UNIVERSIDADE TUIUTI DO PARANÁ

Alexander Ismael Barchini

IMPLEMENTAÇÃO DO NETWORK ACCESS PROTECTION

CURITIBA 2013

Alexander Ismael Barchini

IMPLEMENTAÇÃO DO NETWORK ACCESS PROTECTION

Monografia para

Implementação do Network Access Protection apresentado a UTP como requisito parcial para obtenção do título de Especialização em Redes de Computadores e Segurança de Redes. Orientador: Luiz Altamir Corrêa Junior

CURITIBA 2013

3

TERMO DE APROVAÇÃO

Alexander Ismael Barchini

Implementação do Network Access Protection

Essa Monografia foi julgada e aprovada para a obtenção do título de Especialização em Redes de Computadores e Segurança de Redes da Universidade Tuiuti do Paraná.

Curitiba, 20 de Agosto de 2013.

Especialista em Redes de Computadores e Segurança de Redes. Universidade Tuiuti do Paraná. Orientador: Prof. Luiz Altamir Corrêa Junior Universidade Tuiuti do Paraná.

4

DEDICATÓRIA

Dedico esta monografia aos meus pais, familiares e a todos que desejam e

trabalham por um mundo melhor.

5

AGRADECIMENTOS

Ao Professor Luiz Altamir Corrêa Junior que me orientou durante todo o

trabalho e por estar sempre disposto a ajudar durante a fase de laboratório.

E a todos que direta ou indiretamente colaboraram na execução deste

trabalho.

6

O poeta é um fingidor. Finge tão completamente Que chega a fingir que é dor A dor que deveras sente. E os que leem o que escreve, Na dor lida sentem bem, Não as duas que ele teve, Mas só a que eles não têm. E assim nas calhas de roda Gira, a entreter a razão, Esse comboio de corda Que se chama coração.

Fernando Pessoa

7

RESUMO

O trabalho apresenta a implementação do Network Access Protection (NAP) na rede da Sanepar, essa ferramenta foi escolhida em virtude de existir problemas no controle dos softwares de segurança instalados nas máquinas desktops. Sem esses softwares, as máquinas ficam vulneráveis a ataques de vírus e outras pragas tecnológicas, tornando-se porta de entrada para infecção e ataques de hackers. A implantação do NAP visa controlar esses problemas, colocando as máquinas em não conformidade numa rede de remediação, local onde serão reparadas e colocadas novamente na rede corporativa. Com o controle do protocolo 802.1x nos switches será possível redirecionar as máquinas de terceiros para uma vlan com acesso restrito a Internet, impedindo possíveis ataques a servidores e máquinas de usuários.

Palavras chaves : NAP. 802.1x. Servidores. Desktops.

8

ABSTRACT

The work presents the implementation of the Network Access Protection (NAP) network SANEPAR, this tool was chosen because of existing problems in the control of the security software installed on desktop machines. Without this software, the machines are vulnerable to virus attacks and other pests technology, making it the gateway to infection and hacker attacks. The implementation of the NAP aims to control these problems by placing the machines in a network of non-compliance remediation, where will be repaired and put back on the corporate network. With control of 802.1x on the switches you can redirect the machines of others for a vlan with restricted access to the Internet, preventing possible attacks on servers and user machines. Key-words : NAP. 802.1x. Servers. Desktops.

9

LISTA DE FIGURAS

FIGURA 1 – ESTATÍSTICAS DE INCIDENTES REPORTADOS AO CERT - 2013

.............................................................................................................. 11

FIGURA 2 – MODO DE AUTENTICAÇÃO NAP – 2005 .............................. 21

10

SUMÁRIO

1 INTRODUÇÃO ....................................................................................................... 11

1.1 APRESENTAÇÃO............................................................................................ 13 1.2 JUSTIFICATIVA DA ESCOLHA DO TEMA ...................................................... 13 1.3 OBJETIVOS DO TRABALHO ........................................................................... 14 1.4 CONTEÚDO DO TRABALHO .......................................................................... 14

2 LEVANTAMENTO BIBLIOGRÁFICO E ESTADO DA ARTE ..... ........................... 16

3 METODOLOGIA ..................................... ............................................................... 20

4 RESULTADOS ...................................... ................................................................. 23

5 DISCUSSÃO .......................................................................................................... 24

6 CONCLUSÕES ...................................................................................................... 25

7 REFERÊNCIAS ...................................................................................................... 27

8 GLOSSÁRIO ....................................... ................................................................... 28

ANEXO 1- TUTORIAL PARA IMPLEMENTAÇÃO DO NAP ....... ............................. 29

1 INTRODUÇÃO

A Sanepar conta atualmente com m

torna inviável o controle manual dos softwares de segurança instalados nas

máquinas dos usuários, sendo necessári

efetue o controle dos softwares de

necessidade foi encontrado o

caso de problemas.

A segurança da

últimos anos devido aos crescentes ataques.

suas informações confidenci

responsável pelo tratamento de incidentes no Brasil,

segurança da informação cresceu consideravelmente nos últimos anos, como

ilustrada no gráfico 01, a seguir.

