Você saber quem está acessando sua rede ? Veja como o IPSEC, PKI e NAP podem ajudar !
Rodrigo ImmaginarioCISSPMVP Securityhttp://rodrigoi.org.br
Definição daFronteira
Controle de IdentidadesAcesso
Universal
Autenticação eAutorização
Saúde do Ambiente
Acesso de qualquer ponto
Fronteira
IPSec Policies
Active Directory
2-factor and biometricsClaims-based Security
IPv6
Network Access Protection
Anti-malware Per-application VPNand Firewalls
Novos Desafios de TIPolítica, não a topologia, define a fronteira
IndependentConsultant
PartnerOrganization
Home
Mobile Devices
USB Drive
• Não há fronteira para o fluxo da informação• Informação é compartilhada, armazenada e
acessada sem o controle do owner• Segurança do Host e da Rede são insuficientes
Cenário Atual
Oferecer acesso remoto seguroSuporta autenticação de máquinas e usuários com IPsecNetwork Access Protection com VPNs e IPsecSecure routing compartments aumenta o isolamento em conexões VPN
Proteger dádos sensíveis e a propriedade intelectualComunicação autenticada ponto-a-ponto nas comunicações de redeProteger a confidencialidade e integridade dos dados
Reduzir o risco de ameaças à segurança da redeUma camada adicional no “defense-in-depth”Reduzir a superficie de ataques em máquinas conhecidasAumentar o gerenciamento e a “saúde” dos clientes
O que fazer ?
Untrusted
Unmanaged/Rogue Computer
Domain Isolation
Active Directory Domain Controller
X
Server Isolation
Servers with Sensitive DataHR Workstation
Managed
Computer
X
Managed
Computer
Trusted Resource Server
Corporate Network
Define os limites lógicosDistribui políticas e credenciaisComputadores controlados podem se comunicarBloquei conexões de computadores não confiáveisRestringe acesso a dados críticos
Isolamento de Servidores e Domínio
Remediation
ServersExample: PatchRestricted
NetworkWindows
ClientPolicy
compliant
NPSDHCP, VPN
Switch/Router
Policy Serverssuch as: Patch, AV
Corporate Network
Not policy
compliant
O que é o Network Access Protection?
Integração Cisco e Microsoft
Health Policy Validation Health Policy Compliance
Limitar o acesso a rede Aumentar a segurança
Aumentar o valor do negócio
Network Access Protection - NAP
Not policy compliant
1
RestrictedNetwork
Cliente solicita o acesso a rede apresentando seu estado de saúde
1
4Se não houver conformidade o cliente é colocado em um VLAN restrita e terá acesso somente aos servidores de remediação (Repeat 1 - 4)
2 DHCP, VPN ou Switch/Router encaminha o status de saúde para o Microsoft Network Policy Server (RADIUS)
5 Havendo conformidade o cliente terá acesso completo a rede
MSFT NPS
3
Policy Serverse.g. Patch, AV
Policy compliant
DHCP, VPNSwitch/Router
3 Network Policy Server (NPS) valida de acordo com as políticas definida
2
WindowsClient
Fix UpServerse.g. Patch
Corporate Network5
4
NAP – Como funciona ?
MS Network Policy Server
Quarantine Server (QS)
Client
Quarantine Agent (QA)
Health policyUpdates
HealthStatements
NetworkAccessRequests
System Health Servers
Remediation Servers
HealthCertificate
Network Access Devices and Servers
System Health Agent (SHA)MS and 3rd Parties
System Health Validator
Enforcement Client (EC)(DHCP, IPSec, 802.1X, VPN)
ClientSHA – Health agents check client state
QA – Coordinates SHA/EC
EC – Method of enforcement
Remediation ServerServes up patches, AV signatures, etc.
Network Policy ServerQS – Coordinates SHV
SHV – Validates client health
System Health ServerProvides client compliance
policies
NAP - Arquitetura
Aqui está seu certificado de saúde.
Sim, pegue seu novo certificado
Acessando a rede X
Remediation Server
Policy Server
HCS
Posso ter um certificado de saúde?Aqui está meu SoH..
Cliente ok?
Não, precisa de correções
Você não possui um certificado de saúde. Faça sua atualizaçãoPreciso de
atualizações.
Aqui está.
Host
QuarantineZone
BoundaryZone
ProtectedZone
Exchange
NAP + IPSec
Segurança Gerenciamento
Interoperabilidade
Cryptography Next Generation
Granular Admin
V3 Certificates
Windows Server 2008 Server Role
PKIView
Novas GPOs
Suporte ao OCSP
Suporte ao IDP CRL
Suporte MSCEP
Active Directory Certificate Services
- Alterar autenticação do IPSEC de Kerberos para Certificados Digitais- Autenticação com 2 fatores (Token para acesso Administrativo)- Requisitos para diversas soluções de segurança (RMS, EFS, etc)- Segurança Wireless- Segurança Acesso Remoto- Interoperabilidade
PKI – Benefícios Secundários
- Direct Access- File Classification- RMS- Windows Firewall- Windows Defender- Bitlocker- UEFI- Applocker- Casos Reais !!!
E mais …
Top Related