terça-feira, 13 de abril de 2010

FIREWALL E PROXY NO WINDOWS SERVER 2003 COM AUTENTICAÇÃO DE USUÁRIOS PELO ACTIVE DIRECTORY.

RESUMO

Muito se ouve falar em segurança da informação, mas o que realmente isto quer dizer? Há muito empenho em proteger informações; mas de quem? Ou como se proteger se na maioria das vezes as pessoas que têm acesso não autorizado ou até mesmo autorizado com uso de senhas que dão acesso as informações, mas que são obtidas por meios ilegais usando-as de forma ilegítima.

Seja qual for o seu ambiente, é altamente recomendável que você leve a segurança a sério. Muitas organizações cometem o erro de subestimar o valor do ambiente de TI (Tecnologia da Informação), geralmente porque deixam de considerar custos indiretos substanciais. Se um ataque contra os servidores do seu ambiente for bastante sério, poderá causar grandes danos a toda a empresa. Por exemplo, um ataque no qual o site corporativo é tirado do ar causando uma grande perda de receita ou de confiança dos clientes pode acabar com a rentabilidade da sua empresa. Ao avaliar custos de segurança, você deve levar em consideração os custos indiretos associados a qualquer ataque, além dos custos da perda da funcionalidade de TI.

A análise de vulnerabilidade, riscos e exposição à segurança fornece uma idéia da relação de perdas e ganhos entre segurança e facilidade de uso a que todos os sistemas de computação estão sujeitos em um ambiente de rede.

INTRODUÇÃO

Com o objetivo de analisar a eficiência do Firewall e Proxy ISA SERVE 2006 no Ambiente WINDOWS SERVE 2003, verificamos que não há ambiente 100% seguro e nem o software que garanta a total segurança. O que garante realmente a segurança de um ambiente é a qualidade da implementação da segurança e é claro com uma boa política de segurança aliada.

Usando a plataforma do Windows Server 2003 implantamos o ISA SERVER 2006, neste configuramos um Firewall e Proxy; com o Firewall aplicamos uma política de segurança em um ponto de controle da rede, que é o servidor que liga a rede interna a externa, já o Proxy tem uma série de usos, como filtrar conteúdo, providenciar anonimato é necessário um alto poder de armazenamento. Para reforça a segurança usamos também o Active Directory, é composto por um conjunto de ferramentas para o armazenamento e controle de informações sobre toda configuração da rede, incluindo dispositivos e usuários.

