locked
IPSEC Windows Server 2012 RRS feed

  • Pergunta

  • Boa tarde Pessoal!

    Estou querendo configurar o IPSEC em minha rede.

    Alguém saberia me informar se tem algum passo a passo para implementar no IPSEC no domínio windows server 2012 r2?

    Sds,

    Alexander.

    sexta-feira, 2 de outubro de 2015 16:30

Respostas

Todas as Respostas

  • Alexander,

    Tem um tutorial no TechNet: https://technet.microsoft.com/pt-br/library/deploy-ipsec-firewall-policies-step-by-step%28v=ws.10%29.aspx.

    Espero que ajude.

    Abraço,
    Gustavo Zimmermann Montesdioca
    Blog: www.gm9.com.br

    sexta-feira, 2 de outubro de 2015 17:05
  • Primeiramente, você precisa definir o que você quer assegurar com o uso de IPSEC, para depois saber se você pode ou não implementa-lo. Existem cenários onde o uso é recomendado e outros onde não é literalmente.

    sexta-feira, 2 de outubro de 2015 17:27
  • Boa tarde Anderson!

    Eu gostaria de garantir a segurança dos meus dados que trafegam pela minha rede dentro do meu domínio.

    Isso seria possível com o IPSEC?

    Sds,

    Alexander.

    sexta-feira, 2 de outubro de 2015 17:29
  • Boa tarde Gustavo!

    Esse tutorial não serve para o Server 2012, já tinha dado uma lida nele.

    Mas mesmo assim vlw pela dica!

    Abraços,

    Alexander.

    sexta-feira, 2 de outubro de 2015 18:08
  • Garantir a segurança de dados é algo muito genérico. Seja mais claro e específico.
    sexta-feira, 2 de outubro de 2015 18:09
  • Alexandre,

    Na rede interna, o IPSec é recomendável somente em um servidor que requer um alto nível de segurança, por exemplo, servidor que faz transações com cartão de crédito. O SMB 2.0 (WS 2008 e Windows 7) e, principalmente, 3.0 (WS 2012 e Windows 8) oferece um bom nível de segurança. Você pode, ainda, habilitar encryption, que utiliza AES, para criptografar a comunicação com SMB 3.0, isso é bem mais simples do que IPSec. Dá uma olhada nesse post http://www.windowsecurity.com/articles-tutorials/misc_network_security/Secure-SMB-Connections.html

    Abraço,
    Gustavo Zimmermann Montesdioca
    Blog: www.gm9.com.br


    sexta-feira, 2 de outubro de 2015 18:20
  • Bom dia Anderson!

    Trabalho em uma instituição financeira, sendo assim, o trafego de dados pela minha rede, é composta em sua maioria por dados confidenciais, tais como saldos em conta corrente, aplicações financeiras, senhas para tais acessos, etc.

    Sendo assim gostaria de garantir uma segurança a mais a minha rede, caso sofra algum ataque do tipo man-in-the-middle, ou algo parecido. Por isso pensei na implantação do IPSEC.

    Caso o IPSEC não seja o mais adequado, teria outra forma de aumentar a minha segurança?

    Sds,

    Alexander.

    terça-feira, 6 de outubro de 2015 14:16
  • Bom dia Gustavo!

    Segue a minha necessidade de proteção, veja se consegue me ajudar.

    Trabalho em uma instituição financeira, sendo assim, o trafego de dados pela minha rede, é composta em sua maioria por dados confidenciais, tais como saldos em conta corrente, aplicações financeiras, senhas para tais acessos, etc.

    Sendo assim gostaria de garantir uma segurança a mais a minha rede, caso sofra algum ataque do tipo man-in-the-middle, ou algo parecido. Por isso pensei na implantação do IPSEC.

    Caso o IPSEC não seja o mais adequado, teria outra forma de aumentar a minha segurança?

    Sds,

    Alexander.

    terça-feira, 6 de outubro de 2015 14:17
  • Alexander, boa tarde.

    Dependendo do tamanho da sua rede, usar simplesmente IPsec pode acabar gerando uma série de problemas. O SMB não transfere informações em plain text, você pode aumentar o nível de segurança com algumas medidas simples como desabilitar o SMB 1.0, habilitar o SMB signing e criptografia no SMB 3.0. Eu creio que nesse espaço, eu e outros colegas podemos dar insights do que você pode implementar e onde pesquisar, mas segurança de rede não se faz com uma mudança de configuração apenas, requer a análise de topologia de rede, testes e implementação, varia muito de acordo com o tamanho da sua empresa. Eu sugiro que você contrate um serviço especializado para essa implementação ou, caso isso não seja possível, estude o domínio Communication and Network Security do CISSP (https://www.isc2.org/cissp-domains/default.aspx), os documentos abaixo e monte um laboratório de homologação antes de implementar em produção.
    Using Microsoft Windows IPSec to Help Secure an Internal Corporate Network Server: http://www.microsoft.com/en-us/download/details.aspx?id=18254
    Secure SMB Connections: http://www.windowsecurity.com/articles-tutorials/misc_network_security/Secure-SMB-Connections.html

    Abraços,
    Gustavo Zimmermann Montesdioca
    Blog: www.gm9.com.br

    terça-feira, 6 de outubro de 2015 19:37
  • Bom dia Gustavo tudo bom?