FIGURA 1 – ESTATÍSTICAS DE INCIDENTES REPORTADOS AO CERT

FONTE: CERT, disponível em

Com o número cada vez maior de incidentes, as empresas buscam formas

de prevenir ataques de segurança. A Sanepar vai de encontro a essa ideia ao adotar

o NAP para proteger seu ambiente de vários ataques ao automatizar o controle dos

A Sanepar conta atualmente com mais de cinco mil computadores, o

torna inviável o controle manual dos softwares de segurança instalados nas

máquinas dos usuários, sendo necessária a implementação de uma ferramenta que

efetue o controle dos softwares de segurança de forma automatizada.

ntrado o NAP para conferência automatizada e remediação em

as redes de computadores ganhou grande notoriedade nos

últimos anos devido aos crescentes ataques. Várias redes foram invadidas e tiveram

suas informações confidenciais roubadas. Segundo informações do Cert

responsável pelo tratamento de incidentes no Brasil, o número de incidentes de

segurança da informação cresceu consideravelmente nos últimos anos, como

, a seguir.

ESTATÍSTICAS DE INCIDENTES REPORTADOS AO CERT

, disponível em http://www.cert.br/stats/incidentes/#2013

Com o número cada vez maior de incidentes, as empresas buscam formas

de prevenir ataques de segurança. A Sanepar vai de encontro a essa ideia ao adotar

o NAP para proteger seu ambiente de vários ataques ao automatizar o controle dos

11

ais de cinco mil computadores, o que

torna inviável o controle manual dos softwares de segurança instalados nas

a implementação de uma ferramenta que

segurança de forma automatizada. Após essa

NAP para conferência automatizada e remediação em

redes de computadores ganhou grande notoriedade nos

Várias redes foram invadidas e tiveram

Segundo informações do Cert, centro

o número de incidentes de

segurança da informação cresceu consideravelmente nos últimos anos, como é

ESTATÍSTICAS DE INCIDENTES REPORTADOS AO CERT - 2013

http://www.cert.br/stats/incidentes/#2013

Com o número cada vez maior de incidentes, as empresas buscam formas

de prevenir ataques de segurança. A Sanepar vai de encontro a essa ideia ao adotar

o NAP para proteger seu ambiente de vários ataques ao automatizar o controle dos

12

softwares de segurança.

A infraestrutura da Sanepar, nas máquinas clientes, é composta

praticamente por máquinas com Sistema Operacional Microsoft Windows XP SP3 ou

superior, isso é um facilitador para implantação do NAP, em virtude de uma de suas

exigências ser SO Windows XP SP3 ou superior. Por esse motivo o processo de

migração não vai ser tão oneroso. Em virtude dos investimentos para implantação

do NAP serem grandes, é necessário efetuar uma avaliação no valor da informação

para o negócio da empresa.

O NAP vai ajudar a mitigar os ataques de vírus e outras pragas tecnológicas

na rede corporativa da Sanepar, mantendo atualizado e habilitado os seguintes

softwares de segurança: Windows Update, antivírus e firewall das máquinas

desktops. Caso as máquinas não atendam aos requisitos serão movidas para uma

vlan de quarentena, local onde serão remediadas para ingresso na rede corporativa.

Para a implementação do NAP é necessário a configuração do protocolo

802.1x nos switches, com esse protocolo é possível configurar uma função extra

para que as máquinas de visitantes sejam movidas para uma VLAN de acesso

restrito. Essas máquinas serão movidas para outra vlan, sobre a qual possuem

acesso somente a Internet.

O acesso a Internet das máquinas visitantes será liberado após autenticação

no Captive Portal. Ao clicar no navegador web, o usuário será solicitado a digitar um

número de voucher válido. Esse voucher é gerado pelo Captive Portal num arquivo

csv. Esse arquivo vai ser transferido para o pessoal do help-desk, qualquer

solicitação de acesso deverá passar por essa área da Tecnologia da Informação. O

voucher é válido por um dia. A opção de mover as máquinas visitantes para outra

vlan é de grande valia, pois não é possível controlar os softwares instalados nas

máquinas visitantes sem a senha de administrador. Além de eliminar uma possível

contaminação dessas máquinas para computadores da rede corporativa da

Sanepar, pois essas máquinas podem estar contaminadas com vírus, worms e

outras pragas.

Para implementação do Captive Portal foi instalado um servidor com a

aplicação PfSense instalada. A aplicação é gratuita, atualizada constantemente e

roda no Sistema Operacional FreeBSD. Essa aplicação conta com serviço de DHCP

para vlan de visitante, DNS forward para os servidores da rede corporativa, failover,

sobre o qual é possível fornecer suporte num dos servidores enquanto o outro

13

responde as requisições dos clientes. O pfSense conta com duas interfaces de

redes, uma na vlan de visitante e outra na vlan corporativa, a proteção entre as duas

interfaces é realizada por um firewall disponível na própria aplicação.

As máquinas clientes devem ter o serviço “Conexão de Rede com fio”

habilitado e a placa de rede do desktop deve ter o serviço de autenticação 802.1x

habilitado para que não seja colocada na rede de quarentena, além de possuir os

serviços de segurança já mencionados atualizados e habilitados.

Os serviços na máquina cliente serão habilitados automaticamente através

de GPO, configurados no servidor de Active Directory. Após ingresso no domínio a

máquina cliente obterá todos os serviços necessários para suporte do NAP

habilitados automaticamente.

1.1 APRESENTAÇÃO

O tema central desse trabalho é a implementação do NAP na rede da

Sanepar para melhorar a segurança do ambiente computacional, possibilitando

mitigar possíveis ataques a servidores e desktops.

1.2 JUSTIFICATIVA DA ESCOLHA DO TEMA

A escolha deste projeto justifica-se pelo fato da Sanepar sofrer ataques de

máquinas de dentro da rede corporativa. Firewall e a maioria dos outros

equipamentos de segurança fornecem proteção para ataques provenientes da rede

externa, mas muitos ataques são originados de dentro da própria rede da empresa.

