Protegendo uma rede de clientes não gerenciados

[helldanger1]

Introdução




Bem-vindo a este documento da coleção Orientações de segurança para empresas de médio porte. A Microsoft espera que as informações a seguir o ajudem a criar um ambiente de computação mais seguro e produtivo.
Sinopse

No ambiente preocupado com a segurança de hoje, uma abordagem aprofundada à proteção da rede das empresas de médio porte e dos dados nela residentes é uma questão muito complexa. Não basta mais confiar em defesas de perímetro e conjuntos antivírus por si sós para proteger os ativos de rede e as informações confidenciais. As organizações e os profissionais de segurança agora entendem que os riscos internos à rede, sejam intencionais ou acidentais, têm o potencial de ser ainda mais perigosos do que as ameaças externas.

Para eliminar o grande número de vulnerabilidades que representam riscos às empresas de médio porte, investimentos significativos de tempo e recursos foram feitos em áreas como gerenciamento de patches, soluções antimalware e iniciativas de gerenciamento de identidade. Para garantir que tais investimentos sejam usados universalmente na empresa e para maximizar a eficácia do investimento, a empresa precisa encontrar maneiras de fazer cumprir com eficiência as suas diretivas de segurança.

Computadores não autorizados são sistemas que não são considerados riscos substanciais porque não há como determinar se eles cumprem as diretivas de segurança estabelecidas. Computadores não autorizados podem representar um problema para administradores de sistema e profissionais de segurança. Sistemas sem conformidade apresentam diversos riscos, desde sua vulnerabilidade a infecção por malware até a possibilidade de serem plataformas potenciais para um ataque. Tradicionalmente, sempre foi difícil gerenciá-los e torná-los compatíveis.

Este documento discute alguns métodos eficazes que podem ser usados para ajudar a fazer cumprir a conformidade com diretivas de segurança. Esta abordagem maximiza os benefícios dos esforços de gerenciamento do risco e acrescenta uma camada extra de segurança às redes das empresas de médio porte que ajudará a reduzir os riscos associados aos computadores não confiáveis e não gerenciados.

 

[helldanger1]

Visão geral

Este documento consiste em quatro seções principais que concentram-se em detalhes para ajudar o leitor a compreender melhor os conceitos e princípios associados à proteção da rede de uma empresa de médio porte de computadores não gerenciados. Essas quatro seções principais estão resumidas a seguir:
Introdução

Esta seção fornece uma sinopse do documento, assim como uma visão geral da estrutura do documento e algumas informações relativas ao seu público-alvo.
Definição

Esta seção fornece alguns detalhes e definições que serão úteis à compreensão das soluções discutidas no documento.
Desafios

Esta seção descreve alguns dos problemas comuns enfrentados por uma empresa de médio porte ao determinar como ajudar a se proteger contra computadores não gerenciados e não confiáveis. Ela funciona como um plano de fundo geral dos problemas abordados por este documento.
Soluções

Esta seção discute soluções que ajudam a abordar os desafios apresentados por computadores não gerenciados por meio da avaliação de possíveis abordagens e da discussão de problemas relacionados ao desenvolvimento de planos para a solução do problema. Ela também fornece algumas informações sobre métodos de implantação e gerenciamento.

 

[helldanger1]

Quem deve ler este guia

Este documento técnico destina-se a ajudar os profissionais de tecnologia e os gerentes técnicos a compreender e tomar decisões informadas sobre como ajudar a proteger a rede de uma empresa de médio porte contra as ameaças apresentadas por dispositivos não gerenciados. Ainda que o público não técnico possa usar este documento para compreender melhor este problema de segurança específico, o conhecimento básico dos seguintes itens é útil à compreensão total e à aplicação do assunto discutido neste documento.

As tecnologias específicas discutidas incluem:

Autenticação IEEE 802.1X

Diretivas IPsec

Segurança de rede

Microsoft® Systems Management Server 2003

Microsoft Windows Server™ 2003

Serviço de diretório do Active Directory®

Microsoft Operations Management Server

Microsoft IAS (Serviço de autenticação da Internet)

Autenticação RADIUS

 

[helldanger1]

Definição

Este guia foi projetado para usar o modelo de processo MOF (Microsoft Operations Framework), além das funções de gerenciamento do serviço (SMFs) de Administração de Segurança MOF.

Em especial, as soluções apresentadas neste documento recomendam o uso de uma abordagem de processo contínuo, em vez de uma abordagem de implantação linear, para ajudar a melhorar a segurança da rede contra ameaças apresentadas por computadores não gerenciados.

Especificamente, a aplicação dessas soluções deve implicar nas etapas mostradas na seguinte figura:

Figura 1. Aplicando MOF

Como mostra a figura, quaisquer respostas aos problemas de segurança apresentados por sistemas não gerenciados devem ser processos contínuos de teste e ajuste, e não apenas questões de planejamento e implantação. As ameaças que podem afetar a rede de uma empresa de médio porte estão sempre mudando, e os sistemas que protegem a rede de uma empresa precisam se adaptar continuamente a tais ameaças.

