Carregar apresentação
A apresentação está carregando. Por favor, espere
1
Exercícios IPsec Aluno:
2
ipseccmd.exe •Dois Modos: –Dinâmico: •Cria políticas que são ativadas imediatamente. •As políticas não são armazenadas no SPD (Services Policy Database). •Quando o serviço é reinicializado, as políticas são perdidas. –Estático •Cria políticas para serem armazenadas no SPD. •As políticas precisam ser ativadas e não são perdidas quando o serviço é reinicializado. •O modo estático é ativado pelo flag –w.
3
SPD: Security Policy Database •No register do Windows: –HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ PolicyAgent\ Policy\ Local •No serviço de Diretório (Active Directory): –CN=IPSecurity, CN=System, DC=YourDCName, DC=ParentDCName, DC=TopLevelDC •A políticas IPsec podem ser armazenadas de duas formas:
4
Sintaxe do Comando •ipseccmd[\\computername] [-?] [-w TYPE:DOMAIN] [-p NomeDaPolitica] [-r NomeDaRegra] [-f ListaDeFiltros] [-n ListaDeAções] [-t EndereçoDoTunnel] [-a MétodoDeAutenticação] [-x]: ativa política [-y]: desativa política [-o]: apaga a política
![Sintaxe do Comando •ipseccmd[\\computername] [- ] [-w TYPE:DOMAIN] [-p NomeDaPolitica] [-r NomeDaRegra] [-f ListaDeFiltros] [-n ListaDeAções] [-t EndereçoDoTunnel] [-a MétodoDeAutenticação] [-x]: ativa política [-y]: desativa política [-o]: apaga a política](http://images.slideplayer.com.br/7/1849685/slides/slide_4.jpg "Sintaxe do Comando •ipseccmd[\\computername] [- ] [-w TYPE:DOMAIN] [-p NomeDaPolitica] [-r NomeDaRegra] [-f ListaDeFiltros] [-n ListaDeAções] [-t EndereçoDoTunnel] [-a MétodoDeAutenticação] [-x]: ativa política [-y]: desativa política [-o]: apaga a política")
5
Flags de Armazenamento •-w TYPE:DOMAIN –w REG –w DS:ELETRICA.NIA •-p PolicyName –p EMAIL •Se a política já existir, a nova regra será adicionada a política. •-r RuleName –r POP3 •Exemplo: para criar a política para um servidor de EMAIL: –ipseccmd –w REG –p EMAIL –r POP3 –ipseccmd–w REG –p EMAIL –r IMAP3 –ipseccmd–w REG –p EMAIL –r SMTP
6
[-f ListaDeFiltros] •Conjunto de Filtros separados por espaço: –Simples: •SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO •192.168.0.0/255.255.255.0=0:80:TCP –Espelhado: •SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO •Significados especiais de SRC ou DST/MASK: -0: computador local -*: qualquer endereço -10.32.1.*: sub-rede 10.32.1.0/24
![[-f ListaDeFiltros] •Conjunto de Filtros separados por espaço: –Simples: •SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO • / =0:80:TCP –Espelhado: •SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO •Significados especiais de SRC ou DST/MASK: -0: computador local -*: qualquer endereço *: sub-rede /24](http://images.slideplayer.com.br/7/1849685/slides/slide_6.jpg "[-f ListaDeFiltros] •Conjunto de Filtros separados por espaço: –Simples: •SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO • / =0:80:TCP –Espelhado: •SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO •Significados especiais de SRC ou DST/MASK: -0: computador local -*: qualquer endereço *: sub-rede /24")
7
Exemplo de script de comando •@REM Apaga a politica existente –ipseccmd -w REG -o -p Teste •@REM Insere as regras na politica –ipseccmd -w REG -p Teste -r ping1 -f 0+1.2.3.4::ICMP -n ESP[3DES,MD5] -a PRESHARE:"Teste" –ipseccmd -w REG -p Teste -r ping2 -f 0+4.3.2.1::ICMP -n AH[MD5] -a PRESHARE:"Teste2" •@REM Torna a política ativa –ipseccmd -w REG -x -p Teste
![Exemplo de script de comando Apaga a politica existente –ipseccmd -w REG -o -p Teste Insere as regras na politica –ipseccmd -w REG -p Teste -r ping1 -f ::ICMP -n ESP[3DES,MD5] -a PRESHARE: Teste –ipseccmd -w REG -p Teste -r ping2 -f ::ICMP -n AH[MD5] -a PRESHARE: Teste2 Torna a política ativa –ipseccmd -w REG -x -p Teste](http://images.slideplayer.com.br/7/1849685/slides/slide_7.jpg "Exemplo de script de comando Apaga a politica existente –ipseccmd -w REG -o -p Teste Insere as regras na politica –ipseccmd -w REG -p Teste -r ping1 -f ::ICMP -n ESP[3DES,MD5] -a PRESHARE: Teste –ipseccmd -w REG -p Teste -r ping2 -f ::ICMP -n AH[MD5] -a PRESHARE: Teste2 Torna a política ativa –ipseccmd -w REG -x -p Teste")
8
ipseccmd show •gpo –mostra a atribuição de políticas estáticas •filters –mostra os filtros nos modos main e quick •policies –mostra as políticas nos modos main e quick •auth –mostra os métodos de autenticação main mode •stats –mostra as estatísticas •sas –mostra as associações de segurança •all –mostra todos acima
9
PROBLEMA 1: ICMP •Deseja-se restringir o envio de mensagens ICMP para o servidor. •Apenas os usuários da rede corporativa podem enviar ICMP ao servidor, mas estes deve estar obrigatoriamente autenticados (AH MD5). •O envio de ICMP por outras subredes é proibido.