O NAP vai ajudar a diminuir a quantidade de ataques provenientes da rede

interna, pois a máquina vai precisar estar num certo padrão para ingressar na rede

corporativa, caso tenha algum problema, vai ficar, até a correção, na rede de

remediação, isolada do restante da rede.

Máquinas são contaminadas através de pen-drives, documentos maliciosos

enviados por e-mail, entre outras maneiras, por não estarem com o software

antivírus instalado e atualizado e o Windows Update sem as definições necessárias

instaladas. Esses problemas acabam por facilitar a contaminação das máquinas por

vírus que podem gerar ataques a outras máquinas.

O serviço de NAP integra com o Active Directory para efetuar a distinção

entre máquinas do domínio e visitantes. Em virtude de máquinas de terceiros

14

receberem um tratamento diferenciado, das máquinas da empresa. Esse tratamento

diferenciado deve-se pelo fato da senha de Administrador da máquina visitante não

ser conhecida, assim dificulta o processo de descoberta e instalações de softwares

em conformidades pela empresa. Outro problema é a privacidade dessas máquinas,

pois não se deve instalar softwares que estão de acordo com a política da Sanepar,

mas não está de acordo com a política da empresa de onde esse visitante pertence.

Como a implementação do NAP exige a configuração do protocolo 802.1x

nos switches, vai ser possível colocar automaticamente as máquinas de terceiros

numa VLAN restrita com acesso somente a Internet. Eliminando qualquer contato

dessas máquinas com a da rede da Sanepar.

1.3 OBJETIVOS DO TRABALHO

O projeto tem por objetivo a implementação do NAP para prover maior

segurança no ambiente Sanepar. Com essa implementação é possível mitigar

ataques provenientes da rede interna. A checagem de definições e instalações de

antivírus, a instalação das atualizações do Windows Update e se o firewall da

máquina encontra-se habilitado, de forma automatizada, é de grande ajuda para

mitigar vários ataques e possíveis focos de contaminação para outras máquinas da

rede. A forma que é realizada atualmente é muito trabalhosa e reativa, pois só é

percebido que os softwares de segurança não estão instalados nos desktops após a

contaminação da máquina.

Para essa implementação foi instalado um servidor com o serviço de NPS

habilitado, esse servidor contém o Sistema Operacional Windows 2012 na versão

Standard Edition, o serviço RADIUS e NAP são sub serviços do NPS, ou seja,

quando o NPS é instalado automaticamente são habilitados. As máquinas clientes

devem estar no mínimo com a versão Windows XP SP3 e com o serviço de 802.1x

habilitado na placa de rede, isso vai ser efetuado através de GPO. Os switches

configurados com o protocolo 802.1x são da marca Extreme. Os logs serão

controlados no próprio servidor de NPS através da ferramenta Event Viewer

disponibilizada pela Microsoft.

1.4 CONTEÚDO DO TRABALHO

15

O segundo capítulo do trabalho aborda toda à parte de pesquisa em sites de

fornecedores dos equipamentos onde o presente trabalho foi baseado.

No terceiro capítulo são descritos todos os métodos utilizados para

implementação do NAP, contendo o levantamento dos possíveis problemas,

pessoas envolvidas e o custo.

No quarto capítulo são relatados os conteúdos dos resultados obtidos com a

implementação do NAP.

No quinto capítulo são analisados os resultados obtidos e comparados com

os existentes sobre o tema.

No sexto capítulo são expostas de maneira lógica as conclusões obtidas

havendo correspondência com os objetivos propostos.

No sétimo capítulo estão descritas todas as referências bibliográficas

utilizadas para planejamento, configuração, execução e implantação do sistema.

16

2 LEVANTAMENTO BIBLIOGRÁFICO E ESTADO DA ARTE O trabalho de pesquisa foi realizado no site da Microsoft, Extreme e PfSense

no mês de Julho de 2013. No primeiro foi pesquisada a maneira de instalação e

configuração do NPS para posteriormente configurar o NAP. Foi realizado pesquisas

para a forma de implementação de GPO para automatizar a configuração das

máquinas clientes. Assim que a máquina ingressar no domínio a configuração do

protocolo 802.1x será realizada de forma automática, sem a necessidade de

intervenção do administrador da rede para configuração do serviço. Economizando

tempo dos funcionários da área de informática, pois se a configuração fosse

realizada máquina a máquina o tempo de implementação seria muito maior.

No segundo site foi pesquisada a forma de configuração do protocolo 802.1x

nos switches, parâmetros para configuração do RADIUS no servidor NPS para

integração com o serviço Active Directory, com o intuito de distinguir máquinas do

domínio de máquinas visitantes, pois esses computadores vão estar em vlan´s

diferentes.

Já no último foram realizadas pesquisas na forma de configuração do

Captive Portal, distribuição dos vouchers para acesso a Internet, DHCP, DNS

forward e balanceamento de carga.

• As Desvantagens nas Instituições

As desvantagens na utilização da ferramenta: - tempo gasto no treinamento

de funcionários para compreensão do NAP. Pois são várias áreas da Tecnologia da

Informação envolvidas no suporte do NAP, primeiro a equipe de help-desk (com as

máquinas desktops), segundo a equipe de telecomunicações (para configuração e

manutenção dos switches) e por último a equipe de infraestrutura (manutenção e

configuração dos servidores); - o investimento no treinamento dos empregados para

a utilização da ferramenta. Em virtude de existir várias áreas envolvidas, o

treinamento vai envolver uma quantidade considerável de pessoas; - os

equipamentos e os softwares a serem utilizados para a implantação da ferramenta

são onerosos. O preço de switches, servidores, máquinas clientes e licenças de

softwares possuem um custo elevado; - a manutenção da nova ferramenta.

