quintas de ti_segurança em redes microsoft
TRANSCRIPT
Uilson Souza | Analista de Projetos Sr.MCTS, MTACBlog: http://uilson76.wordpress.comTwitter: http://twitter.com/usouzajr
Quintas da T.I – ShowCast
Segurança em Redes Microsoft
Quintas da T.I – ShowCast
Desenhando um ambiente seguroContinuidade de serviços em Redes MicrosoftSegurança na instalação e mitigação de vulnerabilidadesPatches de segurança – WSUS e Cluster Aware Updating (CAU)Protegendo a rede com 802.1xBitLocker e SMB EncryptionProxy Reverso com Web Application Proxy e ARRDemo – Algumas features de Segurança no Windows Server
2012 R2Referências para Estudo
Agenda
Quintas da T.I – ShowCast
Entendimento do ambiente e objetivosQuais dados vão trafegar e comoQuantas VLAN´s serão necessáriasDistribuição dos servidoresServidores de aplicação, File Server, Database ServerEquipes responsáveis e tipos de acessoStorage – qual a quantidade necessária x custosDefinição dos devices de rede (routers, swtiches e
appliances)
Desenhando um ambiente Seguro
Quintas da T.I – ShowCast
Desenhando um Ambiente Seguro
Suas VLAN´s sempre separadas por funcionalidade e protegidas por Firewall
Bancos de dados sempre em VLAN´s próprias
Servidores de aplicação protegidos por um servidor de proxy reverso – ex: UAG, ARR ou ainda o Forefront TMG
Rede Interna/Intranet
AD
DMZ ExtranetServidores – AD, Correio, Aplicação, File Server e Proxy
Usuários
DMZ Banco de Dados
Infra de servidores web (IIS) protegidos por publicação de aplicações no Forefront
TMG
Quintas da T.I – ShowCast
Desenhando um ambiente Seguro
Como NÃO montar sua infra estrutura
Método muito encontrado em empresas que pensam com exagero no “bom e barato”
Rack – Failover Clustering / NLB
3 U Node 1
3 U Node 2
3 U Node 3
3 U Node 425 U LUN´s
Rack 2 - Storage
3 U NLB - 1
3 U NLB - 2
3 U NLB - 3
3 U NLB - 4
3 U
Router
Quintas da T.I – ShowCast
Desenhando um ambiente seguro
A redundância deve ser planejada para todos os itens da infra estrutura, inclusive o prédio que abriga o seu datacenter
Rack – Failover Clustering / NLB
3 U Node 1
3 U Node 2
25 U LUN´s
Rack 2 - Storage
3 U NLB - 1
3 U NLB - 2
3 U
Router
3 U
Rack – Failover Clustering / NLB - Contingência
3 U Node 3
3 U Node 4
3 U NLB - 3
3 U NLB - 4
3 U 3 U
Router
25 U LUN´s
Rack 2 - Storage
Quintas da T.I – ShowCast
Definir sempre alta disponibilidade – Failover Cluster ou NLB (Windows ou via hardware)
Varia de acordo com a aplicação a ser implementada
Os nodes devem estar em locais distintos
Se mau pensado estes serviços não funcionam
A continuidade também deve contemplar crescimento
A continuidade de serviços é contemplada em auditorias
Desenhando um ambiente seguro
Quintas da T.I – ShowCast
Continuidade de Serviços em Redes Microsoft
Veja porque o Windows Server 2012 R2 é a melhor escolha
Informação retirada do blog do MPV Aidan Finn - http://www.aidanfinn.com/?page_id=2
Quintas da T.I – ShowCast
A preocupação com a segurança no ambiente começa no deploy
Lembre-se de que ao planejar a instalação do servidor também pense na mitigação de riscos e vulnerabilidades
Uma das vulnerabilidades de sistema operacional exploradas são as de “password required” e share de pastas
Ficar atento a vulnerabilidades de Web Server e Banco de Dados, seguindo as orientações do fabricante para mitiga-las
Segurança na Instalação e mitigação de vulnerabilidades
Quintas da T.I – ShowCast
Segurança na Instalação e mitigação de vulnerabilidades
Mitigando vulnerabilidade do Password Required em estações e servidores Windows
Quintas da T.I – ShowCast
Para ambientes legados de IIS:
As vulnerabilidades conhecidas de IIS eram frequentes até a versão 5, sendo que partir da versão 6, os cuidados para mitigação foram maiores.
