IPSec – Complemento (Utilitário de Linha de Comando)
Ipsecpol.exe Dois Modos: Dinâmico: Estático Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services Policy Database). Quando o serviço é reinicializado, as políticas são perdidas. Estático Cria políticas para serem armazenadas no SPD. As políticas precisam ser ativadas e não são perdidas quando o serviço é reinicializado. O modo estático é ativado pelo flag –w.
SPD: Security Policy Database A políticas IPsec podem ser armazenadas de duas formas: No register do Windows: HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ PolicyAgent\ Policy\ Local No serviço de Diretório (Active Directory): CN=IPSecurity, CN=System, DC=YourDCName, DC=ParentDCName, DC=TopLevelDC
ipsecpol [\\computername] [-?] Sintaxe do Comando ipsecpol [\\computername] [-?] [-w TYPE:DOMAIN] [-p NomeDaPolitica] [-r NomeDaRegra] [-f ListaDeFiltros] [-n ListaDeAções] [-t EndereçoDoTunnel] [-a MétodoDeAutenticação] [-x] [-u] [-y] [-o]
Flags de Armazenamento -w TYPE:DOMAIN w REG w DS:ELETRICA.NIA -p PolicyName p EMAIL Se a política já existir, a nova regra será adicionada a política. -r RuleName r POP3 Exemplo: para criar a política para um servidor de EMAIL: ipsecpol –w REG –p EMAIL –r POP3 ipsecpol –w REG –p EMAIL –r IMAP3 ipsecpol –w REG –p EMAIL –r SMTP
Conjunto de Filtros separados por espaço: [-f ListaDeFiltros] Conjunto de Filtros separados por espaço: Simples: SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO Espelhado: SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO Significados especiais de SRC ou DST/MASK: 0: computador local *: qualquer endereço 10.32.1.*: sub-rede 10.32.1.0/24
Exemplos de [-f ListaDeFiltros] Filtragem HTTP - f 192.168.1.0/255.255.255.0+192.168.1.7:80:TCP 192.168.1.7 SERVIDOR 80 192.168.1.0/24
[-n ListaDeAções] Conjunto de negociações IPsec separadas por espaço: Exemplos: -n ESP[DES,SHA] -n ESP[DES,MD5] ESP[DES,SHA] -n AH[MD5] ou AH[SHA] Flags especiais: n PASS cria uma ação passthrough n BLOCK cria uma ação de bloquear n AH[MD5] INPASS torna todos os filtros de entrada PASSTRHOUGH isto é, aceita comunicação sem IPsec
Especifica o endpoint do tunel em um dos seguintes formatos: [-t EndereçoDoTunel] Especifica o endpoint do tunel em um dos seguintes formatos: IP do Gateway IPsec: A.B.C.D FQDN do Gateway IPsec: Nome DNS
Lista de métodos de autenticação separados por espaço: [-a AuthMethodList] Lista de métodos de autenticação separados por espaço: PRESHARE: “preshared key string” KERBEROS CERT:”CA Info” O Método Default é KERBEROS EXEMPLO: a PRESHARED:“Meu Segredo”
Flags de Alteração [-u]: [-x]: [-y]: [-o]: deleta todas as políticas em modo dinâmico [-x]: define que a política criada em modo estático [-w] será ativada. [-y]: define que a política em modo estático será inativa. [-o]: apaga a política em modo estático criada com –p. IPsec –w REG –p EMAIL – o
Ferramentas para IPsec Ferramentas Windows 2000 secpol.msc Criação gráfica das políticas ipsecmon.exe visualização gráfica das SAS netdiag/test:ipsec /debug > file.txt visualização em console das SAS No windows XP, a ferramenta de gerenciamento IPsec é nativa: ipseccmd (idêntica a ipsecpol) ipseccmd show (permite ver as diretivas ativas) No Linux Kernel 2.2 e 2.4: FreeS/WAN (http://www.freeswan.org) Kernel 2.5: IPsec nativo ipsec-tools