17

O troubleshoot do NAP é complicado, pois o problema pode estar na

máquina cliente, nos switches ou na configuração das policies no servidor. Em

virtude da quantidade de equipamentos e equipes envolvidas (help-desk,

telecomunicações e infraestrutura) o mapeamento do problema pode ser demorado

e trabalhoso.

• As Vantagens nas Instituições

As vantagens em se utilizar uma ferramenta Network Access Policy: -

redução na quantidade de máquinas infectadas com vírus, a equipe de help-desk

poderá dedicar seu tempo a outras necessidades da empresa. Atualmente o tempo

gasto para remediar uma máquina infectada é grande, pois existem vírus e outras

pragas tecnológicas de difícil remoção. Outro fator, que pesa a favor da dedicação

do help-desk a outras atividades, é que quando uma máquina é infectada, ela acaba

atacando outras máquinas que não possuem os serviços de segurança habilitados,

com isso aumentando ainda mais o tempo gasto do help-desk para manutenção de

máquinas infectadas; - controle e monitoramento mais efetivo, ou seja, o micro só

poderá ingressar na rede corporativa quando apresentar o estado de saúde válido.

Diminuindo o controle manual dos softwares de segurança, com essa forma

automatizada obriga os usuários a estarem em conformidade com a política de

segurança da Sanepar; - Mitigações da perda da informação, em virtude de existir

muitos softwares destinados a roubar dados confidenciais dos computadores. Com a

garantia de um software antivírus instalado e atualizado, Windows Update em dia

com as vulnerabilidades dos Sistemas Operacionais corrigidas e firewall habilitado,

fica mais difícil pragas computacionais explorarem vulnerabilidades do desktop para

coletar informações.

• Atualmente nas Instituições

As empresas estão buscando cada vez mais aumentar sua segurança, pois

a TI começou a ser vista como parte da estratégia de negócio. As pessoas

responsáveis pela tomada de decisões da empresa não gostariam de ter suas

informações confidenciais expostas para seus concorrentes. Por isso a questão da

segurança está sendo tratada de maneira especial pelas organizações.

18

O NAP está começando a ser adotado em algumas empresas com o intuito

de mitigar casos de perda da informação, paradas de serviços cruciais, garantir a

confidencialidade da informação e etc.

A Exxon Mobil, grande empresa de TI na área petrolífera, está começando a

implementar o NAP na sua rede para mitigar riscos da informação. A Sanepar como

grande empresa na área de saneamento, também não quer ficar atrás na parte de

segurança da informação e começou os testes com o NAP em laboratório para

posterior implementação.

O NAP busca checar se serviços importantes de segurança dos desktops

estão habilitados e atualizados. Máquinas sem antivírus, firewall e atualizações do

Sistema Operacional tornam-se alvo fácil de contaminação de diferentes tipos de

vírus e pragas tecnológicas, tornando-se foco para atacar outras máquinas ou porta

de entrada para hackers.

• Os Objetivos da Sanepar com o NAP

A Sanepar uma empresa que possui 50 anos de história e dedica-se a área

de saneamento com qualidade e efetividade, não pode deixar sua imagem ruir por

causa de problemas computacionais. A empresa está cada vez mais buscando o

alinhamento estratégico da TI com o negócio, há alguns anos a TI passou ser vista

como parte estratégica da empresa e não somente como uma área com gastos

excessivos e investimentos sem necessidades para o negócio. A implementação do

NAP vem de encontro ao projeto da empresa em proteger seus dados estratégicos.

O projeto NAP vai contribuir para disponibilidade, integridade e confidencialidade da

informação.

• As Necessidades das Instituições

A implementação do NAP surgiu da necessidade da empresa ter maior

controle sobre os softwares de segurança instalados nas máquinas desktops. A

maioria dos ataques computacionais tem origem de dentro da empresa e não de fora

como muitos devem pensar. Existem empresas que investem na parte de firewall,

IPS e outras formas de proteger ataques com origem na rede externa, mas

esquecem de que a maioria dos ataques concentra-se dentro da própria empresa.

19

Na Sanepar muitos usuários trazem pen-drives infectados com vírus,

computadores pessoais sem nenhuma proteção de segurança, máquinas de

terceiros são conectadas na rede corporativa sem qualquer restrição. Com a

implementação do NAP e utilização do protocolo 802.1x é possível mitigar ataques a

servidores e desktops da empresa com origem dos computadores conectados de

dentro da empresa. Máquinas terceiras serão movidas para uma VLAN separada

com acesso somente a Internet. E máquinas corporativas sem os requisitos de

segurança vão para uma rede de remediação até as devidas correções. Com esses

procedimento é possível reduzir, consideravelmente, os riscos de segurança da

informação.

20

3 METODOLOGIA

O levantamento para implementação do NAP surgiu após um curso

realizado numa das revendas Microsoft, no qual mostrou sua eficiência para

mitigação dos riscos de segurança. A implantação foi vista com bons olhos pela

área de Tecnologia da Informação da Sanepar, pois para que a máquina ingresse na

rede é necessário que atenda alguns requisitos mínimos de segurança, o que

contribuí para diminuição de contaminação por pragas tecnológicas.

Foi buscado na Internet formas de configuração do NAP, para adequar as

soluções no ambiente da Sanepar. Primeiro foi realizado pesquisas no site da

Microsoft, em seguida no site da Extreme que é o fabricante dos switches que a

Sanepar possui no seu ambiente e por fim no site da PfSense para configuração do

Captive Portal. Após reunir toda documentação necessária, foi efetuado testes no

laboratório da Sanepar antes de colocar em produção.