1 – Definição da Tecnologia

Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP.
Os primeiros sistemas firewall nasceram exclusivamente para suportar segurança no conjunto de protocolos TCP/IP.
O termo inglês firewall faz alusão comparativa da função que este desempenha para evitar o alastramento de acessos nocivos dentro de uma rede de computadores à uma parede corta-fogo (firewall), que evita o alastramento de incêndios pelos cômodos de uma edificação.
Existe na forma de software e hardware, ou na combinação de ambos (neste caso, normalmente é chamado de "appliance"). A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado.
Uma aplicação proxy popular é o caching web proxy, um web proxy usado com cache. Este provê um cache de páginas da Internet e arquivos disponíveis em servidores remotos da Internet, permitindo aos clientes de uma rede local (LAN) acessá-los mais rapidamente e de forma viável.
Quando este recebe uma solicitação para aceder a um recurso da Internet (especificado por uma URL), um proxy que usa cache procura por resultados desta URL no seu cache local. Se o recurso for encontrado, ele é retornado imediatamente. Senão, ele carrega o recurso do servidor remoto, retornando-o ao solicitador e armazena uma cópia deste no seu cache. O cache usa normalmente um algoritmo de expiração para a remoção de documentos de acordo com a sua idade, tamanho e histórico de acesso. Dois algoritmos simples são o Least Recently Used (LRU) e o Least Frequently Used (LFU). LRU remove os documentos que passaram mais tempo sem serem usados, enquanto o LFU remove documentos menos freqüentemente usados.
O proxy também é usado por hackers, para navegar anonimamente, ou seja, é feita a substituição de um proxy por outro, afim de burlar proteções oferecidas pelo proxy original. A privacidade de servidores de proxy públicos foi questionada recentemente, após um adolescente norte-americano de treze anos descobrir, através da análise do código fonte de um site, que o um famoso site para navegação anônima, gerava logs com dados reais de seus usuários e os enviava para a policia norte-americana[carece de fontes?
Muitas pessoas utilizam o Proxy, como já dito, para burlar sistemas de proteção, ou seja, informalmente falando, seria como ele jogasse a culpa para outra pessoa pelo IP.
Um proxy transparente é um método para obrigar os utilizadores de uma rede a utilizarem o proxy. Além das características de caching dos proxies convencionais, estes podem impor políticas de utilização ou recolher dados estatísticos, entre outras . A transparência é conseguida interceptando o tráfego HTTP (por exemplo) e reencaminhando-o para o proxy mediante a técnica ou variação de port forwarding (é o ato de direcionar uma porta da rede (network port) de um modo de rede para outro. Esta técnica pode permitir que um usuário alcance uma porta em um endereço de IP privado mesmo estando fora dessa rede, através de um roteador com NAT habilitado.). Assim, independentemente das configurações explícitas do utilizador, a sua utilização estará sempre condicionada às políticas de utilização da rede. O RFC 3040 define este método como proxy interceptador. Por que? Por que o proxy transparente não funciona bem com certos browsers web. Com a maioria dos browsers ele funciona bem, mas mesmo se um quarto de seus usuários está usando browsers mau-comportados, você pode esperar que os custos de help desk excedam qualquer benefício que você pode ganhar com o proxy transparente. Infelizmente, estes browsers são largamente utilizados.
Estes browsers se comportam de forma diferente se sabem que há um proxy todos os outros browsers seguem o padrão, e a única alteração que eles fazem com um proxy é direcionar as solicitações para uma máquina e porta diferentes. Browsers que não se comportam bem deixam alguns cabeçalhos HTTP fora das solicitação, e só acrescentam os mesmos se sabem que há um proxy. Sem aqueles cabeçalhos, comandos de usuários como "reload" não funcionam se houver um proxy entre o usuário e a origem.
O proxy transparente também introduz uma camada de complexidade, que pode complicar transações que de outra forma seriam simples. Por exemplo, aplicações baseadas em web que pedem um servidor ativo não podem fazer o teste do servidor fazendo uma conexão eles será conectado ao proxy em vez do servidor.
Para que nosso ambiente tenha autenticidade vamos integrar com o ISA SERVER o Active Directory. Além de armazenar vários objetos em seu banco de dados, o AD disponibiliza vários serviços, como: autenticação dos usuários, replicação do seu banco de dados, pesquisa dos objetos disponíveis na rede, administração centralizada da segurança utilizando GPO, entre outros serviços. Esses recursos tornam a administração do AD bem mais fácil, sendo possível administrar todos os recursos disponíveis na rede centralizadamente.
Para que os usuários possam acessar os recursos disponíveis na rede, estes deverão efetuar o logon. Quando o usuário efetua logon, o AD verifica se as informações fornecidas pelos usuários são válidas e faz a autenticação, caso essas informações sejam válidas.
O AD é organizado de uma forma hierárquica, com o uso de domínios. Caso uma rede utilize o AD, poderá conter vários domínios. Um domínio é nada mais do que um limite administrativo e de segurança, ou seja, o administrador do domínio possui permissões somente no domínio, e não em outros domínios. As políticas de segurança também se aplicam somente ao domínio, e não a outros domínios. Resumindo: diferentes domínios podem ter diferentes administradores e diferentes políticas de segurança. s será conectado ao proxy em vez do servidor.

2 – Apresentando as Ferramentas.