    Cara, seguinte, hoje a minha rede tem aproximadamente 100 máquinas, nesse caso vc não acha interessante a implementação do IPSEC para esse cenário?

    Atualmente temos outros serviços funcionando em nossa rede, tais como WSUS, NAP, Firewall, antivirus, nenhum usuário possui permissão de administrador, redundância de servidores, atualizei as politicas de segurança com o SCM 3.0 nas máquinas clientes e nos servidores, etc. Mas tenho me focado bastante em funcionalidades que possam melhorar a segurança da minha rede.

    Andei lendo sobre o AD RMS, vc acha que seria interessante a implementação dele em minha rede?

    Sds,

    Alexander.

    quarta-feira, 7 de outubro de 2015 13:39
  • Man-In-The-Middle em uma rede corporativa? Soa como se não houvesse segurança alguma na sua rede e se isso é verdade, na minha opinião é preciso rever quem está tomando conta deste pilar, não implementar IPSEC.

    Entenda que você precisaria de IPSEC para garantir a comunicação entre uma fonte externa e sua organização, por exemplo, uma VPN interligando duas organizações.

    Você até poderia implementar IPSEC para assegurar a comunicação entre cliente e servidor ou então criar regras garantindo quem pode se conectar e em quais portas pode se conectar a determinados servidores.

    A título de exemplo, se você tem uma solução baseada em 3-Tiers (Web, App e DB Servers), não faz sentido deixar que os membros possam se conectar a porta 1433 do DB Server. Membros devem ser capazes de se conectar a porta 80 do Web Server e a partir deste servidor, a comunicação deve ser controlada.

    quarta-feira, 7 de outubro de 2015 14:03
  • Bom dia Anderson, tudo bom?

    Cara, é o seguinte, embora eu tome conta da minha rede, existem algumas situações que não tenho como controlar. Por exemplo, um auditor externo pede para conectar o notebook dele a minha rede...

    Mesmo eu dizendo que não posso fazer isso dessa maneira, que preciso de executar alguns procedimentos na máquina dele, que preciso de me certificar que a máquina dele não vá oferecer risco a minha rede, etc. A minha diretoria simplesmente manda que eu conecte a máquina dele a rede e pronto.

    São algumas dessas situações que estou tentando minimizar.

    Sds,

    Alexander

    quarta-feira, 7 de outubro de 2015 14:20
  • Alexander, bom dia.

    A alternativa mais simples é criar uma rede ou vlan guest separada para auditores e visitantes. Como disse o Anderson, existem medidas mais simples para aumentar a segurança de rede. A maioria dos protocolos de transmissão de dados já tem um nível de segurança, o uso de IPsec em rede interna eu só vi quando era necessário proteger um sistema específico, ai se habilitava IPsec nesse servidor e nas estações que precisavam de acesso. Dá uma olhada links que te enviei. O RMS é uma solução legal para evitar vazamento de documentos, a implementação é trabalhosa.

    Abraços,
    Gustavo Zimmermann Montesdioca
    Blog: www.gm9.com.br

    quarta-feira, 7 de outubro de 2015 14:54
  • Boa tarde Gustavo.

    Blz, cara, em relação ao IPSEC eu entendi. Está descartado aplicar tal solução em meu ambiente.

    Em relação a rede para auditores é bem mais complicada, pois eles precisam ter acessos aos mesmos recursos da rede, tal como acessar o servidor de arquivos. Esse é uma situação que ainda vou precisar de quebrar a cabeça pra criar uma solução mais adequada.

    A minha grande preocupação é com essas máquinas externas que de tempos em tempos tenho que conectar a minha rede. Pois a minha rede em si é um ambiente muito controlado.

    Possuímos firewall (sonicwall), suite de segurança da trend (Smart Protection for Endpoints), nenhum usuário possui privilégio de administrador, bloqueio das portas usb, cd-rom e disquetes, WSUS, NAP, modelos de segurança com a utilização do SCM 3.0, etc.

    Mas todas essas medidas não são aplicadas as máquinas externas (auditores), o que acaba me deixando preocupado com a segurança da minha rede.

    A VLAN, seria uma alternativa, mas eles não teriam acesso ao servidor de arquivos.

    Mas mesmo assim agradeço pela ajuda, vlw mesmo!

    Em relação ao RMS, conhece algum passo a passo?

    Abraços,

    Alexander.

    quarta-feira, 7 de outubro de 2015 17:24
  • Alexander, tudo bem?

    Sugiro dar uma olhada no TechNet que tem detalhes de como criar um lab com RMS:

    https://technet.microsoft.com/pt-br/library/hh831364.aspx

    Tem vários tutoriais na internet também como fazer a implementação.

    Abraços,
    Gustavo Zimmermann Montesdioca
    Blog: www.gm9.com.br

    quinta-feira, 8 de outubro de 2015 16:27