Exercícios IPsec Aluno:
ipseccmd.exe •Dois Modos: –Dinâmico: •Cria políticas que são ativadas imediatamente. •As políticas não são armazenadas no SPD (Services Policy Database). •Quando o serviço é reinicializado, as políticas são perdidas. –Estático •Cria políticas para serem armazenadas no SPD. •As políticas precisam ser ativadas e não são perdidas quando o serviço é reinicializado. •O modo estático é ativado pelo flag –w.
SPD: Security Policy Database •No register do Windows: –HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ PolicyAgent\ Policy\ Local •No serviço de Diretório (Active Directory): –CN=IPSecurity, CN=System, DC=YourDCName, DC=ParentDCName, DC=TopLevelDC •A políticas IPsec podem ser armazenadas de duas formas:
Sintaxe do Comando •ipseccmd[\\computername] [-?] [-w TYPE:DOMAIN] [-p NomeDaPolitica] [-r NomeDaRegra] [-f ListaDeFiltros] [-n ListaDeAções] [-t EndereçoDoTunnel] [-a MétodoDeAutenticação] [-x]: ativa política [-y]: desativa política [-o]: apaga a política
Flags de Armazenamento •-w TYPE:DOMAIN –w REG –w DS:ELETRICA.NIA •-p PolicyName –p •Se a política já existir, a nova regra será adicionada a política. •-r RuleName –r POP3 •Exemplo: para criar a política para um servidor de –ipseccmd –w REG –p –r POP3 –ipseccmd–w REG –p –r IMAP3 –ipseccmd–w REG –p –r SMTP
[-f ListaDeFiltros] •Conjunto de Filtros separados por espaço: –Simples: •SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO • / =0:80:TCP –Espelhado: •SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO •Significados especiais de SRC ou DST/MASK: -0: computador local -*: qualquer endereço *: sub-rede /24
Exemplo de script de comando Apaga a politica existente –ipseccmd -w REG -o -p Teste Insere as regras na politica –ipseccmd -w REG -p Teste -r ping1 -f ::ICMP -n ESP[3DES,MD5] -a PRESHARE:"Teste" –ipseccmd -w REG -p Teste -r ping2 -f ::ICMP -n AH[MD5] -a PRESHARE:"Teste2" Torna a política ativa –ipseccmd -w REG -x -p Teste
ipseccmd show •gpo –mostra a atribuição de políticas estáticas •filters –mostra os filtros nos modos main e quick •policies –mostra as políticas nos modos main e quick •auth –mostra os métodos de autenticação main mode •stats –mostra as estatísticas •sas –mostra as associações de segurança •all –mostra todos acima
PROBLEMA 1: ICMP •Deseja-se restringir o envio de mensagens ICMP para o servidor. •Apenas os usuários da rede corporativa podem enviar ICMP ao servidor, mas estes deve estar obrigatoriamente autenticados (AH MD5). •O envio de ICMP por outras subredes é proibido.
Política de ICMP / AH: ICMP SERVIDOR REDE A CLIENTE INTERNET CLIENTE ICMP
Exercício 1 •Criação da Política do Servidor: –Politica: ICMP •Regra: recebePing •ListadeFiltro: /24<> :ICMP •ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5) •Método de Autenticação: Preshared-Key(“Teste”) •Criação da Política dos Clientes: –Politica: ICMP •Regra: enviaPing •ListadeFiltro: <> :ICMP •ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5) •Método de Autenticação: Preshared-Key(“Teste”)
PROBLEMA 2: •Deseja-se garantir segurança no acesso ao serviço de em uma Intranet corporativa. •Para isso, deseja-se adotar a seguinte política: –Os clientes só podem ler em modo criptografado. –Os clientes da rede corporativa devem se autenticar para enviar . –O servidor de deve ser capaz de receber de outras redes.
Política de / AH: SMTP ESP: POP3, IMAP4 SERVIDOR REDE A CLIENTE INTERNET SERVIDOR SMTP
Regras da Política 1.Os clientes só podem ler o através de POP3 se fizerem uma conexão criptografada em DES com Autenticação em MD5 ou SHA. 2.Os clientes só podem ler o através de IMPA4 se fizerem uma conexão criptografada em DES com Autenticação em MD5 ou SHA. 3.Os clientes só podem enviar através de SMTP se mandarem pacotes autenticados em SHA ou MD5.
Exercício 2 •Políticas do Servidor de •Políticas dos Clientes
EXERCÍCIO 3 AX B EMPRESA A eth A.2/24 PROVEDOR G1 eth1 G2 eth A.1/24 eth x/17 eth y/17 eth B.1/24 eth B.2/24 eth0 SUBSTITUA: • A pelo número da sua bancada • A pelo número da sua bancada + 4 • x e y são os números da etiqueta do computador EMPRESA B eth0 eth1eth0 Sentido AB: AH[DES,MD5] Sentido BA: ESP[DES,MD5]
Exercício 3 •Políticas do Gateway A –De A para B: –De B para A: •Políticas dos Gateway B –De B para A: –De A para B:
Observações •Parâmetros TCP/IP no Windows –HKEY_LOCAL_MACHINE\SYSTEM\CurrentC ontrolSet\Services\Tcpip\Parameters •Serviço de Roteamento e Acesso Remoto –C:\WINDOWS\system32\svchost.exe -k netsvcs •Serviços IPsec –C:\WINDOWS\system32\lsass.exe