Sempre que habilitar o IIS, verificar novos patches. Ajuda a manter o ambiente protegido.
Vulnerabilidades mais frequentes no IIS 6 eram refentes a arquivos ASP e WEBDAV (http://technet.microsoft.com/pt-br/library/cc781730(v=ws.10).aspx )
Para ficar craque no IIS visite http://iisbrasil.wordpress.com
Segurança na Instalação e mitigação de vulnerabilidades
Quintas da T.I – ShowCast
A aplicação de patches constante garante, além da segurança, o correto funcionamento de sistema operacional e aplicações
Use o WSUS para manter o ambiente atualizado
Para entender tudo sobre o WSUS http://technet.microsoft.com/en-us/library/cc706995(WS.10).aspx
A partir do Windows Server 2012 o WSUS é nativo (Role)
Mantenha atenção especial a servidores de banco de dados, aplicações e ambientes de cluster (SQL Server e Oracle)
Patches de segurança – WSUS e Cluster Aware Updating (CAU)
Quintas da T.I – ShowCast
Patches de segurança – WSUS e Cluster Aware Updating (CAU)
Nativo a partir do Windows Server 2012
Maior e melhor controle da atualização de patches do parque
Quintas da T.I – ShowCast
Patches de segurança – WSUS e Cluster Aware Updating (CAU)
Rede Interna/Intranet
AD
DMZ Extranet
Servidores – AD, Correio, Aplicação, File Server e Proxy
Usuários
DMZ Banco de Dados
Infra de servidores web (IIS) protegidos por publicação de aplicações no Forefront
TMG
WSUS Server
WWW
Em redes não cobertas pelo AD, pode se usar uma chave de registry para receber os updates
A distribuição para a rede pode ser feita por um único WSUSO mesmo pode ser roteado para várias VLAN´s
A distribuição pode ser automatizada via GPO
Quintas da T.I – ShowCast
Patches de segurança – WSUS e Cluster Aware Updating (CAU)
O CAU (Cluster Aware Updating) é um recurso automatizado que permite atualizar servidores em cluster com pouca ou nenhuma perda de disponibilidade durante o processo de atualização
Quintas da T.I – ShowCast
O recurso CAU no Windows Server 2012 é compatível somente com failover de cluster Windows Server 2012 e as funções de cluster que são suportadas no Windows Server 2012.
Executa nos modos Self-Update Mode ou Remote-Update Mode
Pode trabalhar em conjunto com um servidor WSUS ou diretamente conectado a internet. Também é possível definir uma pasta onde ele irá buscar as atualizações
Para usar um proxy deve-se configurar o acesso ao proxy via System Mode usando o comando netsh:
netsh winhttp set proxy server.dominio.com:8080 "<local>"
Patches de segurança – WSUS e Cluster Aware Updating (CAU)
Quintas da T.I – ShowCast
Para ambientes de cluster com recursos de file server é necessário declarar o domínio interno:
netsh winhttp set proxy proxy.uilson.net:8080 "<local>;*.uilson.net“
Para saber as principais novidades de Failover Clustering e uma demo do Cluster Aware Updating assista um vídeo feito pelo Vinicus Apolinário em:
http://bit.ly/1b33Vyp
Documentação sobre CAU:http://technet.microsoft.com/en-us/library/hh831694.aspx
Patches de segurança – WSUS e Cluster Aware Updating (CAU)
Quintas da T.I – ShowCast
Protegendo a rede com 802.1x
Padrão de controle de acesso a rede por RADIUS
Com o 802.1x é possível determinar que só as estações criadas no padrão da corporação tenham acesso a rede
Evita infecção por acesso de estações de terceiros
O DHCP da rede só concede IP a estação após validação pelo Network Policy Server que processará regras pré-definidas pelo administrador, garantindo a segurança no ambiente.