A aplicação das soluções discutidas neste documento atende à SMF de Gerenciamento de Segurança, descrita a seguir:

Avaliar a exposição da empresa e identificar os ativos a serem protegidos.

Identificar maneiras de reduzir os riscos apresentados por dispositivos não protegidos em níveis aceitáveis.

Desenvolver um plano para atenuar os riscos à segurança.

Monitorar a eficiência dos mecanismos de segurança.

Reavaliar a eficácia e os requisitos de segurança periodicamente.


Para obter mais informações sobre o MOF, consulte o site Microsoft Operations Framework no Microsoft TechNet, em Microsoft Operations Framework 4.0.

Para obter mais informações sobre a SMF de Gerenciamento de Segurança, consulte a página Funções de gerenciamento de segurança, disponível em Microsoft Operations Framework 4.0.

O gerenciamento de riscos é o processo de determinação do nível de risco aceitável para uma organização, de avaliação dos riscos atuais, da descoberta de maneiras de atingir o nível de risco aceitável e do gerenciamento de riscos. Embora este documento lide com alguns conceitos de gerenciamento de riscos, uma discussão aprofundada é um assunto independente que merece um foco dedicado. Para obter mais informações sobre a análise e a avaliação de riscos, consulte o Guia de Gerenciamento de Riscos de Segurança em Security Risk Management Guide.

 

[helldanger1]

Desafios

Alguns dos desafios envolvidos na proteção contra computadores não gerenciados incluem:

Como evitar que computadores não gerenciados acessem recursos da rede.

Como manter computadores móveis em conformidade com atualizações e diretivas.

Como fazer cumprir diretivas de segurança estabelecidas em computadores que se conectam remotamente à rede.

Como proteger uma rede contra dispositivos sem fio não autorizados.

Como detectar sistemas não gerenciados, como laptops de fornecedores ou dispositivos pessoais, quando eles se conectam à rede.

Como se proteger contra outros dispositivos móveis, como PCs de mão ou de bolso.

 

[helldanger1]

Soluções

A seção "Desafios" relacionou vários fatores a considerar para proteção contra as ameaças que computadores não autorizados representam para uma rede. Além de defender a rede cabeada interna tradicional, deve-se também adotar medidas para ajudar a proteger a rede sem fio e quaisquer caminhos de acesso remoto. Para abordar todas as maneiras possíveis para um computador não autorizado se conectar a uma rede, a solução precisa ter escopo abrangente.

As discussões na seção a seguir tratam os desafios listados, lidando com as seguintes abordagens:

Uso do domínio IPsec e do isolamento de servidor para evitar que computadores não gerenciados acessem os recursos da rede.

Uso da quarentena VPN para fazer cumprir as diretivas de segurança em computadores que se conectam remotamente à rede.

Uso da autenticação 802.1X para se proteger contra dispositivos sem fio não confiáveis.

Uso de SMS para detectar computadores não gerenciados quando estes se conectam à rede.


Observação Este documento parte do princípio de que o leitor já implementou processos para garantir que computadores membros residentes nas estruturas de domínio da empresa de médio porte estejam em conformidade com quaisquer requisitos de segurança e patches estabelecidos, e que está pesquisando métodos para fazer cumprir a conformidade e proteger-se contra dispositivos sem conformidade. Está além do escopo deste documento discutir como fazer com que os computadores sejam compatíveis ou como usar mecanismos de atualização de segurança automáticos, como WSUS ou os recursos de gerenciamento de patches do SMS.
Avaliação

Esta seção apresenta algumas respostas potenciais para ajudar a abordar o problema apresentado por computadores não gerenciados às empresas de médio porte. Ela também discute algumas das decisões que precisam ser tomadas antes da escolha de qualquer uma dessas respostas. Qualquer das respostas discutidas ajudará a melhorar o nível de segurança da rede de uma empresa de médio porte. No entanto, quando implementadas como parte de uma abordagem abrangente de defesa em profundidade, as respostas combinadas criam uma resposta mais sofisticada aos problemas discutidos na seção "Desafios".

 

[helldanger1]

Usando IPsec para isolar domínios e servidores

O isolamento físico de computadores e redes não é uma idéia nova. Ele vem sendo praticado de muitas maneiras ao longo dos anos, geralmente onde redes de desenvolvimento e de teste estão envolvidas. Entretanto, as abordagens de isolamento físico mais antigas não se aplicam bem à tarefa de proteger sistemas gerenciados de dispositivos não gerenciados potencialmente comprometidos. Isso é verdadeiro especialmente nos ambientes de rede de empresas modernas, onde a computação móvel está aumentando seu domínio e a demanda por soluções automatizadas e flexíveis é crescente. A tabela a seguir descreve os métodos comuns de isolamento físico que eram usados no passado, assim como as dificuldades associadas ao seu uso nesta capacidade.

Tabela 1. Abordagens ao isolamento da rede
Camada OSI
Abordagem
Problemas

Camada 1
Usar cabos separados para segmentos que precisam ser isolados da rede confiável.
Custos associados ao uso de novos cabos para cada nova conexão.

