Exercícios IPsec Aluno:
ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services Policy Database). Quando o serviço é reinicializado, as políticas são perdidas. –Estático Cria políticas para serem armazenadas no SPD. As políticas precisam ser ativadas e não são perdidas quando o serviço é reinicializado. O modo estático é ativado pelo flag –w.
SPD: Security Policy Database No register do Windows: –HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ PolicyAgent\ Policy\ Local No serviço de Diretório (Active Directory): –CN=IPSecurity, CN=System, DC=YourDCName, DC=ParentDCName, DC=TopLevelDC A políticas IPsec podem ser armazenadas de duas formas:
Sintaxe do Comando ipsecpol [\\computername] [-?] [-w TYPE:DOMAIN] [-p NomeDaPolitica] [-r NomeDaRegra] [-f ListaDeFiltros] [-n ListaDeAções] [-t EndereçoDoTunnel] [-a MétodoDeAutenticação] [-x]: ativa política [-y]: desativa política [-o]: apaga a política
Flags de Armazenamento -w TYPE:DOMAIN –w REG –w DS:ELETRICA.NIA -p PolicyName –p Se a política já existir, a nova regra será adicionada a política. -r RuleName –r POP3 Exemplo: para criar a política para um servidor de –ipsecpol –w REG –p –r POP3 –ipsecpol –w REG –p –r IMAP3 –ipsecpol –w REG –p –r SMTP
[-f ListaDeFiltros] Conjunto de Filtros separados por espaço: –Simples: SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO / =0:80:TCP –Espelhado: SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO Significados especiais de SRC ou DST/MASK: -0: computador local -*: qualquer endereço *: sub-rede /24
Exemplo de script de Apaga a politica existente –ipseccmd -w REG -o -p Insere as regras na politica –ipseccmd -w REG -p Teste -r ping1 -f ::ICMP -n ESP[3DES,MD5] -a PRESHARE:"Teste" –ipseccmd -w REG -p Teste -r ping2 -f ::ICMP -n AH[MD5] -a Torna a política ativa –ipseccmd -w REG -x -p Teste
ipseccmd show gpo –mostra a atribuição de políticas estáticas filters –mostra os filtros nos modos main e quick policies –mostra as políticas nos modos main e quick auth –mostra os métodos de autenticação main mode stats –mostra as estatísticas sas –mostra as associações de segurança all –mostra todos acima
Exemplo: ICMP Deseja-se restringir o envio de mensagens ICMP para o servidor. Apenas os usuários da rede corporativa podem enviar ICMP ao servidor, mas estes deve estar obrigatoriamente autenticados (AH MD5). O envio de ICMP por outras subredes é proibido.
Política de ICMP / AH: ICMP SERVIDOR REDE A CLIENTE INTERNET CLIENTE ICMP
Exemplo Criação da Política do Servidor: –Politica: ICMP Regra: recebePing ListadeFiltro: /24<> :ICMP ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5) Método de Autenticação: Preshared-Key(Teste) Criação da Política dos Clientes: –Politica: ICMP Regra: enviaPing ListadeFiltro: <> :ICMP ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5) Método de Autenticação: Preshared-Key(Teste)
Exercício 1: Deseja-se garantir segurança no acesso ao serviço de em uma Intranet corporativa. Para isso, deseja-se adotar a seguinte política: –Clientes só podem ler em modo cifrado. –Clientes da rede corporativa devem se autenticar para enviar . –O servidor de deve ser capaz de receber de outras redes.
Política de / AH: SMTP ESP: POP3, IMAP4 SERVIDOR REDE A CLIENTE INTERNET SERVIDOR SMTP
Regras da Política 1.Os clientes só podem ler o através de POP3 se fizerem uma conexão cifrada em DES com Autenticação em SHA 2.Os clientes só podem ler o através de IMPA4 se fizerem uma conexão cifrada em DES com Autenticação em SHA. 3.Os clientes só podem enviar através de SMTP se mandarem pacotes autenticados em MD5.
Script de Configuração: ipsec1.bat ipseccmd -w REG -o -p Cliente ipseccmd -w REG -o -p Servidor ipseccmd -p Cliente -r POP3 -w REG -f :TCP:110 -n ESP[DES,SHA] -a PRESHARED:"SEGREDO" ipseccmd -p Servidor -r POP3 -w REG -f / :TCP:110 -n ESP[DES,SHA] -a PRESHARED:"SEGREDO" echo Estao faltando a regra IMAP do Cliente e do Servidor echo Estao faltando a regra SMTP do Cliente e do Servidor if %1==C ( echo Essa maquina foi configurada como cliente ipseccmd -w REG -x -p Cliente ) else if %1==S ( echo Essa máquina foi configurada como servidor ipseccmd -w REG -x -p Servidor )
Testes 1) Utilize os programas em java para simular as conexões do servidor de 2) Utilize o comando abaixo para salvar a confirmação que as associações IPsec foram feitas corretamente –ipseccmd show sas >> ipsec1.txt 3) Envie por o exercício 1 juntamente com o script de configuração e os pacotes capturados em um dos testes (IMAP, POP ou SMTP)
EXERCÍCIO 2 AX B EMPRESA A A.2/24 PROVEDOR G1 G A.1/ A.1/ B.1/ A.2/ B.2/24 SUBSTITUA: A pelo número da sua bancada B pelo número da sua bancada + 4 EMPRESA B Segurança: AH[MD5]
Script de configuração: exercício2.bat if %1==A ( echo Esqueci a configuracao do host A ) else if %1==G1 ( echo Esqueci a configuracao do gateway G1 ) else if %1==G2 ( echo Esqueci a configuracao o gateway G2 ) else if %1==B ( echo Esqueci a configuracao o host B ) else if %1==D ( echo Restaurando a configuracao default com dhcp netsh interface ip set address "ConexÆo local" dhcp netsh interface ip set dns "ConexÆo local" dhcp ipconfig /renew ipseccmd -w REG -o -p Tunel )
Configuração do Host A (B) echo Configurando o host A netsh interface ip add address "ConexÆo local" netsh interface ip add address "ConexÆo local" gateway= gwmetric=2 REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters /v "EnableICMPRedirect" /t Reg_DWord /d 0 /f
Configuração do Gateway G1 (G2) echo Configurando o gateway G1 net start remoteaccess netsh interface ip add address "ConexÆo local" netsh interface ip add address "ConexÆo local" route add mask REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v "EnableICMPRedirect" /t Reg_DWord /d 0 /f ipseccmd -w REG -o -p Tunel ipseccmd -p Tunel -r TUNELAB -w REG -f / = / n AH[SHA] -t a PRESHARED:"SEGREDO" ipseccmd -p Tunel -r TUNELBA -w REG -f / = / n AH[SHA] -t a PRESHARED:"SEGREDO" ipseccmd -w REG -x -p Tunel
Testes 1) Desabilite o firewall do windows em todas as máquinas 2) Reative o roteamento do Windows em G1 e G2 caso não esteja habilitado (o script acusa um erro caso nesse caso) 3) Efetue um ping contínuo entre A e B e capture os pacotes no IPsec Gateway G1. 4) Salve a prova que a associação IPsec foi feita –ipseccmd show sas >> ipsec2.txt 5) Envie por todos os arquivos do exercício2 (.bat,.txt e os pacotes capturados)
Observações Parâmetros TCP/IP no Windows –HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon trolSet\Services\Tcpip\Parameters Serviço de Roteamento e Acesso Remoto –C:\WINDOWS\system32\svchost.exe -k netsvcs Serviços IPsec –C:\WINDOWS\system32\lsass.exe