Segurança em Redes Microsoft

Uilson Souza | Analista de Projetos Sr.
MCTS, MTAC
Blog: http://uilson76.wordpress.com
Twitt...
Agenda
Desenhando um ambiente seguro
Continuidade de serviços em Redes Microsoft
Segurança na instalação e mitigação de...
Desenhando um ambiente Seguro
Entendimento do ambiente e objetivos
Quais dados vão trafegar e como
Quantas VLAN s serão...
Desenhando um Ambiente Seguro
Suas VLAN´s sempre
separadas por funcionalidade e
protegidas por Firewall
Rede Interna/Intr...
Desenhando um ambiente Seguro
Rack 2 - Storage

Rack – Failover Clustering / NLB
3U

Node 1

3U

Node 2

3U

Node 3

3U

N...
Desenhando um ambiente seguro
Rack 2 - Storage

25 U

Rack 2 - Storage

LUN´s

25 U

A redundância deve
ser planejada par...
Desenhando um ambiente seguro
Definir sempre alta disponibilidade – Failover Cluster ou NLB (Windows ou via hardware)
Va...
Continuidade de Serviços em Redes
Microsoft

 Veja porque o Windows Server 2012 R2 é a melhor escolha

Informação retirad...
Segurança na Instalação e mitigação de
vulnerabilidades
A preocupação com a segurança no ambiente começa no deploy
Lembr...
Segurança na Instalação e mitigação de
vulnerabilidades
Mitigando
vulnerabilidade do
Password Required
em estações e
serv...
Segurança na Instalação e mitigação de
vulnerabilidades
Para ambientes legados de IIS:
As vulnerabilidades conhecidas de ...
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
A aplicação de patches constante garante, além da segurança, o...
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
Nativo a partir do
Windows Server 2012
Maior e melhor
control...
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
DMZ Banco de Dados
WWW

Rede Interna/Intranet
Servidores – AD, ...
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
O CAU (Cluster Aware
Updating) é um recurso
automatizado que p...
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
O recurso CAU no Windows Server 2012 é compatível somente
com ...
Patches de segurança – WSUS e Cluster Aware Updating
(CAU)
Para ambientes de cluster com recursos de file server é
necess...
Protegendo a rede com 802.1x
 Padrão de controle de acesso a rede por
RADIUS
 Com o 802.1x é possível determinar que só ...
Protegendo a rede com 802.1x
Requisitos:
Servidor AD CS (Certificate Services – CA Interna)
Servidor com a Role do Netwo...
BitLocker e SMB Encryption
Bitlocker
Tecnologia que permite proteger com senha e criptografar o
conteúdo de mídias de arm...
BitLocker e SMB Encryption
Bitlocker no Windows Server 2012
Criptografa o storage local
Criptografa discos do failover c...
BitLocker e SMB Encryption
SMB Encryption
Criptografa os dados SMB em trânsito de fim a fim – Windows 8 e
Windows Server ...
BitLocker e SMB Encryption
Pode ser configurado também via Power Shell:
Para uma share específica - Set-SmbShare –Name <sh...
Proxy Reverso com Web Application Proxy e ARR
Web Application Proxy
Uma função agregada a role Remote Access no Windows S...
Proxy Reverso com Web Application Proxy e ARR
Web Application Proxy

Quintas da T.I –
Proxy Reverso com Web Application Proxy e ARR
Web Application Proxy
Active Directory® Domain Services – para ambientes co...
Proxy Reverso com Web Application Proxy e ARR
ARR – Application Request Routing
Integrado ao IIS 8 no Windows Server 2012...
Algumas features de segurança do
Windows Server 2012 R2

Demo
Quintas da T.I –
Referências para estudo
Best Practices em Failover Cluster para Windows Servers:
http://blogs.technet.com/b/hugofe/archiv...
Referências para estudo
802.1x para Windows Server 2008 R2, Windows Server 2012 e
Windows Server 2012 R2:
http://technet....
Referências para estudo

http://www.amazon.com/Windows-Server-2012-SecurityBeyond/dp/1597499803

Quintas da T.I –
Realizaçã
o:
Upcoming SlideShare
Loading in …5
×

Quintas de ti_segurança em redes microsoft

660 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
660
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
30
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Quintas de ti_segurança em redes microsoft