Aumento da sobrecarga administrativa para gerenciar o abandono de novos cabos para movimentação de usuários.

Falta de flexibilidade e dificuldade de gerenciamento à medida em que a empresa cresce.

Probabilidade crescente de omissão e erro devido aos altos requisitos de gerenciamento.


Camada 2
Usar VLANs para criar sub-redes lógicas isoladas da rede confiável.
Aumento do custo associado à atualização das estruturas de switch para oferecer suporte às VLANs.

Maior sobrecarga administrativa para controle de mudanças na rede, movimentação de usuários e resposta a solicitações de conexão de convidados.

Passível de omissão e erro quando várias movimentações de usuário ocorrem ou quando dispositivos móveis são usados.

 

[helldanger1]

Como essa tabela demonstra, a rede da empresa moderna requer uma solução mais flexível para ajudar a fazer cumprir a conformidade com os padrões de segurança que ajudam a proteger contra sistemas não gerenciados. Apesar de haver algumas soluções de terceiros para o problema, elas envolvem instalações do lado do cliente em todas as estações de trabalho gerenciadas e adicionam uma camada de complexidade à rede. Felizmente, as versões atuais do Microsoft Windows têm uma funcionalidade incorporada que ajuda a solucionar esse problema sem a necessidade de instalação de softwares adicionais e de curvas de aprendizado administrativo.

O isolamento de servidor e domínio da Microsoft permite aos administradores de TI restringir as comunicações TCP/IP aproveitando a Diretiva de Grupo e o IPsec incorporados do Active Directory, o que resulta nos seguintes benefícios:

Usa a camada da rede do modelo OSI, o que significa que pode se expandir pelos limites de switch e roteador.

Independente das estruturas de switch e das limitações físicas da rede.

Reduz o custo por aproveitar os recursos de autenticação incorporados dos computadores baseados em Windows.

É automatizado e não requer a manutenção constante associada a mudanças na rede e à movimentação de usuários.

Fornece a capacidade não apenas de autenticar computadores confiáveis, mas também de criptografar as comunicações entre sistemas confiáveis.

Faz cumprir diretivas de segurança recusando conexões de dispositivos não gerenciados.

Auditoria e gerenciamento de recursos aprimorados.

Capacidade de isolar rapidamente recursos específicos na ocorrência de um ataque.


As preocupações típicas em relação ao uso do IPsec para proteger comunicações foram abordadas por recentes desenvolvimentos em resposta a tais problemas. Especificamente, NAT (Conversão de Endereço de Rede) não é mais uma preocupação devido aos recursos de passagem de NAT disponíveis nas versões atuais do Microsoft Windows, como Windows Server 2003 e Microsoft Windows XP com Service Pack 2 (SP2). Além disso, o suporte para plataformas não compatíveis com IPsec é possível via listas de isenção configuráveis e/ou uma exceção de retorno para permitir a comunicação em texto não criptografado com tais sistemas.

Soluções de isolamento de domínio e servidor, conforme apresentadas neste documento, são usadas até mesmo na própria rede interna da Microsoft. Além de recomendar essas soluções aos clientes, a Microsoft depende do nível adicional de segurança fornecido por esta solução e tem um compromisso de longo prazo de oferecer suporte a este método de tornar as redes altamente seguras e gerenciáveis a fim de proporcionar uma computação confiável.

 

[helldanger1]

Entendendo o isolamento de domínio e servidor

Em poucas palavras, a criação de uma rede isolada envolve a separação de vários tipos de computadores na rede de uma empresa, de acordo com o tipo de acesso que devem ter. Neste caso, os vários tipos estão em dois conjuntos: gerenciados e não gerenciados. Duas condições básicas devem ser atendidas a fim de se atingir um nível funcional de isolamento de rede. Essas condições são:

Os computadores que residem na rede isolada podem iniciar uma comunicação com todos os computadores de toda a rede, inclusive com aqueles que residem fora da rede confiável.

Os computadores que residem fora da rede isolada podem iniciar uma comunicação somente com outros computadores de fora da rede confiável. Eles não podem iniciar uma comunicação com computadores localizados dentro da rede confiável.


O isolamento de servidor e domínio IPsec aproveita estruturas de domínio existentes usando configurações de Diretiva de Grupo. Tudo o que é necessário à criação de uma rede isolada já existe em computadores que usam Windows XP, Windows 2000 Server ou Windows Server 2003. Quando as configurações necessárias de Diretiva de Grupo tiverem sido definidas, o processo de inserção de um novo computador na rede isolada envolve simplesmente a adição desse computador ao domínio.

 

[helldanger1]

Figura 2. Isolamento de rede usando domínios do Active Directory

Conforme ilustrado na figura anterior, qualquer computador que não seja membro do domínio é considerado não confiável e, portanto, reside fora da rede isolada. Qualquer sistema que resida fora da rede isolada não pode iniciar uma comunicação IPsec e, portanto, não pode estabelecer uma conexão com nenhum sistema localizado dentro do domínio isolado. Entretanto, os membros do domínio isolado estão livres para estabelecer uma comunicação em texto não criptografado com os dispositivos de fora da rede isolada.

