reinventando o acesso remoto com directaccess

38
Reinventando o Acesso Remoto com DirectAccess Rodrigo Immaginario CISSP MVP Enterprise Security MCSE : Security http://rodrigoi.org.br CLI311

Upload: rodrigo-immaginario

Post on 20-Jul-2015

90 views

Category:

Education


2 download

TRANSCRIPT

Reinventando o Acesso Remoto com DirectAccess

Rodrigo ImmaginarioCISSPMVP Enterprise SecurityMCSE : Securityhttp://rodrigoi.org.br

CLI311

Panorama do Acesso RemotoTendências da Tecnologia• Dados estão entrando pela porta da frente e saindo

pela porta dos fundos

• Segurança e acesso estão se tornando cada vez maiscomplexo de serem gerenciados

• Necessidade de confiança nos desktops e notebooks

Força de Trabalho Móvel• Definição flexível de “escritório” – incluindo

funcionários que estão sempre remotos

• Acesso a rede corporativa a partir de rede de clientes

• Ambiente de trabalho 24x7 requer conectividade de qualquer lugar

Globalização e Outsourcing• Terceiros podem gerenciar a sua rede e datacenters

• Software + Services complementando a TI tradicional – dados e aplicações hospedadas nanuvem ou remotamenet

• Controles de acesso cada vez mais granulares e complexos

• Usuários se conectam de qualquer lugar

Novos Modelos de Segurança

• Segurança tradicional de perímetronão é mais suficiente

• Mudança para proteção em nível de sistema e de dados

• Integração de acesso, identidade, conformidade, gerenciamento e proteção de informações

• Emergência de tecnologias comoIPv6, banda larga móvel e IPsec

ServidorDirectAccess

Data Center e OutrosRecursos Críticos Usuário

Local

RedeCorporativa

UsuárioRemoto

Premissa que a infraestrutura de rede ésempre insegura

Redefinição do perímetro corporativo paraproteger o datacenter

Políticas de acesso baseado na identidade e não na posição dentro da rede

Tendências de Mercado

Internet

DirectAccess

Oferecer um acesso seguro e transparente a sua RedeCorporativa de qualquer lugar

O que é DirectAccess?

Acesso transparente a rede corporativa

Se o computador do usuário está conectada a Internet, elaestá conectada a rede corporativa

Gerenciamento remoto

Computador do usuário é gerenciado em qualquer lugar emque esteja ligado na Internet

Conectividade segura

Comunicação entre a máquina do usuário e os recursoscorporativos é protegida

6

Sempre ConectadoSempre Conectado

Não é necessário ação do usuário

Se adapta as mudanças de rede

Seguro

Criptografia por default

Smartcards

Controle de Acesso Granula

Coexiste com soluções atuais(Políticas de Acesso, Estado de Saúde e etc)

GerenciávelAcesso a máquinas antes “intocáveis

Permite GPO para máquinas remotas

Integração com o NAP

DEMO

10

VPN vs. DirectAccess

VPN DirectAccess

Servidor

DirectAccess

ClienteDirectAccess

ClienteDirectAccess

Data Center e Outros

Recursos Críticos

Servidores

NAP

Internet

Usuário

CorporativoRede

Corporativa

Usuário

Corporativo

Clientes tem conectividade IPv6 transparente de qualquer local, com segurança IPsec

Tráfego para a rede corporativa é roteada através de um servidor DirectAccess (Windows 2008 R2 Server)

Integração com NAP para controle de acesso

baseado em políticas

Solução DirectAccess

Túnel sobre IPv4 UDP, TLS, etc.

12

Benefícios do DirectAccessLevando a rede corporativa para o usuário

Acesso permanente a rede corporativa de qualquer local

Nenhuma açãonecessária –simplesmente funciona

Mesma experiência do usuário dentro e fora da empresa

Gerenciamento dos ativos remotos como se eles estivesse na LAN

Menor TCO com computadores “sempregerenciados”

Acesso seguro unificadode qualquer rede e paraqualquer aplicação

Mais produtivo Mais seguro Maior gerenciamento com menor custo

Computadoresprotegidos e saudáveisindependente da redeonde eles estão

Habilidade de levarmonitoração e remediação para osativos móveis

Passo adiante no caminho da adoção de IPv6

13

Tecnologias Envolvidas

Servidor DirectAccess(Server 2008 R2)

Cliente DirectAccess(Windows 7)

Internet

IPv6 Nativo

6to4

Teredo

IP-HTTPS

IPv6 tunelado sobre IPv4

UDP, HTTPS, etc.

