Reinventando o Acesso Remoto com DirectAccess
Rodrigo ImmaginarioCISSPMVP Enterprise SecurityMCSE : Securityhttp://rodrigoi.org.br
CLI311
Panorama do Acesso RemotoTendências da Tecnologia• Dados estão entrando pela porta da frente e saindo
pela porta dos fundos
• Segurança e acesso estão se tornando cada vez maiscomplexo de serem gerenciados
• Necessidade de confiança nos desktops e notebooks
Força de Trabalho Móvel• Definição flexível de “escritório” – incluindo
funcionários que estão sempre remotos
• Acesso a rede corporativa a partir de rede de clientes
• Ambiente de trabalho 24x7 requer conectividade de qualquer lugar
Globalização e Outsourcing• Terceiros podem gerenciar a sua rede e datacenters
• Software + Services complementando a TI tradicional – dados e aplicações hospedadas nanuvem ou remotamenet
• Controles de acesso cada vez mais granulares e complexos
• Usuários se conectam de qualquer lugar
Novos Modelos de Segurança
• Segurança tradicional de perímetronão é mais suficiente
• Mudança para proteção em nível de sistema e de dados
• Integração de acesso, identidade, conformidade, gerenciamento e proteção de informações
• Emergência de tecnologias comoIPv6, banda larga móvel e IPsec
ServidorDirectAccess
Data Center e OutrosRecursos Críticos Usuário
Local
RedeCorporativa
UsuárioRemoto
Premissa que a infraestrutura de rede ésempre insegura
Redefinição do perímetro corporativo paraproteger o datacenter
Políticas de acesso baseado na identidade e não na posição dentro da rede
Tendências de Mercado
Internet
O que é DirectAccess?
Acesso transparente a rede corporativa
Se o computador do usuário está conectada a Internet, elaestá conectada a rede corporativa
Gerenciamento remoto
Computador do usuário é gerenciado em qualquer lugar emque esteja ligado na Internet
Conectividade segura
Comunicação entre a máquina do usuário e os recursoscorporativos é protegida
Seguro
Criptografia por default
Smartcards
Controle de Acesso Granula
Coexiste com soluções atuais(Políticas de Acesso, Estado de Saúde e etc)
GerenciávelAcesso a máquinas antes “intocáveis
Permite GPO para máquinas remotas
Integração com o NAP
Servidor
DirectAccess
ClienteDirectAccess
ClienteDirectAccess
Data Center e Outros
Recursos Críticos
Servidores
NAP
Internet
Usuário
CorporativoRede
Corporativa
Usuário
Corporativo
Clientes tem conectividade IPv6 transparente de qualquer local, com segurança IPsec
Tráfego para a rede corporativa é roteada através de um servidor DirectAccess (Windows 2008 R2 Server)
Integração com NAP para controle de acesso
baseado em políticas
Solução DirectAccess
Túnel sobre IPv4 UDP, TLS, etc.
12
Benefícios do DirectAccessLevando a rede corporativa para o usuário
Acesso permanente a rede corporativa de qualquer local
Nenhuma açãonecessária –simplesmente funciona
Mesma experiência do usuário dentro e fora da empresa
Gerenciamento dos ativos remotos como se eles estivesse na LAN
Menor TCO com computadores “sempregerenciados”
Acesso seguro unificadode qualquer rede e paraqualquer aplicação
Mais produtivo Mais seguro Maior gerenciamento com menor custo
Computadoresprotegidos e saudáveisindependente da redeonde eles estão
Habilidade de levarmonitoração e remediação para osativos móveis
Passo adiante no caminho da adoção de IPv6
Servidor DirectAccess(Server 2008 R2)
Cliente DirectAccess(Windows 7)
Internet
IPv6 Nativo
6to4
Teredo
IP-HTTPS
IPv6 tunelado sobre IPv4
UDP, HTTPS, etc.