Usamos no servidor o Sistema Operacional (é um programa ou um conjunto de programas cuja função é servir de interface entre um computador e o usuário.) Windows SERVER 2003 que foi lançado pela Microsoft em 24 de abril de 2003 sendo também conhecido como W2K3, podemos falar que é o Windows Xp para rede.
Ele apresenta o Active Directory (é “Diretório Ativo”, também conhecido como AD.) como principal ferramenta para a administração de domínios. É uma implementação de serviço de diretório no protocolo LDAP (Lightweight Directory Acess Protocol: é usado para atualizar e pesquisar diretórios rodando sobre TCP/IP.). O AD permite que os administradores atribuam à empresa políticas largas, desdobrem programas a muitos computadores, e apliquem updates críticos a uma organização inteira. As redes ativas do diretório podem variar desde uma instalação pequena, com cem objetos, a uma instalação grande, com milhões de objetos. O AD foi inspecionado em 1996 e usado primeiramente com Windows 2000. Mais tarde, foi revisado para estender a sua funcionalidade e melhorar a administração para uma nova versão, o W2K3. Como o AD é implementado no LDAP ele se baseia nos nomes já existentes do sistema DNS (Domain Name System), na estrutura dos níveis mais básicos.
O DNS é um sistema de gerenciamento de nomes hierárquicos e distribuído operando segundo duas definições:
  • Examinar e atualizar seu banco de dados;
  • Resolver nomes de domínios em endereços de rede IPs.
O DNS atua resolvendo nome do domínio de um host qualquer para seu endereço IP correspondente.

Para proteger este ambiente usamos o ISA SERVER 2006 que é um Firewall e Proxy. Ele fornece uma grande variedade de métodos de autenticação, melhorias no gerenciamento de certificado digital, e um novo recurso contra ataques de flood. Também inclui melhorias como a compressão HTTP, o qual permite mais eficiência e mais agilidade na configuração de comunicações entre os escritórios das filiais.
Para instalar o ISA é necessário ter pelo menos processador Pentium III com 550 MHz ou superior, sistema operacional Windows SERVER 2003 SP1, 256 MB de memória, 150 de espaço em disco rígido formatada com NTFS e espaço adicional será requerido para cachê WEB, dois adaptadores de rede sendo um para rede interna e outro para externa, este externo pode ser modem etc, cd-rom, monitor VGA, teclado e mouse.
O Isa reuni tanto a função de filtragem de pacotes como de servidor Proxy, com tudo deve-se avaliar o encapsulamento como é o caso do IPsec.
Filtro de pacotes é um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunicação. O termo se popularizou a partir dos anos 90, época que surgiram as primeiras implementações comerciais baseada na suíte de protocolos TCP/IP.
Servidor Proxy atende a requisições repassando os dados do cliente a frente. Um usuário conecta-se a um servidor Proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor. Um servidor Proxy pode, opcionalmente, alterar a requisição do cliente ou a resposta do servidor e, algumas vezes, pode disponibilizar este recurso sem nem mesmo se conectar ao servidor especificado. Pode também atuar como um servidor que armazena dados em forma de cachê em redes de computadores. São instalados em maquinas com ligações tipicamente superiores as dos clientes e com poder de armazenamento elevado.

3 – Instalando o Active Directory.

Após instalar o Windows SERVER 2003, é necessário realizar todas as atualizações no Windows Update, para corrigir possíveis falhas de segurança.
Logo depois já podemos começar a configurar nosso servidor. A tela inicial é a seguinte:

Observe que não há opções para GERENCIANDO AS FUNÇÕES DO SEU SERVIDOR, pois nada foi configurado ainda. Contudo podemos clicar na opção adicionar ou remover uma função.
            Ao clicarmos nesta opção citada acima para instalar o Active Directory aparecerá a seguinte tela:

Nesta tela escolhemos a opção CONFIGURAÇÃO PERSONALIZADA, pois não queremos instalar todas as funções de um servidor já que não utilizaremos, dessa forma pouparemos recursos da máquina. Logo depois clicamos em avançar. Que passará para a tela seguinte onde será exibida todas as funções, tanto instaladas com ainda não instaladas.

Começamos instalando o Controlador de Domínio (Active Directory). Selecionamos a função desejada e clicamos em avançar.

Clicamos em avançar novamente.

Nesta janela informa as compatibilidades de sistemas operacionais com o AD. Clicamos em avançar novamente.

Como estamos criando o nosso primeiro domínio clicamos na primeira opção e logo depois em avançar.

Deixamos a primeira opção marcada, pois estamos iniciando nossa floresta. Depois clicamos em avançar.

Nesta janela digitaremos o nome de nosso domínio, por exemplo: fatene.edu.br; neste caso usamos o seguinte domínio: ASW21.COM.BR. Logo depois de digitar o nome de domínio clicamos em avançar.

Nesta janela colocamos o Nome NetBios do domínio, que na verdade é o nome curto do domínio do Active Directory, sendo utilizado por questões de compatibilidade com clientes antigos. Este nome é usando em programação PHP para autenticação através das variáveis globais da linguagem como por exemplo:

$ldap_server = “asw21.com.br”; //É o nome do domínio ou o nome do servidor do domínio caso seja um servidor apenas.

$dominio = “ASW21”; // É o nome NetBios do domínio.

Depois de digitado o nome curto do domínio clicamos em avançar.

Nesta janela especificamos os locais onde ficarão armazenados o banco de dados e os logs do AD, é recomendado que fiquem em discos rígidos separados para melhorar o desempenho e até mesmo a segurança, para este trabalho temos apenas um disco rígido particionado em quatro unidades, melhoramos a segurança, no entanto o desempenho ficaria melhor se fossem em discos distintos. Logo depois de definirmos as especificações clicamos em avançar.

Agora vamos especificar o local onde será criada a pasta SYSVOL. Essa pasta contem informações essenciais para o funcionamento do AD e implementações das GPO’s. Essa pasta deve ser criada em uma partição formatada com o sistema de arquivos NTFS.

Como não temos o serviço DNS disponível na rede, será exibida uma mensagem informando que o assistente não localizou um servidor DNS. Selecionamos a opção de instalar e configurar o servidor DNS e clicamos em avançar.

Agora definimos o tipo de permissão padrão utilizada para os objetos usuários e grupos. A primeira opção só deve ser selecionada quando existem servidores que rodem versões anteriores ao Windows 2000, ou servidores Windows 2000 membros de um domínio Windows NT. Com essa opção, o acesso anônimo será permitido no servidor. Já a segunda opção dever ser escolhida quando todos os servidores rodarem versões do Windows 2000 ou superior. Com essa opção, o acesso ao servidor somente poderá ser feito por usuários autenticados. Logo escolhemos a segunda opção e clicamos em avançar.

Agora definimos a senha que será utilizada quando o servidor for iniciado no modo de restauração do AD. Informamos a senha duas vezes e clicamos em avançar.

Agora é exibido um resumo das configurações, clicamos em avançar. Agora o assistente fará todas as configurações necessárias para que o AD seja instalado e o domínio asw21.com.br seja criado. Lembrando que para todo este processo é fundamental a inserção do CD do Windows Server 2003.

Finalizamos aqui a instalação do Active Directory.

4– Agora vamos configurar as interfaces de Rede.

A maioria dos problemas que podemos encontrar em relação ao ISA é a resolução de nomes tanto para nossa Rede Interna quanto para a Internet. O primeiro passo é configurar as Interfaces de Redes no servidor onde iremos instalar o ISA SERVER 2006.
Em nosso servidor usaremos um cenário com duas interfaces de Rede, uma será utilizada para conexão com a rede interna e outra com a internet. Para facilitar à identificação das interfaces de redes renomeamos a interface de rede com os respectivos nomes Rede Local e Internet.

Ainda as conexões de rede aberta clicamos na guia avançado e depois em Configurações avançadas. Selecionamos a interface que corresponde a interface de rede com a conectividade para Rede Interna na lista de conexões. No caso a interface Rede Local. Clicamos no botão com a seta para cima para mover a interface de rede nomeada REDE LOCAL para o topo da lista. A caixa de dialogo ficará semelhante a esta figura abaixo.