Túnel IPsec (IPsec

Tunnel Mode)

Servidores de Aplicação

15

Opção 1 - ISATAPServidorDirectAccess

(Server 2008 R2)Serviçosde Aplicação

IPv6 IPv4IPv6

Habilitando IPv6 na Rede Corporativa

16

Opção 2 – NAT-PTServidorDirectAccess(Server 2008 R2)

Servidoresde Aplicação

IPv6 IPv4

NAT-PTDNS-ALG

Windows Server 2003Não-Windows

Habilitando IPv6 na Rede Corporativa

RedeCorporativa

Servidor DirectAccess(Server 2008 R2)

Servidores de Aplicação

Sem IPsec

IPsec Integridade

(Autenticação)

IPsec Integridade

+ Encriptação

Windows Server 2003Windows Server 2008

Não-Windows

Name Resolution Policy Table (NRPT)Novo recurso no Windows 7

Utilizado pelo cliente DirectAccess Client para determinar qualservidor DNS vai ser utilizado dependendo do domínio

Nova ordem de resolução de nomes:

Cache local

Arquivo Hosts

NRPT

DNS

NRPT

Para qualquer consulta, se o nome corresponde a uma entrada na NRPT, a consulta será enviadapara o servidor DNS especificado na tabela

Estes são servidores DNS internos – eles nãoprecisam estar dedicados ao DirectAccess nemprecisam estar na DMZ

Se o nome não corresponder a nenhuma entradana NRPT, a consulta é enviada para o servidor DNS configurado na interface de rede

Corp.contoso.com 2001:1:1::b3df

2001:1:1::b3de

AuthIP

Cliente

DirectAccess

Servidor

DNS

Internet

CONTOSO

Como DirectAccess Funciona

Servidor

DirectAccess

IPv4

Teredo, 6to4

ou IP-HTTPS 1. Cliente DirectAccess envia uma solicitação de roteador Ipv6 para o servidor DirectAccess, usando 6to4, Teredo ouIP-HTTPS para se comunicar usando a Internet IPv4

Server1

Servidor de AplicaçãoIPv6

2. Servidor DA envia um anúncio de roteador IPv6 informandoao cliente o prefixo ou o endereço IPv6 que ele irá utilizar

3. Servidor DA atentica o cliente DA usando AuthIP e estabelece um tunel IPsec entre eles

Cliente

DirectAccess

Servidor

DNS

Internet

CONTOSO

Como DirectAccess Funciona

Servidor

DirectAccess

IPv4

Teredo, 6to4

ou IP-HTTPS

Server1

Servidor de Aplicação

4. Cliente DA usa a Name Resolution Policy Table (NRPT) paraidentificar qual servidor DNS será usado para consultar“server1.corp.contoso.com”

5. Cliente DA envia consulta para servidor DNS através do túnel IPsec estabalecido com o servidor DirectAccess

IPv6

IPsec

Tunnel Mode

DNS

6. Servidor DA retira a consulta do túnel IPsec e encaminha ospacotes para o servidor DNS interno

DNSIPsec

Tunnel Mode

Cliente

DirectAccess

Servidor

DNS

Internet

CONTOSO

Como DirectAccess Funciona

Servidor

DirectAccess

IPv4

Teredo, 6to4

ou IP-HTTPS

Server1

Servidor de AplicaçãoIPv6

7. Servidor DNS responde a consulta informando o endereçoIPv6 para “server1.corp.contoso.com”

8. Servidor DA encaminha a resposta DNS para o cliente DA usando o túnel IPsec

IPsec

Tunnel Mode

AuthIP

Cliente

DirectAccess

Servidor

DNS

Internet

CONTOSO

Como DirectAccess Funciona

Servidor

DirectAccess

IPv4

Teredo, 6to4

ou IP-HTTPS

Server1

Servidor de AplicaçãoIPv6

9. Cliente DirectAccess se autentica com o servidor Server1 usando AuthIP e estabelece uma sessão IPsec Transport Mode

IPsec

Tunnel Mode

AuthIP

Cliente

DirectAccess

Servidor

DNS

Internet

CONTOSO

Como DirectAccess Funciona

Servidor

DirectAccess

IPv4

Teredo, 6to4

ou IP-HTTPS

Server1

Servidor de AplicaçãoIPv6

10. Usuário do DirectAccess navega no conteúdo do site localizado no servidor Server1

IPsec

Transport Mode

HTTP

25

Formas de Implementação

Cenário de ImplementaçãoIPsec End-to-Edge

Sem custo de encriptação nos servidores de aplicação

Servidor DirectAccess autentica usuário/computador e faz a encriptação dos dados

Mais similar aos recursos de acesso remoto usados atualmente

Cliente autenticado e adequado as politicas

Cliente Windows 7

RedeCorporativa

Aplicações e Dados(sem IPsec habilitado)

DC & DNS(Servidores 2008 SP2/R2)

Internet

ServidorDirectAccess

Windows 2008 R2

IPsec ESP em modo tunel com certificado de máquina (DC/DNS)

Tráfego vindo do cliente corre dentro do túnel encriptadoe depois para os recursos da rede corporativa

IPsec ESP em modo tunel usando Kerberos, Smartcard oucertificado NAP para acesso ao resto da rede

Cenário de ImplementaçãoIPsec End-to-Edge + IPsec End-to-End

Sem custo de encriptação nos servidores de aplicação (apenas autenticação)

