Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services.

Apresentação em tema: "Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services."— Transcrição da apresentação:

1 Exercícios IPsec Aluno:

2 ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services Policy Database). Quando o serviço é reinicializado, as políticas são perdidas. –Estático Cria políticas para serem armazenadas no SPD. As políticas precisam ser ativadas e não são perdidas quando o serviço é reinicializado. O modo estático é ativado pelo flag –w.

3 SPD: Security Policy Database No register do Windows: –HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ PolicyAgent\ Policy\ Local No serviço de Diretório (Active Directory): –CN=IPSecurity, CN=System, DC=YourDCName, DC=ParentDCName, DC=TopLevelDC A políticas IPsec podem ser armazenadas de duas formas:

4 Sintaxe do Comando ipsecpol [\\computername] [-?] [-w TYPE:DOMAIN] [-p NomeDaPolitica] [-r NomeDaRegra] [-f ListaDeFiltros] [-n ListaDeAções] [-t EndereçoDoTunnel] [-a MétodoDeAutenticação] [-x]: ativa política [-y]: desativa política [-o]: apaga a política

5 Flags de Armazenamento -w TYPE:DOMAIN –w REG –w DS:ELETRICA.NIA -p PolicyName –p EMAIL Se a política já existir, a nova regra será adicionada a política. -r RuleName –r POP3 Exemplo: para criar a política para um servidor de EMAIL: –ipsecpol –w REG –p EMAIL –r POP3 –ipsecpol –w REG –p EMAIL –r IMAP3 –ipsecpol –w REG –p EMAIL –r SMTP

6 [-f ListaDeFiltros] Conjunto de Filtros separados por espaço: –Simples: SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO 192.168.0.0/255.255.255.0=0:80:TCP –Espelhado: SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO Significados especiais de SRC ou DST/MASK: -0: computador local -*: qualquer endereço -10.32.1.*: sub-rede 10.32.1.0/24

7 Exemplo de script de comando @REM Apaga a politica existente –ipseccmd -w REG -o -p Teste @REM Insere as regras na politica –ipseccmd -w REG -p Teste -r ping1 -f 0+1.2.3.4::ICMP -n ESP[3DES,MD5] -a PRESHARE:"Teste" –ipseccmd -w REG -p Teste -r ping2 -f 0+4.3.2.1::ICMP -n AH[MD5] -a PRESHARE:"Teste2" @REM Torna a política ativa –ipseccmd -w REG -x -p Teste

8 ipseccmd show gpo –mostra a atribuição de políticas estáticas filters –mostra os filtros nos modos main e quick policies –mostra as políticas nos modos main e quick auth –mostra os métodos de autenticação main mode stats –mostra as estatísticas sas –mostra as associações de segurança all –mostra todos acima

9 Exemplo: ICMP Deseja-se restringir o envio de mensagens ICMP para o servidor. Apenas os usuários da rede corporativa podem enviar ICMP ao servidor, mas estes deve estar obrigatoriamente autenticados (AH MD5). O envio de ICMP por outras subredes é proibido.

10 Política de ICMP 192.168.1.0/24 192.168.1.3 AH: ICMP SERVIDOR REDE A 192.168.1.7 CLIENTE INTERNET CLIENTE ICMP

11 Exemplo Criação da Política do Servidor: –Politica: ICMP Regra: recebePing ListadeFiltro: 192.168.1.0/24<>192.168.1.7:ICMP ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5) Método de Autenticação: Preshared-Key(Teste) Criação da Política dos Clientes: –Politica: ICMP Regra: enviaPing ListadeFiltro: 192.168.1.3<>192.168.1.7:ICMP ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5) Método de Autenticação: Preshared-Key(Teste)

12 Exercício 1: EMAIL Deseja-se garantir segurança no acesso ao serviço de e-mail em uma Intranet corporativa. Para isso, deseja-se adotar a seguinte política: –Clientes só podem ler e-mail em modo cifrado. –Clientes da rede corporativa devem se autenticar para enviar e-mail. –O servidor de e-mail deve ser capaz de receber e-mail de outras redes.

13 Política de EMAIL 10.26.128.0/17 10.26.135.15 AH: SMTP ESP: POP3, IMAP4 SERVIDOR REDE A 10.26.135.16 CLIENTE INTERNET SERVIDOR SMTP

14 Regras da Política 1.Os clientes só podem ler o e-mail através de POP3 se fizerem uma conexão cifrada em DES com Autenticação em SHA 2.Os clientes só podem ler o email através de IMPA4 se fizerem uma conexão cifrada em DES com Autenticação em SHA. 3.Os clientes só podem enviar e-mail através de SMTP se mandarem pacotes autenticados em MD5.

15 Script de Configuração: ipsec1.bat ipseccmd -w REG -o -p Cliente ipseccmd -w REG -o -p Servidor ipseccmd -p Cliente -r POP3 -w REG -f 0+10.26.135.15:TCP:110 -n ESP[DES,SHA] -a PRESHARED:"SEGREDO" ipseccmd -p Servidor -r POP3 -w REG -f 10.26.128.0/255.255.128.0+0:TCP:110 -n ESP[DES,SHA] -a PRESHARED:"SEGREDO" echo Estao faltando a regra IMAP do Cliente e do Servidor echo Estao faltando a regra SMTP do Cliente e do Servidor if %1==C ( echo Essa maquina foi configurada como cliente ipseccmd -w REG -x -p Cliente ) else if %1==S ( echo Essa máquina foi configurada como servidor ipseccmd -w REG -x -p Servidor )

16 Testes 1) Utilize os programas em java para simular as conexões do servidor de email 2) Utilize o comando abaixo para salvar a confirmação que as associações IPsec foram feitas corretamente –ipseccmd show sas >> ipsec1.txt 3) Envie por e-mail o exercício 1 juntamente com o script de configuração e os pacotes capturados em um dos testes (IMAP, POP ou SMTP)

17 EXERCÍCIO 2 AX B EMPRESA A 192.168.A.2/24 PROVEDOR G1 G2 192.168.A.1/24 10.0. A.1/24 192.168.B.1/24 10.0.A.2/24 192.168.B.2/24 SUBSTITUA: A pelo número da sua bancada B pelo número da sua bancada + 4 EMPRESA B Segurança: AH[MD5]

18 Script de configuração: exercício2.bat if %1==A ( echo Esqueci a configuracao do host A ) else if %1==G1 ( echo Esqueci a configuracao do gateway G1 ) else if %1==G2 ( echo Esqueci a configuracao o gateway G2 ) else if %1==B ( echo Esqueci a configuracao o host B ) else if %1==D ( echo Restaurando a configuracao default com dhcp netsh interface ip set address "ConexÆo local" dhcp netsh interface ip set dns "ConexÆo local" dhcp ipconfig /renew ipseccmd -w REG -o -p Tunel )

19 Configuração do Host A (B) echo Configurando o host A netsh interface ip add address "ConexÆo local" 192.168.11.2 255.255.255.0 netsh interface ip add address "ConexÆo local" gateway=192.168.11.1 gwmetric=2 REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters /v "EnableICMPRedirect" /t Reg_DWord /d 0 /f

20 Configuração do Gateway G1 (G2) echo Configurando o gateway G1 net start remoteaccess netsh interface ip add address "ConexÆo local" 10.0.0.1 255.255.255.0 netsh interface ip add address "ConexÆo local" 192.168.11.1 255.255.255.0 route add 192.168.12.0 mask 255.255.255.0 10.0.0.2 REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v "EnableICMPRedirect" /t Reg_DWord /d 0 /f ipseccmd -w REG -o -p Tunel ipseccmd -p Tunel -r TUNELAB -w REG -f 192.168.11.0/255.255.255.0=192.168.12.0/255.255.255.0 -n AH[SHA] -t 10.0.0.2 -a PRESHARED:"SEGREDO" ipseccmd -p Tunel -r TUNELBA -w REG -f 192.168.12.0/255.255.255.0=192.168.11.0/255.255.255.0 -n AH[SHA] -t 10.0.0.1 -a PRESHARED:"SEGREDO" ipseccmd -w REG -x -p Tunel

21 Testes 1) Desabilite o firewall do windows em todas as máquinas 2) Reative o roteamento do Windows em G1 e G2 caso não esteja habilitado (o script acusa um erro caso nesse caso) 3) Efetue um ping contínuo entre A e B e capture os pacotes no IPsec Gateway G1. 4) Salve a prova que a associação IPsec foi feita –ipseccmd show sas >> ipsec2.txt 5) Envie por e-mail todos os arquivos do exercício2 (.bat,.txt e os pacotes capturados)

22 Observações Parâmetros TCP/IP no Windows –HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon trolSet\Services\Tcpip\Parameters Serviço de Roteamento e Acesso Remoto –C:\WINDOWS\system32\svchost.exe -k netsvcs Serviços IPsec –C:\WINDOWS\system32\lsass.exe