No laboratório foram encontradas diversas dificuldades que se colocadas

diretamente no ambiente de produção poderiam comprometer o funcionamento da

rede da Sanepar. Foram colocados equipamentos tentando simular o ambiente da

Sanepar o mais próximo possível. O servidor utilizado para rodar o serviço de NAP

possuía um processador Intel Xeon X5675, conta com 4 GB de memória RAM e 100

GB de disco rígido. O switch utilizado foi o Summit X150 da Extreme. O cliente deve

possuir o Sistema Operacional Windows XP SP3 ou superior para poder ingressar

na rede de NAP. Os clientes testados no laboratório continham Sistema Operacional

Windows XP SP3 e Windows 7 SP1. Em relação às configurações de hardware o

cliente com Windows XP possuía processador Celeron 2.53 GHz, 1 GB de memória

RAM e 75 GB de disco rígido. Já o cliente Windows 7 possuía processador Pentium

G870 3.10 GHz, memória RAM de 4 GB e disco rígido de 100 GB.

O processo de autenticação das máquinas no NAP é demonstrado conforme

figura 02, a seguir.

21

FIGURA 2 – MODO DE AUTENTICAÇÃO NAP – 2005

FONTE: WETTERN, disponível em

http://redmondmag.com/articles/2005/06/01/secure-network-access-control.aspx

No NAP o cliente inicia o processo requisitando uma conexão na rede, o

switch antes de liberar o acesso, faz um desafio para informações de identidade. As

informações são passadas para o servidor RADIUS, o servidor requisita para o

cliente suas credenciais. O cliente envia suas credenciais, caso sejam válidas são

verificados seus softwares de segurança. Se estiverem de acordo com as políticas o

acesso do cliente na rede corporativa é liberado, caso contrário é movido para vlan

de remediação. Todo esse processo acontece antes da máquina receber o endereço

IP.

Um dos problemas que pode ser levantado para implantação do NAP é em

relação aos seus gastos, pois a infraestrutura necessária é bem custosa. Os gastos

para colocar o NAP em produção são os seguintes:

22

• Licença do SO Microsoft Windows Server 2012.

• Licença do Sistema Operacional Windows XP e 7.

• Compra de servidor e máquinas desktops.

• Switches para configuração do 802.1x.

• Cabos de rede para conexão dos equipamentos no switch.

Como já dito os gastos para implantação do NAP são vários e custosos, mas

como o valor da informação na Sanepar é proporcional ao investimento, esse gasto

justifica-se. Se formos colocar numa balança, de um lado a perda da informação

confidencial, indisponibilidade de serviços necessários para empresa e perda de

imagem perante clientes e fornecedores, por causa de problemas com Tecnologia

da Informação e do outro lado o investimento necessário para implantação do NAP,

muitas empresas não vão achar os gastos tão onerosos para implementação.

23

4 RESULTADOS

Os resultados obtidos foram os seguintes:

• Ambiente seguro com ocorrência menor na quantidade de vírus e

outras pragas tecnológicas. Diminuindo consideravelmente o trabalho do help-desk

para manutenção de máquinas contaminadas.

• Mitigação na perda da informação, em virtude da quantidade de

máquinas infectadas diminuírem, a chance de ataques bem sucedidos aos

servidores diminui na mesma proporção.

• Maior disponibilidade do ambiente. Pois máquinas em conformidade

com a segurança diminui a chance de alguma praga tecnológica tornar indisponíveis

os serviços essenciais da empresa. Zelando uma boa imagem com clientes e

parceiros.

• Confidencialidade da informação.

• Integridade da informação.

• Separação dos computadores visitantes do ambiente corporativo,

garantindo maior controle da TI sobre os computadores visitantes conectados na

rede, em virtude de ser necessário contatar a TI para fornecer um usuário válido

para liberação do acesso no Captive Portal.

• Garantia para que os computadores corporativos contenham

antivírus atualizado e ativado, firewall do desktop habilitado e Windows Update

atualizado.

24

5 DISCUSSÃO A metodologia adotada através de métodos de pesquisa na Internet

possibilitou o levantamento dos requisitos necessários para a implantação total do

sistema. Os testes de laboratório foram cruciais para eventuais erros que poderiam

comprometer o funcionamento do ambiente corporativo. Os testes ajudam a

compreender melhor o funcionamento do NAP para melhor efetuar troubleshooting

em possíveis problemas.

Ao analisar os resultados alcançados fica claro que os objetivos propostos

foram cumpridos dentro do prazo estipulado e com as funcionalidades propostas.

Contudo vale ressaltar algumas discordâncias foram encontradas, como a

capacidade do sistema não autenticar máquinas com Sistema Operacional Linux,

apesar dessas funcionalidades não fazerem parte do escopo do trabalho.

25

6 CONCLUSÕES

A Sanepar está comprometida com a segurança da informação, pois não

gostaria de ter seus dados confidenciais expostos na rede de computadores. Com a

grande demanda por segurança, em virtude de muitas empresas terem seus dados

confidenciais furtados, causando perde de valores consideráveis, a Sanepar investe

em Tecnologia da Informação para garantir um ambiente com integridade,

confidencialidade e disponibilidade da informação. A implementação do NAP vem de

encontro com os padrões de mercados existentes e mitiga o risco da informação.

Vários ataques são realizados de dentro da própria empresa, passando

despercebidos por firewall e equipamentos IPS/IDS. O NAP ajuda a prevenir

ataques com origem na rede Interna, assegurando que as máquinas clientes tenham

os softwares de segurança habilitados e atualizados.