Obviamente, muitas organizações têm computadores e servidores que, ainda que gerenciados e confiáveis, não existem em um domínio do Active Directory ou não podem usar o IPsec por diversos motivos, mas ainda assim têm uma necessidade comercial de se comunicar com sistemas localizados dentro da rede isolada. Para solucionar esse dilema, outro grupo isolado (ou grupo de limite) pode ser criado usando-se listas de isenção, conforme mostrado na figura a seguir.

 

[helldanger1]

Figura 3. Isolamento de rede e grupos de limite

Um modelo de isolamento de rede como este possibilita ajudar a reduzir o monitoramento de segurança de uma rede comercial. No entanto, esta solução por si só não pode garantir que os sistemas confiáveis permaneçam em conformidade com os padrões que os tornam confiáveis. Esta não é uma solução de segurança de rede abrangente por si só. Ela é uma parte útil de um processo de segurança maior que, em conjunto com outras soluções, pode ajudar a reduzir os riscos enfrentados pela rede de uma empresa de médio porte. Especificamente, quando usada com outras soluções de segurança, como WSUS, SMS, MOM, entre outras, é possível usar este método de isolamento para ajudar a fazer cumprir a conformidade com a diretiva de segurança na rede isolada.

Outras soluções de segurança baseadas no Active Directory possibilitam a automação de tarefas que ajudam a garantir a conformidade contínua com a diretiva de segurança na rede isolada confiável. No entanto, um grupo de limite dependerá de diferentes métodos para garantir que os computadores nessa rede não se tornem pontos fracos na solução de rede isolada. Tais computadores precisam ser validados como sendo compatíveis antes de serem adicionados ao grupo de limite, e precisam ter diretivas e métodos específicos associados que garantam sua conformidade contínua com os requisitos de diretiva de segurança para sistemas confiáveis.
Entendendo o IPsec

IPsec é um padrão de segurança do Protocolo de Internet que oferece um mecanismo geral de segurança da camada IP baseado em diretiva que é ideal para o fornecimento de autenticação host a host. Diretivas IPsec são definidas de modo a ter regras e configurações de segurança que controlam o fluxo do tráfego de entrada e de saída em um sistema de host. Essas diretivas são gerenciadas centralmente no Active Directory por meio de objetos de Diretiva de Grupo (GPOs) para atribuição de diretivas a membros do domínio. Elas proporcionam a capacidade de ajudar a estabelecer comunicações seguras entre membros do domínio, o que consiste na base desta solução.

O IPsec usa o protocolo de negociação IKE (Internet Key Exchange) para negociar opções entre dois hosts e determinar como se comunicar de maneira segura com o IPsec. Os acordos feitos entre dois hosts e os vários parâmetros que definem esse método de negociação são chamados associações de segurança ou SAs. O Microsoft Windows pode usar um dos três métodos IKE a seguir:

Protocolo de autenticação Kerberos versão 5

Certificados digitais X.509 com pares de chaves RSA correspondentes

Chaves pré-compartilhadas usando frases secretas


Observação Embora o PKI possa ser usado como um método de autenticação, a integração com a autenticação de domínio do Windows 2000 (Kerberos) no protocolo de negociação IKE torna o PKI uma abordagem não recomendada.

A negociação IKE do Windows pode ser configurada para permitir a comunicação com computadores que não respondam à solicitação de negociação IKE. Essa funcionalidade é chamada retorno para limpo e, além de ser essencial durante um desenvolvimento, ela também é útil neste contexto porque permite que sistemas no grupo de limite se comuniquem com membros da rede isolada. Qualquer comunicação que não possa ser protegida pelo IPsec é denominada uma associação de segurança temporária e é registrada como um evento bem-sucedido de auditoria no Log de segurança.

O IPsec pode desempenhar outras funções úteis além da autenticação, inclusive a capacidade de tratar a integridade e a criptografia do tráfego da rede usando as opções AH (Authentication Header) e ESP (Encapsulating Security Payload). Ainda que os AHs possam ser usados para ajudar a garantir que um pacote não tenha sido modificado em trânsito, o uso de cabeçalhos para executar essa tarefa a torna incompatível com a NAT (Conversão de Endereço de Rede). O ESP, normalmente usado para criptografar tráfego, pode ser usado no modo de criptografia nula (ESP/nulo), o que permite uma verificação da integridade de dados compatível com NAT.

O IPsec também pode funcionar em dois modos diferentes: transporte ou túnel. O modo de transporte IPsec é o método recomendado para proteger o tráfego entre dois hosts. Ele funciona pela simples inserção de um cabeçalho após o cabeçalho IP original e, então, pela criptografia do restante do pacote com AH ou ESP. O modo de túnel é normalmente usado para túneis VPN de gateway a gateway em que os pacotes originais e os cabeçalhos IP são encapsulados totalmente e um novo cabeçalho IPsec substitui o cabeçalho IP original.

