Guilherme Gouveia

Pessoal segue mais uma dica referente a configuração que pode ser utilizada para a implantação do SharePoint em ambientes com maior complexidade.

Este post possui caracteristicas de um procedimento técnico, fazendo relação a ambientes comuns na rotina de um consultor técnico com atuação na implementações nas quais segurança e melhores práticas devem ser priorizadas.

Requisitos para configuração no Firewall DMZ

Antes de efetuar as configurações nos servidores é necessário a liberação do tráfego no firewall.

Neste caso o firewall tem um DMZ, as regras da rede externa só serão liberados o protocolo http (80) e para rede interna o protocolo IPSEC.

Segue portas

• IP Protocol ID 50: For both inbound and outbound filters. Should be set to allow Encapsulating Security Protocol (ESP) traffic to be forwarded.

• IP Protocol ID 51: For both inbound and outbound filters. Should be set to allow Authentication Header (AH) traffic to be forwarded.

• UDP Port 500: For both inbound and outbound filters. Should be set to allow ISAKMP traffic to be forwarded

Máquinas envolvidas nesta ação:

Será habilitado ipsec entre os servidores, neste cenário a política será atribuído a três equipamentos:

• Domain Controlers
• SQL Server
• SharePoint 2007

Criando a police

1. No mmc do Usuários e computadores do Active Directory crie um GPO chamada IPSEC, edite a mesma e vá até o item Diretiva de Segurança IP.

2. Clique com o botão direito em e escolha Gerenciar Listas de Filtros IP e ações de filtro.

3. Clique em adicionar

4. Em NOME insira um nome amigável e depois clique no botão adicionar

5. Clique em avançar e novamente em avançar.

6. Agora escolha a opção conforme a figura abaixo, neste item é definido o ip de origem, depois clique em avançar.

7. Neste item selecione o item conforme abaixo, mas caso o destino for a subnet inteira selecione o item relacionado na lista, depois clique em Avançar.

8. Na próxima tela clique em avançar

9. E depois Clique em Concluir

10. Agora irá retornar para a tela inicial do IPSEC,clique em OK e depois em Fechar.

Criando a police IPSEC

1. Selecione o item a cima Criar diretiva de segurança IP..

2. Clique em avançar e na tela de Nome da diretiva, insira um nome e clique em avançar.

3. Na tela abaixo clique em avançar

4. Clique em avançar. OBS: Neste item é utilizado a autenticação via kerberos, mas existem ainda mais dois métodos, como certificado ou chave pré compartilhada.

5. Clique em concluir

6. Clique em adicionar

7. Clique em avançar

8. clique em avançar.

9. Clique em Avançar

10. Selecione o Filtro Criado anteriormente, depois clique em avançar.

11. Marque o item Require Security, neste modo a comunicação segura é obrigatória.

12. Clique em Avançar

13. Clique em concluir

14. Ao completar a police vai apresentar duas opções, a padrão e que foi criado, conforme abaixo.

15. Agora vamos atribuir a política, clique com o botão direito na política e selecione atribuir, depois vá até os servidores que vão receber está política e rode gpupdate. Este passo é para forçar atualização da política no SO.

Nota: Está GPO deve ser criada e depois atribuída a um OU, assim fica mais fácil a manutenção.

Neste cenário a politíca foi também atribuída ao OU dos domains controler. As políticas de ipsecs foram definidas através de filtros, ou seja, o tráfego só se aplica a ip de alguns servidores não toda a rede.

Espero que essas informações possam ser de grande valia para outros profissionais!