Controlando o Acesso à Rede com IPsec e 802.1x

re: Controlando o Acesso à Rede com IPsec e 802.1x

Marcos Aurélio — Tue, 07 Nov 2006 23:15:55 GMT

Acredito que um dos principais problemas do 802.1x em redes cabeadas é a inexistência de facilidades de gerenciamento no AD para configurações do 802.1x.

Há casos de grandes empresas (mais de 6.000 máquinas) que tenham conseguido implementar o 802.1x em rede cabeada ?

re: Controlando o Acesso à Rede com IPsec e 802.1x

fcima — Wed, 08 Nov 2006 02:20:29 GMT

Oi Marcos, obrigado pelo comentário. Sem dúvida atualmente um dos maiores impedimentos para implementar 802.1x em redes cabeadas é a ausência de gerenciamento via AD ou scripts, e apontei este problema neste outro comentário (http://blogs.technet.com/fcima/archive/2006/10/30/o-que-voc-precisa-saber-antes-de-implementar-802-1x-em-redes-com-fio.aspx) que deve te interessar. Isso felizmente foi resolvido agora com o Windows Vista, mas segue sendo um impedimento para 2000/XP/2003.

Eu não conheço nenhum caso deste porte com 802.1x cabeado. Aqui na Microsoft somente usamos 802.1x em wireless.

re: Controlando o Acesso à Rede com IPsec e 802.1x

Alexandre Jose — Sat, 30 Jun 2007 01:11:51 GMT

Eu sou obrigado a discordar da visão passada neste artigo técnico, pois não foi citado os benefícios do IEEE 802.1x sobre o IPSEC, dando uma visão um pouco distorcida da tecnologia.

No meu ponto de vista, estas tecnologias não são concorrentes mais sim complementares, pois o próprio IPSEC não atende a todas as necessidades das redes corporativas, como por exemplo, aos itens abaixo:

- O IPSEC não protege a rede contra ataques DOS;

- O IPSEC não protege a rede contra máquinas fora do domínio;

- O IPSEC não permite o rastreamento físico dos usuários (localização) na infra-estrutura de rede, elemento este muito recomendado no draft da norma ISO 27002;

- O IPSEC não permite a mudança das políticas e segmentação da rede de forma automática, como o IEEE 802.1x permite.

Somado aos parágrafos em epigrafe, eu também questiono porque o IPSEC não é recomendado ou citado dentro da nova arquitetura NAP da Microsoft? Porque o IEEE 802.1x é citado!

Para finalizar o meu comentário, quero garantir que existem sites muito grande utilizando IEEE 802.1x em sua plenitude, no caso mais de 20.000 pontos de rede. Vale relembrar que o processo de maturação de qualquer padrão não é rápido, pois depende de uma disseminação da informação técnica e tratando-se do IEEE 802.1x – 2001, podemos afirmar que ele evoluiu muito em um curto período de tempo.

re: Controlando o Acesso à Rede com IPsec e 802.1x

fcima — Sat, 30 Jun 2007 14:55:32 GMT

Oi Alexandre,

Estou totalmente de acordo que as tecnologias são complementares, porque existem riscos que somente uma elimina e riscos que só a outra elimina. Como você citou, alguns tipos de DoS contra a própria infraestrutura de rede só são protegidos com uso de 802.1x. Qualquer organização provavelmente vai estar melhor servida implementando as duas tecnologias.

Eu só não estou de acordo com alguns pontos que você menciona. O IPsec protege justamente a rede *contra* as máquinas fora do domínio (acho que você quis dizer que o IPsec não protege as máquinas fora do domínio, apesar de existirem formas de fazer isso).

O IPec permite mudar as políticas de forma automática, o que eu acho até que é uma de sas das grandes vantages. Mudou a política de grupo, pronto, a política foi alterada. E com muito mais flexibilidade que em 802.1x, pois um computador só faz parte de uma VLAN, mas pode fazer parte de n grupos no AD.

O IPsec é uma das formas de controle recomendadas para o NAP, e diria até que é que mais recomendamos (se você for a nossa página do NAP em www.microsoft.com/nap vai ver IPsec sendo citado dezenas de vezes). O que não quer dizer que a Microsoft não esteja também apostando no 802.1x, e o Vista traz várias melhorias neste ponto incluindo as benditas políticas para configurar 802.1x em interfaces wired.

Ao final de contas o debate entre ambas as tecnologias está dentro do contexto entre colocar os controles na infraestrutura de rede x host, entre camada 2 x camada 3. Eu acho que o mundo caminha para um modelo de comoditização da infraestrutura de rede, e por isso proteger o host (com IPsec) é a melhor estratégia a longo prazo. Eu escrevi um pouco sobre isso em http://blogs.technet.com/fcima/archive/2007/06/09/deperimetriza-o-e-externaliza-o.aspx.

Obrigado pelo comentário, e eu o editei para tirar o seu endereço de e-mail e evitar spam. Eu já sofro aqui com dezenas de spams de comentário por dia e não quero o mesmo destino para você ;)

Abracos, - Fernando Cima

re: Controlando o Acesso à Rede com IPsec e 802.1x

Alexandre Jose — Mon, 02 Jul 2007 20:14:33 GMT

Fernando, eu continuo acreditando que esta discussão não pode ser polarizada entre o IEEE 802.1x de um lado contra o IPSEC do outro ou hosts versus network; porque existe um contexto muito mais abrangente do que o universo que estamos discutindo. Citando um exemplo, eu posso adicionar a chegada do IPv6 (AH e ESP embutidos), onde todas as implementações de IEEE 802.1x nada sofreriam, prevalecendo a independência das camadas de rede e facilitando muito o upgrade tecnológico. Contudo, eu acredito que não podemos defender o mesmo para redes IPv4 com IPSEC implementado, correto? De fato, eu concordo e defendo os benefícios citados por você a respeito do IPv4, mas acredito que não precisamos estender muito mais a discussão sobre o IEEE 802.1x, pois de uma forma ou de outra estamos visando o mesmo objetivo, ou seja, mobilidade com segurança na rede. Sucesso e obrigado pela discussão de alto nível!