Para obter mais informações, consulte a página Isolamento de servidor e domínio da Microsoft (a página pode estar em inglês) em www.microsoft.com/technet/itsolutions/network/sdiso/default.mspx.

 

[helldanger1]

Defesa em profundidade

Figura 4. Modelo de defesa em profundidade com isolamento lógico

A figura anterior demonstra como o isolamento lógico se ajusta ao modelo de defesa em profundidade. Embora o isolamento de domínio e servidor pareça concentrar-se na proteção do computador host, como faria um firewall baseado em host, ele reside no território das comunicações de rede com seu uso do IPsec. Embora esta solução abarque a lacuna entre o host e a rede interna, ela não reside inteiramente em nenhum dos dois conjuntos por ser uma solução de ‘isolamento lógico’. Portanto, a seguinte funcionalidade está fora de seu escopo:

O isolamento lógico não pode proteger dispositivos de rede, como roteadores.

O isolamento lógico não pode proteger links de rede, como o que WPA 802.11i faz para criptografia sem fio e EAP-TLS 802.1x faz para controle de acesso sem fio.

O isolamento lógico não pode oferecer segurança para todos os hosts na rede, porque regula somente os sistemas com uma credencial de máquina confiável e uma diretiva IPsec baseada em domínio.

O isolamento lógico não se ajusta bem e não tem um método automaticamente configurável que possa proteger o caminho no nível do aplicativo, como faz o HTTPS e o SSL para os aplicativos da Web.


É importante compreender e levar em consideração o papel que o isolamento lógico desempenha em uma solução abrangente de defesa em profundidade. Por si só, essa solução não pode proteger todos os aspectos da infra-estrutura de uma empresa de médio porte. No entanto, quando usada como parte de uma solução abrangente, ela pode desempenhar um papel muito valioso.

 

[helldanger1]

Usando os Serviços de Quarentena VPN para proteger-se contra computadores remotos não gerenciados



Sistemas remotos que usam soluções VPN para acessar uma rede comercial apresentam problemas únicos de uma perspectiva de diretiva de segurança. A maioria das soluções de acesso remoto somente valida as credenciais de um usuário remoto, mas não verifica se o computador remoto está em conformidade com as diretivas de segurança. Esta abordagem de validação é um problema porque potencialmente nega os esforços de proteção da rede contra ameaças associadas a problemas como arquivos com assinatura antimalware desatualizada, níveis de atualização de segurança desatualizados, configurações de roteamento incorretas e falta de proteção de firewall adequada.

O Network Access Quarantine Control baseado no Microsoft Windows Server 2003 ajuda a eliminar esse problema atrasando o acesso remoto a uma VPN até que o estado da configuração do computador que está se conectando possa ser verificado como estando em conformidade com os padrões de diretiva de segurança atuais.

 

[helldanger1]

Entendendo os Serviços de Quarentena VPN

O Network Access Quarantine Control é um recurso fornecido com a família Windows Server 2003 que atrasa os serviços de acesso remoto normais até que os computadores que estão se conectando remotamente sejam examinados e validados por um script configurado pelo administrador. Normalmente, quando uma sessão remota é iniciada, o usuário é autenticado e o computador remoto recebe um endereço IP. A essa altura, porém, a conexão é colocada no modo de quarentena, em que o acesso à rede é limitado até que o script fornecido pelo administrador seja executado no computador remoto. Depois que o script tiver sido executado e tiver notificado o servidor de acesso remoto que o computador remoto está em conformidade com as diretivas de rede configuradas, o modo de quarentena é removido e o acesso à rede é concedido ao computador remoto.

Enquanto uma conexão remota está no modo de quarentena, as seguintes restrições podem se aplicar a ela:

Um conjunto de filtros de pacote de quarentena pode ser configurado para restringir o tipo de tráfego que o cliente pode iniciar ou receber.

Um timer de sessão em quarentena pode ser configurado para restringir o período em que um cliente pode permanecer conectado enquanto no modo de quarentena.


O Network Access Quarantine Control pode ser usado como parte de uma solução de segurança abrangente que auxilia no cumprimento das diretivas de segurança e ajuda a garantir que sistemas não confiáveis não possam se conectar a uma rede confiável. Entretanto, ele não é uma solução de segurança por si só e não pode evitar conexões de usuários mal-intencionados que obtiveram um conjunto válido de credenciais.

Observação O Network Access Quarantine Control não é o mesmo que a NAP (Proteção de Acesso à Rede), uma nova plataforma de cumprimento de diretiva que será incluída na família de sistemas operacionais Windows Server Longhorn, a ser lançada em breve. Para obter mais informações sobre a NAP, consulte o "Apêndice A: Proteção de Acesso à Rede" no final deste documento.

 

[helldanger1]

Componentes do Network Access Quarantine Control

Figura 5. Componentes do Windows Network Access Quarantine Control

A figura anterior ilustra os componentes típicos de uma solução de acesso remoto do Windows que usa o Network Access Quarantine Control. Esses componentes incluem:

Cliente de acesso remoto compatível com quarentena. Este componente é um computador que executa uma versão do Windows capaz de oferecer suporte a perfis CM criados com o Kit de Administração do Gerenciador de Conexões (CMAK), fornecido com o Windows Server 2003. As versões do Windows que oferecem esse suporte incluem Windows 98 Second Edition e mais recentes. Esses computadores clientes precisam ter um componente notificador instalado, um script dos requisitos de diretiva de rede e estar configurado para executar o script como uma ação pós-conexão.

