Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services.

Apresentação em tema: "Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services."— Transcrição da apresentação:

1 Exercícios IPsec Aluno:

2 ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services Policy Database). Quando o serviço é reinicializado, as políticas são perdidas. –Estático Cria políticas para serem armazenadas no SPD. As políticas precisam ser ativadas e não são perdidas quando o serviço é reinicializado. O modo estático é ativado pelo flag –w.

3 SPD: Security Policy Database No register do Windows: –HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ PolicyAgent\ Policy\ Local No serviço de Diretório (Active Directory): –CN=IPSecurity, CN=System, DC=YourDCName, DC=ParentDCName, DC=TopLevelDC A políticas IPsec podem ser armazenadas de duas formas:

4 Sintaxe do Comando ipsecpol [\\computername] [-?] [-w TYPE:DOMAIN] [-p NomeDaPolitica] [-r NomeDaRegra] [-f ListaDeFiltros] [-n ListaDeAções] [-t EndereçoDoTunnel] [-a MétodoDeAutenticação] [-x]: ativa política [-y]: desativa política [-o]: apaga a política

5 Flags de Armazenamento -w TYPE:DOMAIN –w REG –w DS:ELETRICA.NIA -p PolicyName –p EMAIL Se a política já existir, a nova regra será adicionada a política. -r RuleName –r POP3 Exemplo: para criar a política para um servidor de EMAIL: –ipsecpol –w REG –p EMAIL –r POP3 –ipsecpol –w REG –p EMAIL –r IMAP3 –ipsecpol –w REG –p EMAIL –r SMTP

6 [-f ListaDeFiltros] Conjunto de Filtros separados por espaço: –Simples: SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO 192.168.0.0/255.255.255.0=0:80:TCP –Espelhado: SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO Significados especiais de SRC ou DST/MASK: -0: computador local -*: qualquer endereço -10.32.1.*: sub-rede 10.32.1.0/24

7 Exemplo de script de comando @REM Apaga a politica existente –ipseccmd -w REG -o -p Teste @REM Insere as regras na politica –ipseccmd -w REG -p Teste -r ping1 -f 0+1.2.3.4::ICMP -n ESP[3DES,MD5] -a PRESHARE:"Teste" –ipseccmd -w REG -p Teste -r ping2 -f 0+4.3.2.1::ICMP -n AH[MD5] -a PRESHARE:"Teste2" @REM Torna a política ativa –ipseccmd -w REG -x -p Teste

8 ipseccmd show gpo –mostra a atribuição de políticas estáticas filters –mostra os filtros nos modos main e quick policies –mostra as políticas nos modos main e quick auth –mostra os métodos de autenticação main mode stats –mostra as estatísticas sas –mostra as associações de segurança all –mostra todos acima

9 PROBLEMA 1: ICMP Deseja-se restringir o envio de mensagens ICMP para o servidor. Apenas os usuários da rede corporativa podem enviar ICMP ao servidor, mas estes deve estar obrigatoriamente autenticados (AH MD5). O envio de ICMP por outras subredes é proibido.

10 Política de ICMP 192.168.1.0/24 192.168.1.3 AH: ICMP SERVIDOR REDE A 192.168.1.7 CLIENTE INTERNET CLIENTE ICMP

11 Exercício 1 Criação da Política do Servidor: –Politica: ICMP Regra: recebePing ListadeFiltro: 192.168.1.0/24<>192.168.1.7:ICMP ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5) Método de Autenticação: Preshared-Key(“Teste”) Criação da Política dos Clientes: –Politica: ICMP Regra: enviaPing ListadeFiltro: 192.168.1.3<>192.168.1.7:ICMP ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5) Método de Autenticação: Preshared-Key(“Teste”)

12 PROBLEMA 2: EMAIL Deseja-se garantir segurança no acesso ao serviço de email em uma Intranet corporativa. Para isso, deseja-se adotar a seguinte política: –Os clientes só podem ler email em modo criptografado. –Os clientes da rede corporativa devem se autenticar para enviar email. –O servidor de email deve ser capaz de receber email de outras redes.

13 Política de EMAIL 192.168.1.0/24 192.168.1.3 AH: SMTP ESP: POP3, IMAP4 SERVIDOR REDE A 192.168.1.7 CLIENTE INTERNET SERVIDOR SMTP

14 Regras da Política 1.Os clientes só podem ler o email através de POP3 se fizerem uma conexão criptografada em DES com Autenticação em MD5 ou SHA. 2.Os clientes só podem ler o email através de IMPA4 se fizerem uma conexão criptografada em DES com Autenticação em MD5 ou SHA. 3.Os clientes só podem enviar email através de SMTP se mandarem pacotes autenticados em SHA ou MD5.

15 Exercício 2 Políticas do Servidor de Email Políticas dos Clientes

16 PROBLEMA 3: INTRANET Numa empresa, um mesmo servidor funcionado com servidor de Internet e Intranet. Deseja-se implantar a seguinte política de segurança: –Todo acesso ao servidor Web pelos clientes da rede corporativa deve ser obrigatoriamente criptografado. –Se os clientes externos suportarem IPsec, então o acesso deve ser feito de modo criptografado. –Se os clientes externos não suportarem IPsec, então o acesso deve liberado sem segurança.

17 Política de EMAIL 192.168.0.0/24 192.168.0.3 ESP: HTTP SERVIDOR REDE A 192.168.1.7 CLIENTE INTERNET CLIENTE HTTP ESP HTTP

18 Regras da Política 1.Clientes que estiverem na subrede 192.168.1.0/24 devem falar sempre com criptografia: ESP DES,SHA e ESP DES,MD5. 2.Clientes externos que suportam IPsec podem falar em modo criptografado: ESP DES,SHA e ESP DES,MD5. 3.Clientes externos que não suportarem IPsec, mas que podem falar sem criptografia.

19 Exercício 3 Políticas do Servidor de Email Políticas dos Clientes Internos

20 EXERCÍCIO 4 AX B EMPRESA A eth0 192.168.A.2/24 PROVEDOR G1 eth1 G2 eth1 192.168.A.1/24 eth0 10.26.135.x/17 eth0 10.26.135.y/17 eth1 192.168.B.1/24 eth0 192.168.B.2/24 eth0 SUBSTITUA: A pelo número da sua bancada A pelo número da sua bancada + 4 x e y são os números da etiqueta do computador EMPRESA B eth0 eth1eth0 Sentido AB: AH[MD5] Sentido BA: ESP[DES,MD5]

21 Exercício 3 Políticas do Gateway A –De A para B: –De B para A: Políticas dos Gateway B –De B para A: –De A para B:

22 Observações Parâmetros TCP/IP no Windows –HKEY_LOCAL_MACHINE\SYSTEM\CurrentC ontrolSet\Services\Tcpip\Parameters Serviço de Roteamento e Acesso Remoto –C:\WINDOWS\system32\svchost.exe -k netsvcs Serviços IPsec –C:\WINDOWS\system32\lsass.exe