A imposição do protocolo IPsec da NAP (Proteção de Acesso à Rede) oferece o método mais forte e mais flexível para a manutenção da compatibilidade do computador cliente com os requisitos de integridade da rede.
A imposição do IPsec confina a comunicação em sua rede para aqueles computadores considerados compatíveis e que adquiriram certificados de integridade. Ao utilizar o IPsec e a sua flexibilidade de configuração, esse método de imposição da NAP permite que você defina requisitos para comunicações seguras com clientes compatíveis por endereço IP ou por número de porta. Para obter mais informações sobre o IPsec, consulte
As vantagens da imposição de IPsec
A imposição de IPsec é comumente usada quando você deseja um mecanismo de imposição mais forte e mais robusto do que a imposição de 802.1X, de DHCP ou de VPN. As vantagens da imposição de IPsec são as seguintes:
Imposição resistente a falsificações
A imposição IPsec não pode ser ignorada pela reconfiguração de um cliente NAP. Um cliente NAP não pode receber um certificado de integridade ou iniciar comunicação com um computador compatível manipulando configurações no computador local, mesmo se o usuário tiver privilégios administrativos. Além disso, a imposição de IPsec não pode ser ignorada por meio de hubs ou de tecnologias de computador virtual.
Nenhuma atualização de infra-estrutura é necessária
A imposição de IPsec funciona na camada de Internet do conjunto de protocolos TCP/IP e é, portanto, independente de componentes de infra-estrutura de rede física, como hubs, switches e roteadores.
Limitações flexíveis no acesso à rede
Com a imposição de IPsec, os computadores compatíveis podem iniciar comunicações com computadores não compatíveis, mas o contrário não acontece. O administrador define o tipo de tráfego que deve ser autenticado com um certificado de integridade e protegido com IPsec por meio das configurações de diretiva de IPsec. A diretiva de IPsec permite a criação de filtros IP que podem definir o tráfego por endereço IP de origem, endereço IP de destino, número do protocolo IP, porta TCP de origem e de destino e porta UDP de origem e de destino. Com a diretiva de IPsec e a definição do filtro IP, é possível limitar o acesso à rede por servidor ou por aplicativo.
Criptografia ponta a ponta opcional
Ao especificar configurações de diretiva de IPsec, você pode criptografar o tráfego IP entre itens de mesmo nível IPsec para o tráfego altamente confidencial. Ao contrário das LANs (redes locais) sem fio IEEE 802.11, que só criptografam quadros do cliente sem fio para o ponto de acesso sem fio, a criptografia do IPsec acontece entre computadores de IPsec de mesmo nível.
Imposição de IPsec e redes lógicas
A imposição de IPsec divide uma rede física em três redes lógicas. Um computador só pode ser membro de uma única rede lógica por vez. As redes lógicas são definidas em termos de que computadores possuem certificados de integridade e que computadores exigem a autenticação IPsec para tentativas de comunicação de entrada.As redes lógicas permitem que você limite o acesso de computadores que não atendam aos requisitos de integridade e oferecem um nível de proteção aos computadores compatíveis contra os incompatíveis. A imposição de IPsec define as seguintes redes lógicas:
-
Rede segura
Os computadores na rede segura possuem certificados de integridade e exigem que as tentativas de comunicação de entrada sejam autenticadas com esses certificados. Eles usam um conjunto comum de configurações de diretiva de IPsec para oferecer a proteção do IPsec. Por exemplo, a maioria dos computadores servidores e clientes que são membros de uma infra-estrutura do Active Directory® estaria em uma rede segura. Servidores de diretiva de integridade NAP, servidores com os AD CS (Serviços de Certificados do Active Directory) e servidores de email são exemplos de componentes de rede que normalmente residem em uma rede segura.
-
Rede de limite
Os computadores da rede de limite possuem certificados de integridade, mas não exigem a autenticação IPsec de tentativas de comunicação de entrada. Os computadores da rede de limite devem ser acessíveis a computadores de toda a rede. Esses tipos de computadores são os servidores necessários para a avaliação e correção da integridade do cliente NAP ou para o fornecimento de serviços de rede a computadores da rede restrita, como servidores HRA, servidores de atualização de antivírus, controladores de domíno somente leitura e servidores DNS. Como os computadores da rede de limite não exigem autenticação e comunicação protegida, devem ser gerenciados mais de perto, para impedir que sejam usados em ataques contra os computadores da rede segura.
-
Rede restrita
Os computadores da rede restrita não possuem certificados de integridade. Eles são os computadores que não concluíram as verificações de integridade, são convidados ou computadores incompatíveis com NAP, como aqueles que executam versões do Windows que não oferecem suporte a NAP, computadores Apple Macintosh ou baseados em UNIX.
A figura a seguir mostra um exemplo de redes lógicas IPsec.