Servidor de acesso remoto compatível com quarentena. Este componente é um computador com Windows Server 2003 executando o Roteamento e acesso remoto, que oferece suporte ao uso de um componente de escuta, aos atributos específicos ao fornecedor (VSAs) de RADIUS MS-Quarantine-IPFilter e MS-Quarantine-Session-Timeout, além de um componente de escuta instalado.

Servidor RADIUS compatível com quarentena. Este componente é opcional e é usado quando a autenticação RADIUS é configurada no servidor de acesso remoto que executa Windows Server 2003 e IAS para oferecer suporte aos VSAs de RADIUS MS-Quarantine-IPFilter e MS-Quarantine-Session-Timeout.

Recursos de quarentena. Esses componentes são os servidores e serviços que podem ser acessados pelo cliente remoto enquanto no modo de quarentena. Normalmente, eles consistem em servidores que fornecem serviços DNS, perfis CM ou provedores de atualizações de segurança para atualizar os clientes.

Banco de dados de contas. Normalmente, este componente é o domínio Active Directory onde a conta do usuário remoto está armazenada e onde as propriedades de discagem estão localizadas.

Diretiva de acesso remoto por quarentena. Esta diretiva é necessária para fornecer as condições necessárias à ocorrência de conexões por acesso remoto e para especificar os atributos MS-Quarantine-IPFilter ou MS-Quarantine-Session-Timeout.

 

[helldanger1]

Defesa em profundidade

Figura 6. Defesa em profundidade e Network Access Quarantine Control

Como mostra esta adaptação do modelo de defesa em profundidade da Microsoft, a quarentena VPN se estende por três camadas do modelo: host, rede interna e perímetro. Embora esta solução não proteja o cliente diretamente, ela ajuda a proteger os servidores contra ameaças que poderiam ser introduzidas por clientes remotos que não cumprem com as orientações de segurança. Ela também protege os clientes remotos indiretamente por garantir que eles cumpram com os requisitos de diretiva para funcionar eficazmente, o que incentiva a manutenção das atualizações em dia.

Além disso, esta solução melhora a proteção da rede propriamente dita contra os efeitos prejudiciais que os computadores não gerenciados podem criar quando não configurados corretamente, inclusive a propagação de malware, que pode ter efeitos nocivos ao desempenho da rede. Embora o perímetro possa parecer não estar relacionado porque esta solução não evita diretamente ataques de força bruta à VPN (que reside no perímetro), ele oferece outra camada de segurança que um invasor teria que enfrentar para obter acesso direto a recursos que residem na rede interna, mesmo que tal invasor tenha obtido credenciais de autenticação.

 

[helldanger1]

Usando a autenticação 802.1X para se proteger contra clientes sem fio não gerenciados

O uso do padrão 802.1X do IEEE (Institute of Electrical and Electronic Engineers) ajusta-se bem à tarefa de ajudar a defender redes sem fio contra o uso não autorizado. Em poucas palavras, a menos que um computador esteja configurado para ser autorizado para comunicar-se na rede, ele simplesmente não se comunicará. Embora essa solução funcione bem em redes sem fio, ela não é tão eficaz em redes cabeadas, ainda que seja possível usar esse padrão de tal maneira. Sua eficácia limitada é o motivo pelo qual este documento prescritivo recomenda uma abordagem combinada para a proteção da rede de uma empresa de médio porte. Usando uma combinação das soluções mais eficazes que ajudam a abordar cada aspecto de uma rede comercial típica, uma solução robusta de defesa em profundidade pode ser implementada.
Entendendo a autenticação IEEE 802.1X

A autenticação IEEE 802.1X é um mecanismo de controle de acesso baseado em porta que pode ser configurado para exigir autenticação mútua entre os clientes e uma rede. Quando ela é implementada, qualquer dispositivo que falhe na autenticação não poderá participar de nenhuma comunicação com a rede em questão.

O 802.1X oferece suporte ao EAP (Protocolo de Autenticação Extensível), que tem diversas variantes, inclusive três que contam com o suporte padrão original de versões atuais do Microsoft Windows:

EAP-MD5. Com o MD5, um servidor de autenticação envia um desafio para um cliente (suplicante) e o suplicante combina essa solicitação de desafio com seu próprio identificador e frase secreta. Essa resposta é transformada em um hash MD5 e enviada de volta ao servidor de autenticação, que descriptografa e compara a resposta com o desafio original. Se a resposta coincidir, a autenticação acontece. Este método não é seguro na maioria das implementações porque a senha propriamente dita é enviada e pode ser interceptada e descriptografada por terceiros.