Quintas da T.I – ShowCast
Requisitos:
Servidor AD CS (Certificate Services – CA Interna)Servidor com a Role do Network Policy ServerServidor com IISServidor AD DS – onde as GPO´s serão definidasServidor DHCPA implementação do 802.1x é um fatores mais
importantes para segurança em redes Microsoft
Protegendo a rede com 802.1x
Quintas da T.I – ShowCast
BitlockerTecnologia que permite proteger com senha e criptografar o
conteúdo de mídias de armazenamento via senha ou smart card
Surgiu no Windows Vista com intuito de criptografar as unidades de disco
A partir do Windows 7 foi criado o “BitLocker To Go” que possibilitava a proteção de conteúdo em unidades removíveis
A partir do Windows 8 é possível, além imprimir ou gravar em arquivo, salvar em sua conta Microsoft
BitLocker e SMB Encryption
Quintas da T.I – ShowCast
Bitlocker no Windows Server 2012Criptografa o storage localCriptografa discos do failover clusterCriptografa Cluster Shared Volumes 2.0No Windows 8.1 e Windows Server 2012 R2 é possível usar
método de criptografia para o volume todo ou somente para o volume usado.
Para saber o que há de novo no BitLocker do Windows Server 2012 R2:
http://technet.microsoft.com/en-us/library/hh831412.aspx
BitLocker e SMB Encryption
Quintas da T.I – ShowCast
SMB EncryptionCriptografa os dados SMB em trânsito de fim a fim –
Windows 8 e Windows Server 2012Protege dados contra ataques “eavesdropping”O custo e tempo de implementação é muito menor do
que outra solução de criptografia de dados em trânsito – IPSEC
A configuração é simples – Via Server Manager em um share específico
BitLocker e SMB Encryption
Quintas da T.I – ShowCast
Pode ser configurado também via Power Shell:
Para uma share específica - Set-SmbShare –Name <sharename> -EncryptData $true
Para todo o servidor - Set-SmbServerConfiguration –EncryptData $true
Secure SMB Connections – Windows Security.comhttp://www.windowsecurity.com/articles-tutorials/misc_network_security/Secure-SMB-Connections.html
BitLocker e SMB Encryption
Quintas da T.I – ShowCast
Web Application ProxyUma função agregada a role Remote Access no Windows
Server 2012 R2Executa o serviço de proxy reverso para aplicações web
provendo acesso para conexões externas ao ambienteFaz a pré-autenticação usando o Active Directory
Federation Services (AD FS) e também age como um proxy para o AD FS
Proxy Reverso com Web Application Proxy e ARR
Quintas da T.I – ShowCast
Web Application Proxy
Proxy Reverso com Web Application Proxy e ARR
Quintas da T.I – ShowCast
Web Application ProxyActive Directory® Domain Services – para ambientes com KCD
(Kerberos Constrained Delegation)Active Directory Federation Services – para serviços de
autorização e autenticação e armazenamento das configurações do Web Application Proxy
Remote Access – a role que contém o Web Application Proxy
Publicando aplicações com Web Application Proxyhttp://technet.microsoft.com/en-us/library/dn383650.aspx
Proxy Reverso com Web Application Proxy e ARR
Quintas da T.I – ShowCast
ARR – Application Request RoutingIntegrado ao IIS 8 no Windows Server 2012 R2Específico para publicação do CAS (OWA) do Exchange Server
2013Vem como opção pós TMGMelhor opção que o UAG na questão da complexidade e preço
Implementando o Application Request Routinghttp://www.msexchange.org/articles-tutorials/exchange-server-2013/mobility-client-access/iis-application-request-routing-part1.html
Proxy Reverso com Web Application Proxy e ARR
Demo
Quintas da T.I – ShowCast
Algumas features de segurança do Windows Server 2012 R2
Quintas da T.I – ShowCast
Best Practices em Failover Cluster para Windows Servers:http://blogs.technet.com/b/hugofe/archive/2012/12/06/best-practices-for-migration-of-cluster-windows-2008-r2-2012-as-melhores-praticas-para-migrar-um-cluster-de-windows-2008-para-windows-2012.aspx
O que há de novo no failover clustering do Windows Server 2012 R2
http://technet.microsoft.com/en-us/library/dn265972.aspx
Network Load Balance Best Practices:http://allcomputers.us/windows_server/windows-server-2008-r2---deploying-network-load-balancing-clusters-(part-1).aspx
Referências para estudo
Quintas da T.I – ShowCast
802.1x para Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2:
http://technet.microsoft.com/en-us/library/cc731853.aspx
Treinamento – Implementação de núvem privadahttp://technet.microsoft.com/pt-br/gg578594.aspx
Segurança na núvem com recursos do Azurehttp://msdn.microsoft.com/pt-br/windowsazure/ff384165.aspx
Referências para estudo
Quintas da T.I – ShowCast
Referências para estudo
http://www.amazon.com/Windows-Server-2012-Security-Beyond/dp/1597499803
Realização: