Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouMarcelo Barcellos Alterado mais de 10 anos atrás
1
IPSec – Complemento (Utilitário de Linha de Comando)
2
Ipsecpol.exe Dois Modos: Dinâmico: Estático
Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services Policy Database). Quando o serviço é reinicializado, as políticas são perdidas. Estático Cria políticas para serem armazenadas no SPD. As políticas precisam ser ativadas e não são perdidas quando o serviço é reinicializado. O modo estático é ativado pelo flag –w.
3
SPD: Security Policy Database
A políticas IPsec podem ser armazenadas de duas formas: No register do Windows: HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ PolicyAgent\ Policy\ Local No serviço de Diretório (Active Directory): CN=IPSecurity, CN=System, DC=YourDCName, DC=ParentDCName, DC=TopLevelDC
4
ipsecpol [\\computername] [-?]
Sintaxe do Comando ipsecpol [\\computername] [-?] [-w TYPE:DOMAIN] [-p NomeDaPolitica] [-r NomeDaRegra] [-f ListaDeFiltros] [-n ListaDeAções] [-t EndereçoDoTunnel] [-a MétodoDeAutenticação] [-x] [-u] [-y] [-o]
5
Flags de Armazenamento
-w TYPE:DOMAIN w REG w DS:ELETRICA.NIA -p PolicyName p Se a política já existir, a nova regra será adicionada a política. -r RuleName r POP3 Exemplo: para criar a política para um servidor de ipsecpol –w REG –p –r POP3 ipsecpol –w REG –p –r IMAP3 ipsecpol –w REG –p –r SMTP
6
Conjunto de Filtros separados por espaço:
[-f ListaDeFiltros] Conjunto de Filtros separados por espaço: Simples: SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO Espelhado: SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO Significados especiais de SRC ou DST/MASK: 0: computador local *: qualquer endereço *: sub-rede /24
7
Exemplos de [-f ListaDeFiltros]
Filtragem HTTP - f / :80:TCP SERVIDOR 80 /24
8
[-n ListaDeAções] Conjunto de negociações IPsec separadas por espaço:
Exemplos: -n ESP[DES,SHA] -n ESP[DES,MD5] ESP[DES,SHA] -n AH[MD5] ou AH[SHA] Flags especiais: n PASS cria uma ação passthrough n BLOCK cria uma ação de bloquear n AH[MD5] INPASS torna todos os filtros de entrada PASSTRHOUGH isto é, aceita comunicação sem IPsec
9
Especifica o endpoint do tunel em um dos seguintes formatos:
[-t EndereçoDoTunel] Especifica o endpoint do tunel em um dos seguintes formatos: IP do Gateway IPsec: A.B.C.D FQDN do Gateway IPsec: Nome DNS
10
Lista de métodos de autenticação separados por espaço:
[-a AuthMethodList] Lista de métodos de autenticação separados por espaço: PRESHARE: “preshared key string” KERBEROS CERT:”CA Info” O Método Default é KERBEROS EXEMPLO: a PRESHARED:“Meu Segredo”
11
Flags de Alteração [-u]: [-x]: [-y]: [-o]:
deleta todas as políticas em modo dinâmico [-x]: define que a política criada em modo estático [-w] será ativada. [-y]: define que a política em modo estático será inativa. [-o]: apaga a política em modo estático criada com –p. IPsec –w REG –p – o
12
Ferramentas para IPsec
Ferramentas Windows 2000 secpol.msc Criação gráfica das políticas ipsecmon.exe visualização gráfica das SAS netdiag/test:ipsec /debug > file.txt visualização em console das SAS No windows XP, a ferramenta de gerenciamento IPsec é nativa: ipseccmd (idêntica a ipsecpol) ipseccmd show (permite ver as diretivas ativas) No Linux Kernel 2.2 e 2.4: FreeS/WAN ( Kernel 2.5: IPsec nativo ipsec-tools
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.