EAP protegido. O EAP protegido (PEAP) usa um certificado do lado do servidor e informações de autenticação do cliente (como nomes de usuário e senhas) para estabelecer a autenticação mútua. A implementação da Microsoft deste padrão usa MS-CHAPv2, que depende de informações tradicionais de senha e conta de domínio e de um servidor RADIUS para estabelecer a autenticação. Este método é geralmente considerado suficientemente seguro para ambientes menores, que não podem arcar com os requisitos administrativos e de infra-estrutura adicionais resultantes do método EAP-TLS.

EAP-TLS. Com este método, um servidor de autenticação configura uma sessão TLS (Transport Layer Security) com o suplicante para enviar um certificado digital para o cliente. O suplicante valida esse certificado quando recebido e envia seu próprio certificado em resposta, que, por sua vez, é validado pelo servidor de autenticação. Desde que cada lado confie no certificado do outro, a autenticação acontece. Esta abordagem se ajusta melhor a redes que podem oferecer suporte a uma infra-estrutura PKI e a servidores de autenticação RADIUS. Ela também é a opção mais segura disponível para redes sem fio, especialmente quando combinada com o uso do padrão WPA2 802.11i.


Antes da autenticação de um cliente, ele precisa confiar no autenticador (um ponto de acesso sem fio ou switch de rede) até ser autenticado pelo servidor responsável pela autenticação. Portanto, durante o handshake de autenticação inicial, toda a comunicação é encaminhada pelo autenticador entre o suplicante e o servidor de autenticação. Quando a autenticação é concluída, o suplicante pode acessar a rede diretamente.

 

[helldanger1]

Por que o 802.1X não é eficaz em redes cabeadas

Embora o 802.1X geralmente ajude a tratar a segurança de redes sem fio, há alguns problemas associados à implementação deste método para a proteção de redes cabeadas. O primeiro problema é que, embora o 802.1X tenha vários objetos de Diretiva de Grupo do Active Directory que oferecem suporte à sua implementação em redes sem fio, ele não oferece suporte à autenticação 802.1X em redes cabeadas. Portanto, o 802.1X exigiria uma sobrecarga considerável de gerenciamento para tal implementação. Além disso, muitos switches, dispositivos de impressão em rede e outros dispositivos de infra-estrutura em rede não oferecem suporte ao 802.1X, o que muito provavelmente implicaria em altos custos com atualizações a serem implementadas para oferecer suporte a esta implementação na maioria das redes de empresas de médio porte.

Além dos custos administrativos e de infra-estrutura associados a tal implementação, há também algumas falhas na segurança introduzidas quando este padrão voltado para ambientes sem fio é usado em redes cabeadas. Por exemplo, como a autenticação 802.1X ocorre somente quando uma conexão é estabelecida e hubs estão visíveis ao 802.1X, tudo o que um invasor precisaria fazer é conectar um hub à rede interna, juntamente com um computador autenticado e um computador “sombra” com o qual conduzir o ataque.

Observação Essas desvantagens e vulnerabilidades específicas não afetam as redes sem fio. Esses problemas com a segurança do 802.1X ocorrem somente quando ele é usado em redes cabeadas.

Esses problemas são o motivo pelo qual o IPsec é recomendado para o isolamento de domínio e servidor em vez do 802.1X. Entretanto, essa recomendação não significa que não há lugar para o 802.1X na rede de uma empresa de médio porte. Como afirmado anteriormente, o 802.1X é uma ferramenta valiosa que ajuda a solucionar problemas de segurança sem fio e que se torna ainda mais segura com a adição de uma solução de isolamento de rede baseada em IPsec.

 

[helldanger1]

Defesa em profundidade

Figura 7. Defesa em profundidade com segurança sem fio 802.1X

Como mostra a figura anterior, a segurança sem fio usando a autenticação 802.1X ocupa a camada de rede do modelo de defesa em profundidade. Embora possa parecer que a segurança sem fio também se estenderia pelo perímetro, as redes sem fio são, em realidade, uma parte da rede local, enquanto o perímetro lida mais com redes externas, como a Internet. Algumas partes dos métodos de segurança sem fio têm componentes de host, mas a segurança sem fio não foi projetada para proteger o host diretamente.
Usando SMS para detectar e corrigir sistemas não gerenciados

O Microsoft SMS (Systems Management Server) 2003 é usado com freqüência para gerenciar computadores na rede, manter informações de inventário de ativos e distribuir softwares e atualizações para manter a conformidade com as diretivas de segurança e manter a semelhança entre a instalação de software e plataforma. A funcionalidade de descoberta e inventário de rede do SMS 2003 está dentro do escopo deste documento porque fornece um método que pode ajudar a detectar sistemas não confiáveis quando eles se conectam à rede. Essa funcionalidade também oferece uma maneira de ajudar na correção, dependendo das diretivas implementadas como resposta ao uso de um computador não gerenciado.