O custo para implementação do NAP é alto, mas justifica-se em virtude da

informação ser mais valiosa que o investimento para sua implementação e

manutenção. O ambiente desktop composto, em sua grande maioria, por

equipamento Windows viabilizou a utilização do NAP Microsoft, pois não é

necessário comprar novas licenças. O fato das máquinas clientes já possuírem

Sistema Operacional Windows XP SP3 ou superior foi um facilitador para

implantação do NAP, porque um de seus requisitos é o Sistema Operacional

Windows XP SP3 ou superior, tornando sua implementação menos onerosa.

Com a implementação do NAP existem vários setores da empresa que saem

ganhando: Um deles é o setor de help-desk que não vai desperdiçar tanto tempo na

manutenção das máquinas clientes, limpando máquinas contaminadas com vírus e

outras pragas tecnológicas; Outro setor favorecido é o de segurança da informação,

pois com a garantia de requisitos de segurança para ingresso na rede, as máquinas

desktops diminuem consideravelmente as chances de contaminação e propagação

de pragas tecnológicas; E por fim, a Sanepar como um todo, pois mitiga o risco de

ter suas informações confidenciais expostas na rede.

Para desenvolvimento desse trabalho diversas dificuldades foram

encontradas, algumas são listadas a seguir:

26

• Dificuldade para encontrar documentação, pois o NAP é algo novo, não está

implementado em muitas empresas. A documentação na Internet é escassa e

muito teórica, sem demonstração prática.

• Integração das equipes de help-desk, infraestrutura e telecomunicações. Para

implementação do NAP foi necessário a integração dessas três equipes, em

virtude de ser necessário a configuração de vários equipamentos, sob a

responsabilidade de equipes diferentes.

• Discussão para encontrar a melhor maneira de implementação na rede da

Sanepar. Muitos usuários estão mal acostumados com o ambiente sem

restrições de segurança, como o NAP é um componente invasivo, por mover

as máquinas fora de conformidade para uma vlan de remediação, foi

necessário um trabalho de conscientização e educação dos usuários.

Os objetivos do trabalho foram alcançados no laboratório, mas em produção

está somente o NPS, ou seja, habilitado somente a vlan de visitante e checagem se

a máquina está no domínio para liberação do ingresso à rede. A parte de checar se

o antivírus, Windows Update e firewall da máquina desktop estão de acordo será

realizado posteriormente.

Para implementação futura sugiro a configuração de máquinas com Sistema

Operacional Linux, em virtude de o software trabalhar somente com máquinas

Windows XP SP3 ou superior.

27

7 REFERÊNCIAS

CERT. Disponível em: http://www.cert.br. Acesso em 01-08-2013. DEPLOYMENT OF IEEE 802.1X FOR WIRED NETWORKS USING MICROSOFT WINDOWS. Disponível em: http://www.microsoft.com/en-us/download/ details.aspx?id=7220. Acesso em 09-07-2013. GEUS, Paulo Lício. Segurança de Redes em Ambientes Cooperativos1ª ed. São Paulo: Novatec, 2007. NAP ENFORCEMENT FOR 802.1X. Disponível em: http://technet.microsoft.com/en-us/library/cc770861.aspx. Acesso em 01-07-2013. NETWORK ACCESS CONTROL/PROTECTION WITH EXTREMEXOS AND MICROSOFT NAP. Disponível em: http://www.extremenetworks.com/ libraries/ appnotes/ ANNAPandEXOS_1709.pdf. Acesso em 22-07-2013. SECURE NETWORK ACCESS CONTROL. Disponível em: http:// redmondmag.com/articles/2005/06/01/secure-network-access-control.aspx Acesso em 25-07-2013. SOUZA, Lindeberg Barros. Redes de Computadores - Guia Total 1ª ed. São Paulo: Erica, 2009.

STEP-BY-STEP GUIDE: DEMONSTRATE NAP 802.1X ENFORCEMENT IN A TEST LAB. Disponível em: http://www.microsoft.com/en-us/download/ details.aspx? id=733. Acesso em 17-07-2013. PFSENSE. Disponível em: http://www.pfsense.org. Acesso em 01-07-2013. TANENBAUM, Andrew. Redes de Computadores 5ª ed. São Paulo: Pearson Education - Br, 2011. TORRES, Gabriel. Redes de Computadores 2ª ed. São Paulo: Novaterra, 2009.

28

8 Glossário

NAP = Network Access Protection.

UTP = Universidade Tuiuti do Paraná.

VLAN = Virtual Local Area Network.

Sanepar = Companhia de Saneamento do Paraná.

NPS = Network Policy Server.

GPO = Group Policy Object.

TI = Tecnologia da Informação.

Cert = Centro de estudos, respostas e tratamentos de incidentes de segurança no

Brasil.

IPS = Sistema de Prevenção de Intrusão.

IDS = Sistema de Detecção de Intrusão.

29

ANEXO 1- TUTORIAL PARA IMPLEMENTAÇÃO DO NAP Esse tutorial é a reprodução do que foi realizado no laboratório de testes.

Abaixo está o diagrama dos testes, o tutorial explica a parte da configuração dos

clientes, switches e do roteador, a parte wireless está apenas por mera

representação.

Configuração Router Cisco 1700 Series:

O roteador foi configurado para conectar na Internet, compartilhar essa

conexão com as outras máquinas do laboratório e fazer a comunicação entre os

equipamentos em diferentes VLANs.

