Upload
yan-oliveira-delgado
View
221
Download
0
Embed Size (px)
Citation preview
Exercícios IPsec
Aluno:
ipseccmd.exe
• Dois Modos:
– Dinâmico:• Cria políticas que são
ativadas imediatamente.
• As políticas não são armazenadas no SPD (Services Policy Database).
• Quando o serviço é reinicializado, as políticas são perdidas.
– Estático• Cria políticas para
serem armazenadas no SPD.
• As políticas precisam ser ativadas e não são perdidas quando o serviço é reinicializado.
• O modo estático é ativado pelo flag –w.
SPD: Security Policy Database
• No register do Windows:
– HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Policy\Local
• No serviço de Diretório (Active Directory):
– CN=IPSecurity,CN=System,DC=YourDCName,DC=ParentDCName,DC=TopLevelDC
• A políticas IPsec podem ser armazenadas de duas formas:
Sintaxe do Comando
• ipsecpol [\\computername] [-?] [-w TYPE:DOMAIN][-p NomeDaPolitica] [-r NomeDaRegra] [-f ListaDeFiltros][-n ListaDeAções] [-t EndereçoDoTunnel] [-a MétodoDeAutenticação]
[-x]: ativa política [-y]: desativa política [-o]: apaga a política
Flags de Armazenamento
• -w TYPE:DOMAIN – w REG– w DS:ELETRICA.NIA
• -p PolicyName– p EMAIL
• Se a política já existir, a nova regra será adicionada a política.
• -r RuleName – r POP3
• Exemplo: para criar a política para um servidor de EMAIL:– ipsecpol –w REG –p EMAIL –r POP3– ipsecpol –w REG –p EMAIL –r IMAP3– ipsecpol –w REG –p EMAIL –r SMTP
[-f ListaDeFiltros]
• Conjunto de Filtros separados por espaço:– Simples:
• SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO • 192.168.0.0/255.255.255.0=0:80:TCP
– Espelhado:• SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO
• Significados especiais de SRC ou DST/MASK:- 0: computador local- *: qualquer endereço- 10.32.1.*: sub-rede 10.32.1.0/24
Exemplo de script de comando
• @REM Apaga a politica existente– ipseccmd -w REG -o -p Teste
• @REM Insere as regras na politica– ipseccmd -w REG -p Teste -r ping1 -f
0+1.2.3.4::ICMP -n ESP[3DES,MD5] -a PRESHARE:"Teste"
– ipseccmd -w REG -p Teste -r ping2 -f 0+4.3.2.1::ICMP -n AH[MD5] -a PRESHARE:"Teste2"
• @REM Torna a política ativa– ipseccmd -w REG -x -p Teste
ipseccmd show
• gpo – mostra a atribuição de políticas estáticas
• filters – mostra os filtros nos modos main e quick
• policies – mostra as políticas nos modos main e quick
• auth – mostra os métodos de autenticação main mode
• stats – mostra as estatísticas
• sas – mostra as associações de segurança
• all – mostra todos acima
PROBLEMA 1: ICMP
• Deseja-se restringir o envio de mensagens ICMP para o servidor.
• Apenas os usuários da rede corporativa podem enviar ICMP ao servidor, mas estes deve estar obrigatoriamente autenticados (AH MD5).
• O envio de ICMP por outras subredes é proibido.
Política de ICMP
192.168.1.0/24
192.168.1.3
AH: ICMPSERVIDOR
REDE A
192.168.1.7
CLIENTE
INTERNET
CLIENTEICMP
Exercício 1
• Criação da Política do Servidor:– Politica: ICMP
• Regra: recebePing• ListadeFiltro: 192.168.1.0/24<>192.168.1.7:ICMP• ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5)• Método de Autenticação: Preshared-Key(“Teste”)
• Criação da Política dos Clientes:– Politica: ICMP
• Regra: enviaPing• ListadeFiltro: 192.168.1.3<>192.168.1.7:ICMP• ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5)• Método de Autenticação: Preshared-Key(“Teste”)
PROBLEMA 2: EMAIL• Deseja-se garantir segurança no acesso
ao serviço de email em uma Intranet corporativa.
• Para isso, deseja-se adotar a seguinte política:– Os clientes só podem ler email em modo
criptografado.– Os clientes da rede corporativa devem se
autenticar para enviar email.– O servidor de email deve ser capaz de
receber email de outras redes.
Política de EMAIL
192.168.1.0/24
192.168.1.3
AH: SMTP
ESP: POP3, IMAP4
SERVIDOR
REDE A
192.168.1.7
CLIENTE
INTERNET
SERVIDORSMTP
Regras da Política
1. Os clientes só podem ler o email através de POP3 se fizerem uma conexão criptografada em DES com Autenticação em MD5 ou SHA.
2. Os clientes só podem ler o email através de IMPA4 se fizerem uma conexão criptografada em DES com Autenticação em MD5 ou SHA.
3. Os clientes só podem enviar email através de SMTP se mandarem pacotes autenticados em SHA ou MD5.
Exercício 2
• Políticas do Servidor de Email
• Políticas dos Clientes
PROBLEMA 3: INTRANET• Numa empresa, um mesmo servidor
funcionado com servidor de Internet e Intranet.• Deseja-se implantar a seguinte política de
segurança:– Todo acesso ao servidor Web pelos clientes da rede
corporativa deve ser obrigatoriamente criptografado.– Se os clientes externos suportarem IPsec, então o
acesso deve ser feito de modo criptografado.– Se os clientes externos não suportarem IPsec, então
o acesso deve liberado sem segurança.
Política de EMAIL
192.168.0.0/24
192.168.0.3
ESP: HTTP
SERVIDOR
REDE A
192.168.1.7
CLIENTE
INTERNET
CLIENTEHTTP
ESP HTTP
Regras da Política
1. Clientes que estiverem na subrede 192.168.1.0/24 devem falar sempre com criptografia: ESP DES,SHA e ESP DES,MD5.
2. Clientes externos que suportam IPsec podem falar em modo criptografado: ESP DES,SHA e ESP DES,MD5.
3. Clientes externos que não suportarem IPsec, mas que podem falar sem criptografia.
Exercício 3
• Políticas do Servidor de Email
• Políticas dos Clientes Internos
EXERCÍCIO 4
A X B
EMPRESA A
eth0192.168.A.2/24
PROVEDOR
G1eth1
G2
eth1192.168.A.1/24eth010.26.135.x/17
eth010.26.135.y/17eth1192.168.B.1/24
eth0192.168.B.2/24
eth0
SUBSTITUA:
• A pelo número da sua bancada• A pelo número da sua bancada + 4• x e y são os números da etiqueta do computador
EMPRESA B
eth0 eth0 eth0 eth1 eth0
Sentido AB: AH[MD5]Sentido BA: ESP[DES,MD5]
Exercício 3
• Políticas do Gateway A– De A para B:
– De B para A:• Políticas dos Gateway B
– De B para A:
– De A para B:
Observações
• Parâmetros TCP/IP no Windows– HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\Tcpip\Parameters• Serviço de Roteamento e Acesso Remoto
– C:\WINDOWS\system32\svchost.exe -k netsvcs
• Serviços IPsec– C:\WINDOWS\system32\lsass.exe