10
Política de ICMP 192.168.1.0/24 192.168.1.3 AH: ICMP SERVIDOR REDE A 192.168.1.7 CLIENTE INTERNET CLIENTE ICMP
11
Exercício 1 •Criação da Política do Servidor: –Politica: ICMP •Regra: recebePing •ListadeFiltro: 192.168.1.0/24<>192.168.1.7:ICMP •ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5) •Método de Autenticação: Preshared-Key(“Teste”) •Criação da Política dos Clientes: –Politica: ICMP •Regra: enviaPing •ListadeFiltro: 192.168.1.3<>192.168.1.7:ICMP •ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5) •Método de Autenticação: Preshared-Key(“Teste”)
12
PROBLEMA 2: EMAIL •Deseja-se garantir segurança no acesso ao serviço de email em uma Intranet corporativa. •Para isso, deseja-se adotar a seguinte política: –Os clientes só podem ler email em modo criptografado. –Os clientes da rede corporativa devem se autenticar para enviar email. –O servidor de email deve ser capaz de receber email de outras redes.
13
Política de EMAIL 192.168.1.0/24 192.168.1.3 AH: SMTP ESP: POP3, IMAP4 SERVIDOR REDE A 192.168.1.7 CLIENTE INTERNET SERVIDOR SMTP
14
Regras da Política 1.Os clientes só podem ler o email através de POP3 se fizerem uma conexão criptografada em DES com Autenticação em MD5 ou SHA. 2.Os clientes só podem ler o email através de IMPA4 se fizerem uma conexão criptografada em DES com Autenticação em MD5 ou SHA. 3.Os clientes só podem enviar email através de SMTP se mandarem pacotes autenticados em SHA ou MD5.
15
Exercício 2 •Políticas do Servidor de Email •Políticas dos Clientes
16
EXERCÍCIO 3 AX B EMPRESA A eth0 192.168.A.2/24 PROVEDOR G1 eth1 G2 eth1 192.168.A.1/24 eth0 10.26.135.x/17 eth0 10.26.135.y/17 eth1 192.168.B.1/24 eth0 192.168.B.2/24 eth0 SUBSTITUA: • A pelo número da sua bancada • A pelo número da sua bancada + 4 • x e y são os números da etiqueta do computador EMPRESA B eth0 eth1eth0 Sentido AB: AH[DES,MD5] Sentido BA: ESP[DES,MD5]
![EXERCÍCIO 3 AX B EMPRESA A eth A.2/24 PROVEDOR G1 eth1 G2 eth A.1/24 eth x/17 eth y/17 eth B.1/24 eth B.2/24 eth0 SUBSTITUA: • A pelo número da sua bancada • A pelo número da sua bancada + 4 • x e y são os números da etiqueta do computador EMPRESA B eth0 eth1eth0 Sentido AB: AH[DES,MD5] Sentido BA: ESP[DES,MD5]](http://images.slideplayer.com.br/7/1849685/slides/slide_16.jpg "EXERCÍCIO 3 AX B EMPRESA A eth A.2/24 PROVEDOR G1 eth1 G2 eth A.1/24 eth x/17 eth y/17 eth B.1/24 eth B.2/24 eth0 SUBSTITUA: • A pelo número da sua bancada • A pelo número da sua bancada + 4 • x e y são os números da etiqueta do computador EMPRESA B eth0 eth1eth0 Sentido AB: AH[DES,MD5] Sentido BA: ESP[DES,MD5]")
17
Exercício 3 •Políticas do Gateway A –De A para B: –De B para A: •Políticas dos Gateway B –De B para A: –De A para B:
18
Observações •Parâmetros TCP/IP no Windows –HKEY_LOCAL_MACHINE\SYSTEM\CurrentC ontrolSet\Services\Tcpip\Parameters •Serviço de Roteamento e Acesso Remoto –C:\WINDOWS\system32\svchost.exe -k netsvcs •Serviços IPsec –C:\WINDOWS\system32\lsass.exe
Apresentações semelhantes
