Exercícios IPsec

Aluno:

ipseccmd.exe

• Dois Modos:

– Dinâmico:• Cria políticas que são

ativadas imediatamente.

• As políticas não são armazenadas no SPD (Services Policy Database).

• Quando o serviço é reinicializado, as políticas são perdidas.

– Estático• Cria políticas para

serem armazenadas no SPD.

• As políticas precisam ser ativadas e não são perdidas quando o serviço é reinicializado.

• O modo estático é ativado pelo flag –w.

SPD: Security Policy Database

• No register do Windows:

– HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Policy\Local

• No serviço de Diretório (Active Directory):

– CN=IPSecurity,CN=System,DC=YourDCName,DC=ParentDCName,DC=TopLevelDC

• A políticas IPsec podem ser armazenadas de duas formas:

Sintaxe do Comando

• ipsecpol [\\computername] [-?] [-w TYPE:DOMAIN][-p NomeDaPolitica] [-r NomeDaRegra] [-f ListaDeFiltros][-n ListaDeAções] [-t EndereçoDoTunnel] [-a MétodoDeAutenticação]

[-x]: ativa política [-y]: desativa política [-o]: apaga a política

Flags de Armazenamento

• -w TYPE:DOMAIN – w REG– w DS:ELETRICA.NIA

• -p PolicyName– p EMAIL

• Se a política já existir, a nova regra será adicionada a política.

• -r RuleName – r POP3

• Exemplo: para criar a política para um servidor de EMAIL:– ipsecpol –w REG –p EMAIL –r POP3– ipsecpol –w REG –p EMAIL –r IMAP3– ipsecpol –w REG –p EMAIL –r SMTP

[-f ListaDeFiltros]

• Conjunto de Filtros separados por espaço:– Simples:

• SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO • 192.168.0.0/255.255.255.0=0:80:TCP

– Espelhado:• SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO

• Significados especiais de SRC ou DST/MASK:- 0: computador local- *: qualquer endereço- 10.32.1.*: sub-rede 10.32.1.0/24

Exemplo de script de comando

• @REM Apaga a politica existente– ipseccmd -w REG -o -p Teste

• @REM Insere as regras na politica– ipseccmd -w REG -p Teste -r ping1 -f

0+1.2.3.4::ICMP -n ESP[3DES,MD5] -a PRESHARE:"Teste"

– ipseccmd -w REG -p Teste -r ping2 -f 0+4.3.2.1::ICMP -n AH[MD5] -a PRESHARE:"Teste2"

• @REM Torna a política ativa– ipseccmd -w REG -x -p Teste

ipseccmd show

• gpo – mostra a atribuição de políticas estáticas

• filters – mostra os filtros nos modos main e quick

• policies – mostra as políticas nos modos main e quick

• auth – mostra os métodos de autenticação main mode

• stats – mostra as estatísticas

• sas – mostra as associações de segurança

• all – mostra todos acima

PROBLEMA 1: ICMP

• Deseja-se restringir o envio de mensagens ICMP para o servidor.

• Apenas os usuários da rede corporativa podem enviar ICMP ao servidor, mas estes deve estar obrigatoriamente autenticados (AH MD5).

• O envio de ICMP por outras subredes é proibido.

Política de ICMP

192.168.1.0/24

192.168.1.3

AH: ICMPSERVIDOR

REDE A

192.168.1.7

CLIENTE

INTERNET

CLIENTEICMP

Exercício 1

• Criação da Política do Servidor:– Politica: ICMP

• Regra: recebePing• ListadeFiltro: 192.168.1.0/24<>192.168.1.7:ICMP• ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5)• Método de Autenticação: Preshared-Key(“Teste”)

• Criação da Política dos Clientes:– Politica: ICMP

• Regra: enviaPing• ListadeFiltro: 192.168.1.3<>192.168.1.7:ICMP• ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5)• Método de Autenticação: Preshared-Key(“Teste”)

PROBLEMA 2: EMAIL• Deseja-se garantir segurança no acesso

ao serviço de email em uma Intranet corporativa.

• Para isso, deseja-se adotar a seguinte política:– Os clientes só podem ler email em modo

criptografado.– Os clientes da rede corporativa devem se

autenticar para enviar email.– O servidor de email deve ser capaz de

receber email de outras redes.

Política de EMAIL

192.168.1.0/24

192.168.1.3

AH: SMTP

ESP: POP3, IMAP4

SERVIDOR

REDE A

192.168.1.7

CLIENTE

INTERNET

SERVIDORSMTP

Regras da Política

1. Os clientes só podem ler o email através de POP3 se fizerem uma conexão criptografada em DES com Autenticação em MD5 ou SHA.

2. Os clientes só podem ler o email através de IMPA4 se fizerem uma conexão criptografada em DES com Autenticação em MD5 ou SHA.

3. Os clientes só podem enviar email através de SMTP se mandarem pacotes autenticados em SHA ou MD5.

Exercício 2

• Políticas do Servidor de Email

• Políticas dos Clientes

PROBLEMA 3: INTRANET• Numa empresa, um mesmo servidor

funcionado com servidor de Internet e Intranet.• Deseja-se implantar a seguinte política de

segurança:– Todo acesso ao servidor Web pelos clientes da rede

corporativa deve ser obrigatoriamente criptografado.– Se os clientes externos suportarem IPsec, então o

acesso deve ser feito de modo criptografado.– Se os clientes externos não suportarem IPsec, então

o acesso deve liberado sem segurança.

Política de EMAIL

192.168.0.0/24

192.168.0.3

ESP: HTTP

SERVIDOR

REDE A

192.168.1.7

CLIENTE

INTERNET

CLIENTEHTTP

ESP HTTP

Regras da Política

1. Clientes que estiverem na subrede 192.168.1.0/24 devem falar sempre com criptografia: ESP DES,SHA e ESP DES,MD5.

2. Clientes externos que suportam IPsec podem falar em modo criptografado: ESP DES,SHA e ESP DES,MD5.

3. Clientes externos que não suportarem IPsec, mas que podem falar sem criptografia.

Exercício 3

• Políticas do Servidor de Email

• Políticas dos Clientes Internos

EXERCÍCIO 4

A X B

EMPRESA A

eth0192.168.A.2/24

PROVEDOR

G1eth1

G2

eth1192.168.A.1/24eth010.26.135.x/17

eth010.26.135.y/17eth1192.168.B.1/24

eth0192.168.B.2/24

eth0

SUBSTITUA:

• A pelo número da sua bancada• A pelo número da sua bancada + 4• x e y são os números da etiqueta do computador

EMPRESA B

eth0 eth0 eth0 eth1 eth0

Sentido AB: AH[MD5]Sentido BA: ESP[DES,MD5]

Exercício 3

• Políticas do Gateway A– De A para B:

– De B para A:• Políticas dos Gateway B

– De B para A:

– De A para B:

Observações

• Parâmetros TCP/IP no Windows– HKEY_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\Services\Tcpip\Parameters• Serviço de Roteamento e Acesso Remoto

– C:\WINDOWS\system32\svchost.exe -k netsvcs

• Serviços IPsec– C:\WINDOWS\system32\lsass.exe