Túnel IPsec (IPsec
Tunnel Mode)
Servidores de Aplicação
15
Opção 1 - ISATAPServidorDirectAccess
(Server 2008 R2)Serviçosde Aplicação
IPv6 IPv4IPv6
Habilitando IPv6 na Rede Corporativa
16
Opção 2 – NAT-PTServidorDirectAccess(Server 2008 R2)
Servidoresde Aplicação
IPv6 IPv4
NAT-PTDNS-ALG
Windows Server 2003Não-Windows
Habilitando IPv6 na Rede Corporativa
RedeCorporativa
Servidor DirectAccess(Server 2008 R2)
Servidores de Aplicação
Sem IPsec
IPsec Integridade
(Autenticação)
IPsec Integridade
+ Encriptação
Windows Server 2003Windows Server 2008
Não-Windows
Name Resolution Policy Table (NRPT)Novo recurso no Windows 7
Utilizado pelo cliente DirectAccess Client para determinar qualservidor DNS vai ser utilizado dependendo do domínio
Nova ordem de resolução de nomes:
Cache local
Arquivo Hosts
NRPT
DNS
NRPT
Para qualquer consulta, se o nome corresponde a uma entrada na NRPT, a consulta será enviadapara o servidor DNS especificado na tabela
Estes são servidores DNS internos – eles nãoprecisam estar dedicados ao DirectAccess nemprecisam estar na DMZ
Se o nome não corresponder a nenhuma entradana NRPT, a consulta é enviada para o servidor DNS configurado na interface de rede
Corp.contoso.com 2001:1:1::b3df
2001:1:1::b3de
AuthIP
Cliente
DirectAccess
Servidor
DNS
Internet
CONTOSO
Como DirectAccess Funciona
Servidor
DirectAccess
IPv4
Teredo, 6to4
ou IP-HTTPS 1. Cliente DirectAccess envia uma solicitação de roteador Ipv6 para o servidor DirectAccess, usando 6to4, Teredo ouIP-HTTPS para se comunicar usando a Internet IPv4
Server1
Servidor de AplicaçãoIPv6
2. Servidor DA envia um anúncio de roteador IPv6 informandoao cliente o prefixo ou o endereço IPv6 que ele irá utilizar
3. Servidor DA atentica o cliente DA usando AuthIP e estabelece um tunel IPsec entre eles
Cliente
DirectAccess
Servidor
DNS
Internet
CONTOSO
Como DirectAccess Funciona
Servidor
DirectAccess
IPv4
Teredo, 6to4
ou IP-HTTPS
Server1
Servidor de Aplicação
4. Cliente DA usa a Name Resolution Policy Table (NRPT) paraidentificar qual servidor DNS será usado para consultar“server1.corp.contoso.com”
5. Cliente DA envia consulta para servidor DNS através do túnel IPsec estabalecido com o servidor DirectAccess
IPv6
IPsec
Tunnel Mode
DNS
6. Servidor DA retira a consulta do túnel IPsec e encaminha ospacotes para o servidor DNS interno
DNSIPsec
Tunnel Mode
Cliente
DirectAccess
Servidor
DNS
Internet
CONTOSO
Como DirectAccess Funciona
Servidor
DirectAccess
IPv4
Teredo, 6to4
ou IP-HTTPS
Server1
Servidor de AplicaçãoIPv6
7. Servidor DNS responde a consulta informando o endereçoIPv6 para “server1.corp.contoso.com”
8. Servidor DA encaminha a resposta DNS para o cliente DA usando o túnel IPsec
IPsec
Tunnel Mode
AuthIP
Cliente
DirectAccess
Servidor
DNS
Internet
CONTOSO
Como DirectAccess Funciona
Servidor
DirectAccess
IPv4
Teredo, 6to4
ou IP-HTTPS
Server1
Servidor de AplicaçãoIPv6
9. Cliente DirectAccess se autentica com o servidor Server1 usando AuthIP e estabelece uma sessão IPsec Transport Mode
IPsec
Tunnel Mode
AuthIP
Cliente
DirectAccess
Servidor
DNS
Internet
CONTOSO
Como DirectAccess Funciona
Servidor
DirectAccess
IPv4
Teredo, 6to4
ou IP-HTTPS
Server1
Servidor de AplicaçãoIPv6
10. Usuário do DirectAccess navega no conteúdo do site localizado no servidor Server1
IPsec
Transport Mode
HTTP
Cenário de ImplementaçãoIPsec End-to-Edge
Sem custo de encriptação nos servidores de aplicação
Servidor DirectAccess autentica usuário/computador e faz a encriptação dos dados
Mais similar aos recursos de acesso remoto usados atualmente
Cliente autenticado e adequado as politicas
Cliente Windows 7
RedeCorporativa
Aplicações e Dados(sem IPsec habilitado)
DC & DNS(Servidores 2008 SP2/R2)
Internet
ServidorDirectAccess
Windows 2008 R2
IPsec ESP em modo tunel com certificado de máquina (DC/DNS)
Tráfego vindo do cliente corre dentro do túnel encriptadoe depois para os recursos da rede corporativa
IPsec ESP em modo tunel usando Kerberos, Smartcard oucertificado NAP para acesso ao resto da rede
Cenário de ImplementaçãoIPsec End-to-Edge + IPsec End-to-End
Sem custo de encriptação nos servidores de aplicação (apenas autenticação)
Combina a encriptação até o gateway com autenticação e integridade fim-a-fim
Cliente autenticado e adequado as politicas