  1. 1. Segurança em Redes Microsoft Uilson Souza | Analista de Projetos Sr. MCTS, MTAC Blog: http://uilson76.wordpress.com Twitter: http://twitter.com/usouzajr Quintas da T.I –
  2. 2. Agenda Desenhando um ambiente seguro Continuidade de serviços em Redes Microsoft Segurança na instalação e mitigação de vulnerabilidades Patches de segurança – WSUS e Cluster Aware Updating (CAU) Protegendo a rede com 802.1x BitLocker e SMB Encryption Proxy Reverso com Web Application Proxy e ARR Demo – Algumas features de Segurança no Windows Server 2012 R2 Referências para Estudo Quintas da T.I –
  3. 3. Desenhando um ambiente Seguro Entendimento do ambiente e objetivos Quais dados vão trafegar e como Quantas VLAN s serão necessárias Distribuição dos servidores Servidores de aplicação, File Server, Database Server Equipes responsáveis e tipos de acesso Storage – qual a quantidade necessária x custos Definição dos devices de rede (routers, swtiches e appliances) Quintas da T.I –
  4. 4. Desenhando um Ambiente Seguro Suas VLAN´s sempre separadas por funcionalidade e protegidas por Firewall Rede Interna/Intranet DMZ Extranet Servidores – AD, Correio, Aplicação, File Server e Proxy Infra de servidores web (IIS) protegidos por publicação de aplicações no Forefront TMG AD Bancos de dados sempre em VLAN´s próprias Usuários DMZ Banco de Dados Servidores de aplicação protegidos por um servidor de proxy reverso – ex: UAG, ARR ou ainda o Forefront TMG Quintas da T.I –
  5. 5. Desenhando um ambiente Seguro Rack 2 - Storage Rack – Failover Clustering / NLB 3U Node 1 3U Node 2 3U Node 3 3U Node 4 3U NLB - 1 3U NLB - 2 3U NLB - 3 3U Como NÃO montar sua infra estrutura Método muito encontrado em empresas que pensam com exagero no “bom e barato” NLB - 4 Router 25 U LUN´s 3U Quintas da T.I –
  6. 6. Desenhando um ambiente seguro Rack 2 - Storage 25 U Rack 2 - Storage LUN´s 25 U A redundância deve ser planejada para todos os itens da infra estrutura, inclusive o prédio que abriga o seu datacenter LUN´s Router Rack – Failover Clustering / NLB 3U Node 2 3U NLB - 1 3U 3U Node 1 3U NLB - 2 Rack – Failover Clustering / NLB Contingência 3U 3U 3U NLB - 3 3U 3U Node 4 3U Router Node 3 NLB - 4 3U Quintas da T.I –
  7. 7. Desenhando um ambiente seguro Definir sempre alta disponibilidade – Failover Cluster ou NLB (Windows ou via hardware) Varia de acordo com a aplicação a ser implementada Os nodes devem estar em locais distintos Se mau pensado estes serviços não funcionam A continuidade também deve contemplar crescimento A continuidade de serviços é contemplada em auditorias Quintas da T.I –
  8. 8. Continuidade de Serviços em Redes Microsoft  Veja porque o Windows Server 2012 R2 é a melhor escolha Informação retirada do blog do MPV Aidan Finn - http://www.aidanfinn.com/?page_id=2 Quintas da T.I –
  9. 9. Segurança na Instalação e mitigação de vulnerabilidades A preocupação com a segurança no ambiente começa no deploy Lembre-se de que ao planejar a instalação do servidor também pense na mitigação de riscos e vulnerabilidades Uma das vulnerabilidades de sistema operacional exploradas são as de “password required” e share de pastas Ficar atento a vulnerabilidades de Web Server e Banco de Dados, seguindo as orientações do fabricante para mitiga-las Quintas da T.I –
  10. 10. Segurança na Instalação e mitigação de vulnerabilidades Mitigando vulnerabilidade do Password Required em estações e servidores Windows Quintas da T.I –
  11. 11. Segurança na Instalação e mitigação de vulnerabilidades Para ambientes legados de IIS: As vulnerabilidades conhecidas de IIS eram frequentes até a versão 5, sendo que partir da versão 6, os cuidados para mitigação foram maiores. Sempre que habilitar o IIS, verificar novos patches. Ajuda a manter o ambiente protegido. Vulnerabilidades mais frequentes no IIS 6 eram refentes a arquivos ASP e WEBDAV (http://technet.microsoft.com/pt-br/library/cc781730(v=ws.10).aspx ) Para ficar craque no IIS visite http://iisbrasil.wordpress.com Quintas da T.I –