Este documento parte do pressuposto de que o leitor já usou o SMS e outros métodos para obter a conformidade dos computadores membros do domínio com as diretivas de segurança, o que inclui estar informado sobre todas as atualizações de segurança. Portanto, discussões referentes ao gerenciamento de patches usando o SMS 2003 e outras ferramentas estão além do escopo deste documento. Para obter mais informações sobre esses tópicos, assim como outras informações relacionadas ao SMS, consulte o acelerador da solução Gerenciamento de patches usando o Systems Management Server 2003 (a página pode estar em inglês) em Microsoft Solution Accelerators ou a home page do Microsoft Systems Management Server em Systems Management Server Home.
Descobrir e documentar ativos existentes

Para empresas que já tenham implementado o SMS, a documentação de ativos existentes provavelmente já foi concluída e o inventário dos sistemas gerenciados e não gerenciados deve estar completo. Tal inventário deve conter informações sobre os requisitos e procedimentos de atualização de segurança para computadores que não são gerenciados pelo SMS, seja devido ao projeto ou porque não são agentes em funcionamento desse tipo de cliente. Esses computadores não gerenciados podem incluir dispositivos em um perímetro de segurança (também conhecido como DMZ, zona desmilitarizada e sub-rede filtrada), computadores de teste ou dispositivos autônomos.

É importante contar com uma lista bem documentada dos dispositivos que não são gerenciados pelo SMS, não somente pelos requisitos de segurança, mas porque essa lista precisa ser comparada com quaisquer novas informações de inventário para se determinar se sistemas recentemente descobertos são autorizados ou desconhecidos. Para manter essas listas atualizadas, é importante ter um processo em uso para a adição de novos sistemas não gerenciáveis à rede comercial, o que inclui não somente as informações de identificação, mas também o processo envolvido na manutenção dos sistemas seguros, assim como atribuições de propriedade.

Embora o SMS possa não ser capaz de reunir muitas informações sobre esses sistemas não gerenciados além de um endereço IP e um nome, essas informações por si sós com freqüência bastam para determinar se novos dispositivos na rede são autorizados ou não.

 

[helldanger1]

Desenvolvimento

A seção "Avaliação" mostrou que uma mescla de diferentes soluções que abordam funções específicas na rede de uma empresa de médio porte é a abordagem mais abrangente para ajudar a defender essa rede. O isolamento de domínio e servidor abrange a rede cabeada para garantir que somente computadores conhecidos e gerenciados possam acessar os recursos confiáveis. A Quarentena VPN garante que sistemas remotos que se conectam apenas ocasionalmente à rede local permaneçam em conformidade com as diretivas de segurança. A autenticação 802.1X protege a rede sem fio, para que somente máquinas autorizadas possam estabelecer conexões. Finalmente, o SMS é usado para ajudar a manter os computadores confiáveis atualizados e descobrir computadores não autorizados não confiáveis quando eles se conectam à rede. Todas essas soluções se combinam para ajudar a proteger uma rede contra conexões e computadores não autorizados.

Além de discutir os requisitos para a implementação dessas soluções, esta seção também tratará alguns dos problemas potenciais que precisam ser abordados para ajudar a garantir que cada solução seja a abordagem mais apropriada para cada ambiente de empresa de médio porte.
Usando IPsec para isolar domínios e servidores

O desenvolvimento de um plano para implementar o isolamento de domínio e servidor baseado em IPsec envolve determinar se essa solução é viável ou não para um determinado ambiente de rede e reunir informações de pré-requisitos necessárias ao desenvolvimento de um plano de implementação. O conceito de isolamento de rede IPsec foi apresentado na seção "Avaliação" deste documento. Agora que os benefícios dessa abordagem são conhecidos, é possível ponderá-los em relação a quaisquer problemas possíveis que possam ser associados com a implementação. Esta seção discutirá alguns problemas da implementação do isolamento de rede baseado em IPsec, assim como os requisitos dessa implementação, a fim de ajudar o processo de tomada de decisão.
Identificando a arquitetura da rede

Visto que o IPsec é uma camada do próprio Protocolo de Internet, uma compreensão detalhada da infra-estrutura atual da rede e do fluxo do tráfego é essencial ao sucesso da implantação desta solução. Embora as informações sobre os esquemas de endereçamento IP, os layouts de sub-rede e os padrões de tráfego da rede sejam componentes importantes que devem ser identificados, uma documentação detalhada da segmentação da rede e um modelo do fluxo atual do tráfego da rede são absolutamente essenciais ao sucesso do desenvolvimento e da implantação de um plano eficaz de isolamento de rede.

Observação Está além do escopo deste documento discutir os detalhes da documentação do ambiente de rede. A criação da documentação é vital ao sucesso de qualquer iniciativa abrangente de segurança de rede, inclusive esta. Portanto, se essa documentação não existir, a implementação efetiva de projetos como este deve ser considerada um risco exagerado até que a documentação tenha sido concluída.

A documentação da arquitetura de rede deve refletir com precisão os detalhes atuais com relação às seguintes informações:

Detalhes e localizações de firewalls e balanceadores de carga

Informações sobre dispositivos de rede, inclusive tamanho da RAM, marca/modelo e configurações de MTU

Relatórios de tráfego de rede e de utilização

Uso da NAT

Segmentação VLAN

Links de rede para dispositivos

Informações do IDS (sistema de detecção de invasões)