A imposição de segurança IPsec de Protecção de Acesso à Rede (NAP) é o método mais seguro e flexível para manter o computador cliente em conformidade com os requisitos de estado de funcionamento de rede.
A imposição de IPsec restringe as comunicações dos computadores em conformidade e que tenham adquirido certificados de estado de funcionamento à sua rede. Ao tirar partido do IPsec e respectiva flexibilidade de configuração, este método de imposição de NAP permite-lhe definir requisitos de comunicações seguras com clientes compatíveis ao nível do endereço de IP ou do número de porta. Para mais informações sobre o IPSec, consulte
Vantagens da imposição de IPsec
A imposição de IPsec é normalmente utilizada quando pretende implementar um mecanismo mais seguro e robusto do que com as imposições de 802.1X, DHCP ou VPN. Seguem-se os benefícios da imposição de IPsec:
Imposição que evita adulterações
A imposição de IPsec não pode ser ignorada reconfigurando o cliente NAP. O cliente NAP não pode receber um certificado de estado de funcionamento ou iniciar comunicações com um computador compatível alterando as definições do computador local, mesmo se o utilizador possuir privilégios de administrador local. Adicionalmente, a imposição de IPsec não pode ser ignorada através da utilização de concentradores ou de tecnologias de computador virtual.
Não é necessário efectuar uma actualização da infra-estrutura
A imposição de IPsec trabalha ao nível da camada de Internet do conjunto de protocolos TCP/IP sendo assim independente dos componentes da infra-estrutura de rede física, tais como concentradores, comutadores e routers.
Acesso à rede limitado numa base por servidor ou por aplicação
Com a imposição de IPsec, os computadores compatíveis podem iniciar comunicações com computadores não compatíveis, mas os computadores não compatíveis não podem iniciar comunicações com computadores compatíveis. O administrador define o tipo de tráfego que tem de ser autenticado com um certificado de estado de funcionamento e protegido com IPsec através das definições de política IPsec. A política IPsec permite a criação de filtros IP que podem definir o tráfego por endereço IP de origem, endereço IP de destino, número de protocolo IP, porta TCP de destino e porta UDP de origem e de destino. Com a política IPsec e a definição de filtro IP, pode limitar o acesso à rede por servidor e por aplicação.
Encriptação ponto a ponto opcional
Através da especificação das definições de política IPSec, pode encriptar o tráfego IP entre os pontos IPSec para tráfego confidencial. Ao contrário das redes locais (LANs) sem fios IEEE 802.11, que apenas encriptam os pacotes do cliente sem fios para o ponto de acesso sem fios, a encriptação IPSec ocorre entre computadores de uma rede ponto-a-ponto IPsec.
Imposição de IPsec e redes lógicas
A imposição de IPsec divide uma rede física em três redes lógicas. Um computador é membro de apenas uma rede lógica a cada momento. As redes lógicas são definidas consoante os computadores que possuem certificados de estado de funcionamento e os computadores que necessitam de autenticação IPsec para as tentativas de comunicação recebidas. As redes lógicas permitem-lhe limitar o acesso a computadores que não cumprem os requisitos de estado de funcionamento e fornecem aos computadores compatíveis um nível de protecção relativamente aos computadores não compatíveis. A imposição de IPsec define as redes lógicas seguintes:
-
Rede segura
Os computadores na rede segura possuem certificados de estado de funcionamento e exigem que a comunicação recebida seja autenticada com estes certificados. Utilizam um conjunto comum de definições de política IPSec para fornecer protecção IPSec. Por exemplo, grande parte dos computadores servidor e cliente que são membros de uma infra-estrutura Active Directory® estarão numa rede segura. Os servidores de política do estado de funcionamento NAP, os servidores que executam os Serviços de Certificados do Active Directory (AD CS) e os servidores de correio electrónico são exemplos de componentes de rede que normalmente residem numa rede segura.
-
Rede de limite
Os computadores numa rede de limite possuem certificados de estado de funcionamento, mas não requerem autenticação IPsec por parte das tentativas de comunicação recebidas. Os computadores na rede de limite têm de ser acessíveis aos computadores em toda a rede. Estes tipos de computadores são os servidores necessários para avaliar e corrigir o estado de funcionamento do cliente NAP ou, de outro modo, fornecer serviços de rede a computadores na rede restrita, tais como servidores HRA, servidores de actualização do antivírus, controladores de domínio só de leitura e servidores de DNS. Como os computadores na rede de limite não requerem autenticação e comunicações protegidas, têm de ser geridos de perto para evitar que sejam utilizados para atacar computadores na rede segura.
-
Rede restrita
Os computadores na rede restrita não possuem certificados de estado de funcionamento. São computadores que não concluíram as verificações do estado de funcionamento, são computadores convidados ou são computadores não elegíveis para NAP, tais como computadores a executar versões do Windows que não suportam NAP, computadores Macintosh da Apple ou computadores baseados em UNIX.
A figura seguinte mostra um exemplo das redes lógicas IPsec.