  12. 12. Patches de segurança – WSUS e Cluster Aware Updating (CAU) A aplicação de patches constante garante, além da segurança, o correto funcionamento de sistema operacional e aplicações Use o WSUS para manter o ambiente atualizado Para entender tudo sobre o WSUS http://technet.microsoft.com/enus/library/cc706995(WS.10).aspx A partir do Windows Server 2012 o WSUS é nativo (Role) Mantenha atenção especial a servidores de banco de dados, aplicações e ambientes de cluster (SQL Server e Oracle) Quintas da T.I –
  13. 13. Patches de segurança – WSUS e Cluster Aware Updating (CAU) Nativo a partir do Windows Server 2012 Maior e melhor controle da atualização de patches do parque Quintas da T.I –
  14. 14. Patches de segurança – WSUS e Cluster Aware Updating (CAU) DMZ Banco de Dados WWW Rede Interna/Intranet Servidores – AD, Correio, Aplicação, File Server e Proxy AD Usuários WSUS Server DMZ Extranet Infra de servidores web (IIS) protegidos por publicação de aplicações no Forefront TMG A distribuição para a rede pode ser feita por um único WSUS A distribuição pode ser automatizada via GPO O mesmo pode ser roteado para várias VLAN s Em redes não cobertas pelo AD, pode se usar uma chave de registry para receber os updates Quintas da T.I –
  15. 15. Patches de segurança – WSUS e Cluster Aware Updating (CAU) O CAU (Cluster Aware Updating) é um recurso automatizado que permite atualizar servidores em cluster com pouca ou nenhuma perda de disponibilidade durante o processo de atualização Quintas da T.I –
  16. 16. Patches de segurança – WSUS e Cluster Aware Updating (CAU) O recurso CAU no Windows Server 2012 é compatível somente com failover de cluster Windows Server 2012 e as funções de cluster que são suportadas no Windows Server 2012. Executa nos modos Self-Update Mode ou Remote-Update Mode Pode trabalhar em conjunto com um servidor WSUS ou diretamente conectado a internet. Também é possível definir uma pasta onde ele irá buscar as atualizações Para usar um proxy deve-se configurar o acesso ao proxy via System Mode usando o comando netsh: netsh winhttp set proxy server.dominio.com:8080 "<local>" Quintas da T.I –
  17. 17. Patches de segurança – WSUS e Cluster Aware Updating (CAU) Para ambientes de cluster com recursos de file server é necessário declarar o domínio interno: netsh winhttp set proxy proxy.uilson.net:8080 "<local>;*.uilson.net“ Para saber as principais novidades de Failover Clustering e uma demo do Cluster Aware Updating assista um vídeo feito pelo Vinicus Apolinário em: http://bit.ly/1b33Vyp Documentação sobre CAU: http://technet.microsoft.com/en-us/library/hh831694.aspx Quintas da T.I –
  18. 18. Protegendo a rede com 802.1x  Padrão de controle de acesso a rede por RADIUS  Com o 802.1x é possível determinar que só as estações criadas no padrão da corporação tenham acesso a rede  Evita infecção por acesso de estações de terceiros  O DHCP da rede só concede IP a estação após validação pelo Network Policy Server que processará regras pré-definidas pelo administrador, garantindo a segurança no ambiente. Quintas da T.I –
  19. 19. Protegendo a rede com 802.1x Requisitos: Servidor AD CS (Certificate Services – CA Interna) Servidor com a Role do Network Policy Server Servidor com IIS Servidor AD DS – onde as GPO s serão definidas Servidor DHCP A implementação do 802.1x é um fatores mais importantes para segurança em redes Microsoft Quintas da T.I –
  20. 20. BitLocker e SMB Encryption Bitlocker Tecnologia que permite proteger com senha e criptografar o conteúdo de mídias de armazenamento via senha ou smart card Surgiu no Windows Vista com intuito de criptografar as unidades de disco A partir do Windows 7 foi criado o “BitLocker To Go” que possibilitava a proteção de conteúdo em unidades removíveis A partir do Windows 8 é possível, além imprimir ou gravar em arquivo, salvar em sua conta Microsoft Quintas da T.I –