Router#show running-config Building configuration... Current configuration : 1386 bytes ! ! Last configuration change at 19:52:01 UTC Tue Nov 6 2012 ! NVRAM config last updated at 19:53:28 UTC Tue Nov 6 2012 version 12.3

30

service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! enable password Sanepar123 ! memory-size iomem 15 no aaa new-model ip subnet-zero ! interface FastEthernet0/0 no ip address shutdown speed auto ! interface FastEthernet0/1 switchport trunk allowed vlan 1,3,9,11,1002-1005 switchport mode trunk no ip address ! interface FastEthernet0/2 switchport access vlan 9 no ip address ! interface FastEthernet0/3 no ip address shutdown ! interface FastEthernet0/4 no ip address shutdown ! interface Vlan1 ip address 192.168.20.10 255.255.255.0 ip nat inside ! interface Vlan3 ip address 192.168.30.1 255.255.255.0 ip helper-address 192.168.20.1 ip nat inside ! interface Vlan9 ip address 192.168.17.26 255.255.255.0 ip nat outside ! interface Vlan11 ip address 192.168.11.1 255.255.255.0 ip helper-address 192.168.20.1 ! ip nat pool internet 192.168.17.26 192.168.17.26 prefix-length 24 ip nat inside source list 7 pool internet overload ip classless ip route 0.0.0.0 0.0.0.0 192.168.17.1 no ip http server ! access-list 7 permit 192.168.0.0 0.0.255.255 ! line con 0 line aux 0 line vty 0 4 password Sanepar123 login ! no scheduler allocate !

31

end =============================================================================== Router#show vlan-switch VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/3, Fa0/4 3 Remediacao active 5 GUEST active 9 internet active Fa0/2 11 Wireless active 104 AT04 active 105 AT05 active 106 AT06 active 107 AT07 active 108 AT08 active 110 AT10 active 111 AT11 active 112 AT12 active 114 AT14 active 115 AT15 active 116 AT16 active 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active ================================================================================ Router#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 192.168.17.1 to network 0.0.0.0 C 192.168.30.0/24 is directly connected, Vlan3 C 192.168.11.0/24 is directly connected, Vlan11 C 192.168.20.0/24 is directly connected, Vlan1 C 192.168.17.0/24 is directly connected, Vlan9 S* 0.0.0.0/0 [1/0] via 192.168.17.1

Configuração Switch Extreme X150

O switch está configurado com as seguintes VLANS:

• GUEST: Utilizada pelas máquinas visitantes.

• AUTH: Utilizada pelo protocolo 802.1xno momento de transição para VLAN

corporativa ou visitante.

• INTERNET: Para acesso a Internet.

• Remediacao: Para as máquinas que não estão em conformidade com as

regras de segurança.

O switch está apontando para o servidor de Active Directory para

confirmação das policies de NAP, em virtude de um único servidor possuir os

serviços de NAP, RADIUS, Active Directory, DHCP e DNS.

32

X150-48t.2 # show configuration # # Module devmgr configuration. # configure sys-recovery-level switch reset # # Module vlan configuration. # configure vlan default delete ports all configure vr VR-Default delete ports 1-50 configure vr VR-Default add ports 1-50 configure vlan default delete ports 2-12, 16-23, 25-32, 47, 49-50 create vlan "AUTH" configure vlan AUTH tag 7 create vlan "GUEST" configure vlan GUEST tag 5 create vlan "INTERNET" configure vlan INTERNET tag 9 create vlan "remediacao" configure vlan remediacao tag 3 create vlan "Wireless" configure vlan Wireless tag 11 configure vlan Default add ports 13-15, 24, 33-46, 48 untagged configure vlan GUEST add ports 21-23 untagged configure vlan INTERNET add ports 24 tagged configure vlan remediacao add ports 24 tagged configure vlan remediacao add ports 16 untagged configure vlan Wireless add ports 24 tagged configure vlan Wireless add ports 47 untagged configure vlan Default ipaddress 192.168.20.20 255.255.255.0 configure vlan AUTH ipaddress 192.168.100.1 255.255.255.0 # # Module aaa configuration. configure radius mgmt-access primary server 192.168.20.1 1812 client-ip 192.168. 20.20 vr VR-Default configure radius mgmt-access primary shared-secret encrypted "qmgoz`p" configure radius netlogin primary server 192.168.20.1 1812 client-ip 192.168.20. 20 vr VR-Default configure radius netlogin primary shared-secret encrypted "qmgoz`p" enable radius mgmt-access enable radius netlogin # # Module acl configuration. # configure access-list zone SYSTEM application NetLogin application-priority 3 configure access-list zone SECURITY application GenericXml application-priority 2 # # Module netLogin configuration. # configure netlogin vlan AUTH enable netlogin dot1x mac enable netlogin ports 1-12 dot1x configure netlogin ports 1 mode port-based-vlans configure netlogin ports 1 no-restart configure netlogin ports 2 mode port-based-vlans configure netlogin ports 2 no-restart configure netlogin ports 3 mode port-based-vlans configure netlogin ports 3 no-restart configure netlogin ports 4 mode port-based-vlans configure netlogin ports 4 no-restart configure netlogin ports 5 mode port-based-vlans configure netlogin ports 5 no-restart configure netlogin ports 6 mode port-based-vlans configure netlogin ports 6 no-restart configure netlogin ports 7 mode port-based-vlans