Cliente Windows 7
RedeCorporativa
Aplicações e DadosIPsec habilitado
Internet
IPsec ESP em modo transporte usado para autenticação e proteção fim-a-fim do tráfego (sem encriptação)
ServidorDirectAccess
Windows 2008 R2
IPsec ESP em modo tunel usando Kerberos, Smartcard oucertificado NAP para acesso ao resto da rede
IPsec ESP em modo tunel com certificado de máquina (DC/DNS)
DC & DNS(Servidores 2008 SP2/R2)
Cenário de ImplementaçãoIPsec End-to-End
Servidor DirectAccess atua somente como um roteador IPv6
Proteção contra ataques de negação de serviço em IPsec (IPsec DoSP)
Autenticação, encriptação e integridade fim-a-fim
IP-HTTPS tunnel usado para clientes atrás de proxy Web
Cliente autenticado e adequado as politicas
Cliente Windows 7
RedeCorporativa
Aplicações e DadosIPsec habilitado
Internet
IPsec ESP em modo transporte com encriptaçãoentre os clientes e os recursos de rede
ServidorDirectAccess
Servidor 2008 R2 DC & DNS(Servidores 2008 SP2/R2)
29
Requisitos de Implementação
Clientes DirectAccess
• Requer Windows 7 Enterprise ou Ultimate
• Clientes membrosde um domínio AD
• Provisionamentoinicial enquanto narede corporativa ou
via VPN
ServidorDirectAccess
• Requer Windows Server 2008 R2
• Localizado no perímetro de rede
Servidores de Aplicação
• Requerconectividade IPv6
aos servidores(ISATAP, Nativo ou
NAT-PT)
• Windows 2008 ousuperior para IPsec
End-to-End
30
Requisitos de Implementação
DC/DNS
• Pelo menos um servidor DC/DNS Windows Server 2008 SP2 ou R2
Infraestruturade Rede
• Pode ser IPv4 porque o DirectAccess implementaISATAP
NAT-PT
• Pode ser usadopara prover
acesso a recursosque estão soment
em IPv4
32
Tecnologias Integradas ao DirectAccess
Cliente autenticado e adequado as politicas
Cliente Windows 7
RedeCorporativa
Aplicações e Dados
NAP Forefront Protection
Windows Firewall
BitLocker + Trusted
Platform Module (TPM)
ForefrontUAG
DC & DNS(Windows 2008
SP2/R2)
33
Servidor DirectAccess
Clienteadequado as políticas
Clienteadequado as políticas
Data Center e Outros Recursos Críticos
ServidoresNAP / NPS
Internet
Usuáriolocal
RedeCorporativa
Usuáriolocal
Tecnologias Integradas ao DirectAccess
Cliente fora das políticas
Forefront Client Security
IAG SP2
Cliente não-gerenciado
34
• Estende o Direct Access para aplicações legadas e recursos na infraestruturaatual.
• Suporta down-level e non Windows clients
Acesso de Qualquer
Local
• Minimiza os erros de configuração e simplifica a implementação.
• Protege o Direct Access gateway .Segurança
• Melhoria no gerencimaneto em escala, com a opção de integração com Array e load balancing
• Consolida os gateways de acesso para controle e auditoria centralizados.
GerenciamentoUnificado
Forefront UAG estende os benefícios do Windows DirectAccess permitindo maios escalabilidade e fácil implementação.
+ 7 Direct Access
Solução DirectAccess
IPv6
IPv6Sempre Conectado
Windows7
IPv4
IPv4
IPv4
ServidorDirectAccess
Server
Estende o
suporte a
servidores IPv4
UAG facilita a adoção e estende o acesso para a infraestrutura existente
UAG e DirectAccess – “Better Together”:1. Permite o acesso a recursos ainda rodando somente com IPv42. Acesso para clientes antigos ou não Windows3. Melhora escalabilidade e gerenciamento4. Simplifica a implementação5. Maior segurança
GERENCIADO
Vista
XP
NÃO-GERENCIADO
Não
Windows
PDA
DirectAccess
SSL VPN
UAG fornece a acesso via Web ou VPN para clientes antigos ou não-Windows.UAG melhora a escalabilidade com recursos de balanceamentod e carga integrados.UAG usa wizards e ferramentas para simplificar a instalação e as operações.UAG é um appliance pré-configurado e disponível em Hardware ou VM
+
Windows7
+
Diagnóstico
Internet Explorer Diagnose Problem
Melhorado para suportar o DirectAccess
Networking Icon (right click)
Opção de Resolução de Problemas
Command Prompt (Elevated)
NETSH TRACE START SCENARIO=DIRECTACCESS
SumárioPróximos Passos
Windows Server 2008 R2 e Windows 7 mudam o modelo de acesso remoto com o DirectAccess
IPv6 é parte desta mudança de modelo
Use os recursos do Windows Server 2008 R2 para iniciar a suaimplementação hoje
http://www.microsoft.com/directaccess
© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS,
IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.