Clicamos em OK para salvar as alterações.

5– Instalando o ISA Server 2006.

Ao abrir o arquivo de instalação clicamos no link Instalar o ISA SERVER 2006.

Será carregada a janela conforme mostra a figura a seguir.

Na janela Bem-vindo ao Assistente para Instalação do Microsoft ISA Server 2006 clicamos em avançar para continuar. Será carregada a janela conforme mostra a figura abaixo.

Na janela Contrato de Licença selecionamos em Aceito os termos do Contrato de Licença e clicamos em avançar para continuar. Será carregada a janela que podemos ver na figura que se segue.

Na Janela Informações sobre o cliente colocamos o nome de usuário, o nome da organização e o serial, logo depois damos continuidade clicando em avançar. Será carregada a janela conforme a figura a seguir.

Na janela Tipo de instalação, temos duas opções para escolhermos como instalar o ISA Server 2006:
  • A opção Típica irá instalar os principais recursos do ISA.
  • A opção Personalizar nos permite escolher quais componentes serão instalados. Se não quisermos instalar o software do ISA sobre o drive junto com o sistema operacional clicamos em alterar para modificar a localização dos arquivos de programa sobre o disco rígido.
Escolhemos a opção Personalizar para verificarmos as mudanças possíveis. Logo que seja clicado em avançar carregara uma janela semelhante a figura a seguir.

Na janela Instalação personalizada escolhemos quais componentes queremos instalar. Por padrão, quando escolhemos a opção Típica, o ISA Server, Log Avançado e Gerenciamento do ISA Server são instalados.
  • ISA SERVER: Controla o acesso e trafego entre redes;
  • Log Avançado: Instala o Microsoft Data Engine(MSDE) usado para exibir e filtrar dados de log histórico;
  • Gerenciamento do ISA Server: Permite o gerenciamento remoto do ISA Server usando o snap-in do console de Gerenciamento do ISA Server.
Selecionamos todos os componentes para serem instalados e em seguida clicamos em avançar.

Na janela Rede Interna, definimos o intervalo de endereço que inclui a Rede Local que contem os serviços de rede com os quais o ISA Firewall deve comunicar-se. Como por exemplo, Domain Controllers, Servidores DNS, DHCP, Terminal Services, estações de trabalho, etc. clicamos em Adicionar para inserirmos o intervalo de endereço ip.

Na janela endereço, definimos o intervalo de endereço de rede local. Podemos entrar manualmente com os endereços que inclui a REDE LOCAL informando o primeiro e ultimo endereço ou configurando a REDE LOCAL através do botão adicionar adaptador. Esta opção permite que o ISA Firewall usa a tabela de roteamento para determinar os endereços usados para a REDE LOCAL. Uma outra opção é clicar em Adicionar Particular, que permite selecionar um intervalo de endereço de rede pré-configurado. Clicamos em adicionar adaptador de rede.

Selecionamos o adaptador que renomeamos como Rede Local, antes de começar a instalação do ISA Server. Clicamos em OK.

Clicamos no botão OK da janela Endereço. Será carregada uma janela conforme mostra a figura a seguir, informamos o intervalo de rede configurado para a interface de rede da REDE LOCAL. Clicamos em avançar.

Clicamos em avançar para continuar.

Se houver cliente de Firewall usando versões anteriores do Winsock Proxy (Proxy Server 2.0) ou cliente firewall ISA SERVER 2000 devemos marcar a opção Permitir conexões não criptografadas do cliente de Firewall, isto permitirá que continue usando o software clientes do firewall de versões anteriores. Caso marque esta opção o ISA Server não irá encriptografar o trafego com o cliente firewall executando versões anteriores. Como nos so usaremos estações Windows Server 2003 e Windows XP não há necessidade de abrirmos esta brecha.

Nenhum comentário:

Postar um comentário