33

configure netlogin ports 7 no-restart configure netlogin ports 8 mode port-based-vlans configure netlogin ports 8 no-restart configure netlogin ports 9 mode port-based-vlans configure netlogin ports 9 no-restart configure netlogin ports 10 mode port-based-vlans configure netlogin ports 10 no-restart configure netlogin ports 11 mode port-based-vlans configure netlogin ports 11 no-restart configure netlogin ports 11 allow egress-traffic all_cast configure netlogin ports 12 mode mac-based-vlans configure netlogin ports 12 no-restart configure netlogin ports 12 allow egress-traffic all_cast configure netlogin add mac-list ff:ff:ff:ff:ff:ff 48 encrypted "^eldsfu236" port s 1-12 configure netlogin dot1x timers supp-resp-timeout 1 enable netlogin dot1x guest-vlan ports 1 -12 configure netlogin dot1x guest-vlan GUEST ports 1-12 # # Module netTools configuration. # # # # Module stp configuration. # configure mstp region 000496527806 configure stpd s0 delete vlan default ports all disable stpd s0 auto-bind vlan default enable stpd s0 auto-bind vlan Default # Module telnetd configuration. # ================================================================================ X150-48t.2 # show vlan -------------------------------------------------------------------------------- ------- Name VID Protocol Addr Flags Proto Ports Vir tual Active rou ter /Total -------------------------------------------------------------------------------- ------- AUTH 7 192.168.100.1 /24 --LN--------------------- ANY 0 /11 VR-Default Default 1 192.168.20.20 /24 ------------T------------ ANY 5 /20 VR-Default GUEST 5 --------------------------------------------- ANY 1 /3 VR-Default INTERNET 9 --------------------------------------------- ANY 1 /1 VR-Default Mgmt 4095 --------------------------------------------- ANY 0 /1 VR-Mgmt remediacao 3 --------------------------------------------- ANY 1 /2 VR-Default Wireless 11 --------------------------------------------- ANY 1 /2 VR-Default ------------------------------------------------------------------------------- =============================================================================== X150-48t.3 # show iproute Ori Destination Gateway Mtr Flags VLAN Duration #d 192.168.20.0/24 192.168.20.20 1 U------um--f- Default 10d:20h:47 m:6s #d 192.168.100.0/24 192.168.100.1 1 U------um--f- AUTH 10d:20h:47 m:1s

Configuração Windows 2012 Server

34

Abaixo segue a configuração realizada do servidor para prover os serviços

de Active Directory, DNS, DHCP, GPO’s e NPS.

Active Directory

Foi criado um domínio com o nome saneparteste.com.br, no qual o grupo

AcessoRadius é necessário para os usuários conseguirem acesso no switch.

DNS A configuração do servidor DNS ficou a default do Windows, o serviço de

nomes está integrado com o Active Directory.

DHCP

A rede 192.168.20.0/24 é a qual possui acesso completo na rede.

35

GPO’s As policies foram configuradas para habilitar o serviço 802.1x nas estações

de trabalho automaticamente, quando elas ingressarem no domínio

saneparteste.com.br. Caso esse serviço não esteja habilitado a máquina será

movida para vlan de visitante.

36

37

NPS Regra Autenticação Switch A policie abaixo é utilizada para os usuários do domínio pertencentes ao

grupo AcessoRadius possam acessar a configuração do switch.

38

39

40

41

42

Regra Autenticação PfSense A policie do servidor PfSense tem por objetivo integrar o serviço de Captive

Portal com o Active Directory. Quando o usuário não autenticar na rede do domínio,

ou seja, máquina visitante, o computador vai ser direcionado a rede 192.168.1.0/24

e ao abrir um navegador Web o usuário vai ser solicitado a digitar um valor de

voucher válido para acesso a rede visitante.

43

44

Regra Autenticação 802.1x Está policie é utilizada para autenticar os usuários no domínio, com ela é

possível as seguintes premissas:

- Caso o usuário conecte um computador fora do domínio, será direcionado

a uma rede separada com acesso somente à Internet, onde o acesso será

controlado pelo PfSense.

-Se o usuário informar credenciais válidas, mas seu software antivírus

estiver desabilitado ou desatualizado, máquina sem atualizações recentes do

Windows Update ou firewall desabilitado, será direcionada a uma rede de correção,

ingressando na rede corporativa após as devidas correções.

- Se o usuário informar credenciais de domínio válidas, seu software

antivírus estivar atualizado e habilitado, Windows Update com as atualizações

instaladas e o firewall habilitado, será direcionado a uma rede com acesso completo

aos recursos.

45

46

47

Ordem das Policies As policies devem obedecer a ordem na figura abaixo, pois o NPS lê a

policies de forma sequencial, começa de cima para baixo, e a primeira regra que atenda os requisitos é processada e não lê as regras abaixo. O processo é similar as regras de firewall.

48

Configuração PfSense Para o correto funcionamento do PfSense é necessário duas placas de

redes. A interface LAN distribuí IP por DHCP, este serviço está instalado no próprio

servidor do PfSense. Os IPs são distribuídos para as máquinas não autenticadas

pelo protocolo 802.1x. A segunda interface será a WAN, o IP é fixo e está fora do

escopo DHCP do Active Directory.

Além dos serviços exemplificados, o PfSense conta ainda com o Captive

Portal. Este serviço foi instalado com o intuito dos usuários não caírem na rede de

visitantes e já acessarem a Internet, em virtude ser solicitado um número de voucher

válido antes de ingresso a rede. Isso é bom, pois existe maior controle da TI sobre

quem está acessando a rede visitante.

49

50

51

52

53

54

55

Autorização

Autorizo a reprodução e/ou divulgação total ou parcial da presente obra, por

qualquer meio convencional ou eletrônico, desde que citada a fonte.

Nome do autor: Alexander Ismael Barchini

Assinatura do autor: ____________________________

Instituição: Universidade Tuiuti do Paraná.

Local: Curitiba, Paraná

Endereço: Rua Rio Jaguaribe, 376.

E-mail: alexbarchini@hotmail.com