOs

Suporte ao OCSP

Suporte ao IDP CRL

Suporte MSCEP

Active Directory Certificate Services

- Alterar autenticação do IPSEC de Kerberos para Certificados Digitais- Autenticação com 2 fatores (Token para acesso Administrativo)- Requisitos para diversas soluções de segurança (RMS, EFS, etc)- Segurança Wireless- Segurança Acesso Remoto- Interoperabilidade

PKI – Benefícios Secundários

- Direct Access- File Classification- RMS- Windows Firewall- Windows Defender- Bitlocker- UEFI- Applocker- Casos Reais !!!

E mais …