Combina a encriptação até o gateway com autenticação e integridade fim-a-fim

Cliente autenticado e adequado as politicas

Cliente Windows 7

RedeCorporativa

Aplicações e DadosIPsec habilitado

Internet

IPsec ESP em modo transporte usado para autenticação e proteção fim-a-fim do tráfego (sem encriptação)

ServidorDirectAccess

Windows 2008 R2

IPsec ESP em modo tunel usando Kerberos, Smartcard oucertificado NAP para acesso ao resto da rede

IPsec ESP em modo tunel com certificado de máquina (DC/DNS)

DC & DNS(Servidores 2008 SP2/R2)

Cenário de ImplementaçãoIPsec End-to-End

Servidor DirectAccess atua somente como um roteador IPv6

Proteção contra ataques de negação de serviço em IPsec (IPsec DoSP)

Autenticação, encriptação e integridade fim-a-fim

IP-HTTPS tunnel usado para clientes atrás de proxy Web

Cliente autenticado e adequado as politicas

Cliente Windows 7

RedeCorporativa

Aplicações e DadosIPsec habilitado

Internet

IPsec ESP em modo transporte com encriptaçãoentre os clientes e os recursos de rede

ServidorDirectAccess

Servidor 2008 R2 DC & DNS(Servidores 2008 SP2/R2)

29

Requisitos de Implementação

Clientes DirectAccess

• Requer Windows 7 Enterprise ou Ultimate

• Clientes membrosde um domínio AD

• Provisionamentoinicial enquanto narede corporativa ou

via VPN

ServidorDirectAccess

• Requer Windows Server 2008 R2

• Localizado no perímetro de rede

Servidores de Aplicação

• Requerconectividade IPv6

aos servidores(ISATAP, Nativo ou

NAT-PT)

• Windows 2008 ousuperior para IPsec

End-to-End

30

Requisitos de Implementação

DC/DNS

• Pelo menos um servidor DC/DNS Windows Server 2008 SP2 ou R2

Infraestruturade Rede

• Pode ser IPv4 porque o DirectAccess implementaISATAP

NAT-PT

• Pode ser usadopara prover

acesso a recursosque estão soment

em IPv4

31

Integração

32

Tecnologias Integradas ao DirectAccess

Cliente autenticado e adequado as politicas

Cliente Windows 7

RedeCorporativa

Aplicações e Dados

NAP Forefront Protection

Windows Firewall

BitLocker + Trusted

Platform Module (TPM)

ForefrontUAG

DC & DNS(Windows 2008

SP2/R2)

33

Servidor DirectAccess

Clienteadequado as políticas

Clienteadequado as políticas

Data Center e Outros Recursos Críticos

ServidoresNAP / NPS

Internet

Usuáriolocal

RedeCorporativa

Usuáriolocal

Tecnologias Integradas ao DirectAccess

Cliente fora das políticas

Forefront Client Security

IAG SP2

Cliente não-gerenciado

34

• Estende o Direct Access para aplicações legadas e recursos na infraestruturaatual.

• Suporta down-level e non Windows clients

Acesso de Qualquer

Local

• Minimiza os erros de configuração e simplifica a implementação.

• Protege o Direct Access gateway .Segurança

• Melhoria no gerencimaneto em escala, com a opção de integração com Array e load balancing

• Consolida os gateways de acesso para controle e auditoria centralizados.

GerenciamentoUnificado

Forefront UAG estende os benefícios do Windows DirectAccess permitindo maios escalabilidade e fácil implementação.

+ 7 Direct Access

Solução DirectAccess

IPv6

IPv6Sempre Conectado

Windows7

IPv4

IPv4

IPv4

ServidorDirectAccess

Server

Estende o

suporte a

servidores IPv4

UAG facilita a adoção e estende o acesso para a infraestrutura existente

UAG e DirectAccess – “Better Together”:1. Permite o acesso a recursos ainda rodando somente com IPv42. Acesso para clientes antigos ou não Windows3. Melhora escalabilidade e gerenciamento4. Simplifica a implementação5. Maior segurança

GERENCIADO

Vista

XP

NÃO-GERENCIADO

Não

Windows

PDA

DirectAccess

SSL VPN

UAG fornece a acesso via Web ou VPN para clientes antigos ou não-Windows.UAG melhora a escalabilidade com recursos de balanceamentod e carga integrados.UAG usa wizards e ferramentas para simplificar a instalação e as operações.UAG é um appliance pré-configurado e disponível em Hardware ou VM

+

Windows7

+

Diagnóstico

Internet Explorer Diagnose Problem

Melhorado para suportar o DirectAccess

Networking Icon (right click)

Opção de Resolução de Problemas

Command Prompt (Elevated)

NETSH TRACE START SCENARIO=DIRECTACCESS

SumárioPróximos Passos

Windows Server 2008 R2 e Windows 7 mudam o modelo de acesso remoto com o DirectAccess

IPv6 é parte desta mudança de modelo

Use os recursos do Windows Server 2008 R2 para iniciar a suaimplementação hoje

http://www.microsoft.com/directaccess

© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS,

IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.