  21. 21. BitLocker e SMB Encryption Bitlocker no Windows Server 2012 Criptografa o storage local Criptografa discos do failover cluster Criptografa Cluster Shared Volumes 2.0 No Windows 8.1 e Windows Server 2012 R2 é possível usar método de criptografia para o volume todo ou somente para o volume usado. Para saber o que há de novo no BitLocker do Windows Server 2012 R2: http://technet.microsoft.com/en-us/library/hh831412.aspx Quintas da T.I –
  22. 22. BitLocker e SMB Encryption SMB Encryption Criptografa os dados SMB em trânsito de fim a fim – Windows 8 e Windows Server 2012 Protege dados contra ataques “eavesdropping” O custo e tempo de implementação é muito menor do que outra solução de criptografia de dados em trânsito – IPSEC A configuração é simples – Via Server Manager em um share específico Quintas da T.I –
  23. 23. BitLocker e SMB Encryption Pode ser configurado também via Power Shell: Para uma share específica - Set-SmbShare –Name <sharename> EncryptData $true Para todo o servidor - Set-SmbServerConfiguration –EncryptData $true Secure SMB Connections – Windows Security.com http://www.windowsecurity.com/articlestutorials/misc_network_security/Secure-SMB-Connections.html Quintas da T.I –
  24. 24. Proxy Reverso com Web Application Proxy e ARR Web Application Proxy Uma função agregada a role Remote Access no Windows Server 2012 R2 Executa o serviço de proxy reverso para aplicações web provendo acesso para conexões externas ao ambiente Faz a pré-autenticação usando o Active Directory Federation Services (AD FS) e também age como um proxy para o AD FS Quintas da T.I –
  25. 25. Proxy Reverso com Web Application Proxy e ARR Web Application Proxy Quintas da T.I –
  26. 26. Proxy Reverso com Web Application Proxy e ARR Web Application Proxy Active Directory® Domain Services – para ambientes com KCD (Kerberos Constrained Delegation) Active Directory Federation Services – para serviços de autorização e autenticação e armazenamento das configurações do Web Application Proxy Remote Access – a role que contém o Web Application Proxy Publicando aplicações com Web Application Proxy http://technet.microsoft.com/en-us/library/dn383650.aspx Quintas da T.I –
  27. 27. Proxy Reverso com Web Application Proxy e ARR ARR – Application Request Routing Integrado ao IIS 8 no Windows Server 2012 R2 Específico para publicação do CAS (OWA) do Exchange Server 2013 Vem como opção pós TMG Melhor opção que o UAG na questão da complexidade e preço Implementando o Application Request Routing http://www.msexchange.org/articles-tutorials/exchange-server2013/mobility-client-access/iis-application-request-routingpart1.html Quintas da T.I –
  28. 28. Algumas features de segurança do Windows Server 2012 R2 Demo Quintas da T.I –
  29. 29. Referências para estudo Best Practices em Failover Cluster para Windows Servers: http://blogs.technet.com/b/hugofe/archive/2012/12/06/best-practices-formigration-of-cluster-windows-2008-r2-2012-as-melhores-praticas-paramigrar-um-cluster-de-windows-2008-para-windows-2012.aspx O que há de novo no failover clustering do Windows Server 2012 R2 http://technet.microsoft.com/en-us/library/dn265972.aspx Network Load Balance Best Practices: http://allcomputers.us/windows_server/windows-server-2008-r2--deploying-network-load-balancing-clusters-(part-1).aspx Quintas da T.I –
  30. 30. Referências para estudo 802.1x para Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2: http://technet.microsoft.com/en-us/library/cc731853.aspx Treinamento – Implementação de núvem privada http://technet.microsoft.com/pt-br/gg578594.aspx Segurança na núvem com recursos do Azure http://msdn.microsoft.com/pt-br/windowsazure/ff384165.aspx Quintas da T.I –
  31. 31. Referências para estudo http://www.amazon.com/Windows-Server-2012-SecurityBeyond/dp/1597499803 Quintas da T.I –
  32. 32. Realizaçã o:

×