30
Exercícios IPsec e LDAP Aluno:

Exercícios IPsec e LDAP

  • Upload
    nadine

  • View
    49

  • Download
    0

Embed Size (px)

DESCRIPTION

Exercícios IPsec e LDAP. Aluno:. IPsec: Configuração da Rede. HOST A. HOST B. 10.32.1.45. 10.26.128.253. 10.26.128.1. 10.32.1.1. 10.26.128.0 255.255.128.0. 192.168.0.0 255.255.0.0. Políticas Básicas. Sem IPsec Client (Respond Only) Implementa IPsec apenas se exigido pelo Servidor. - PowerPoint PPT Presentation

Citation preview

Page 1: Exercícios  IPsec e LDAP

Exercícios IPsec e LDAP

Aluno:

Page 2: Exercícios  IPsec e LDAP

IPsec: Configuração da Rede

10.26.128.253 10.32.1.45

10.26.128.0255.255.128.0

192.168.0.0255.255.0.0

HOST A HOST B

10.26.128.1 10.32.1.1

Page 3: Exercícios  IPsec e LDAP

Políticas Básicas

• Sem IPsec• Client (Respond Only)

– Implementa IPsec apenas se exigido pelo Servidor.

• Secure Server (Require Security)– Efetua apenas comunicação IPsec. – Rejeita conexões com clientes que não suportam IPsec.

• Server (Request Security)– Solicita sempre comunicação IPsec.– Aceita conexões sem segurança se o cliente não suportar

IPsec.

Page 4: Exercícios  IPsec e LDAP

Política 1: ICMP

• Objetivo: – Evitar ataques ICMP com spoofing.

• Política: Para o HOST B:– Apenas mensagens ICMP vindas da subrede

10.26.128.0/17 em modo IPsec AH são aceitas. – Se o solicitante não suporta IPsec, então a comunicação é

Rejeitada

Page 5: Exercícios  IPsec e LDAP

Política 1: ICMP

10.26.128.0

10.32.1.45ICMP

ICMP (AH)

HOST B

REDE A

REDE_A HOST_B ICMP

HOST_B REDE_A ICMP

2 REGRAS

Page 6: Exercícios  IPsec e LDAP

Descrição da Política: HOST B

• Regra:– Tunel:– Tipo de Rede:– Método de Autenticação:

• Filtro:– IP Origem:– IP Destino:– Protocolo:– Porta Origem:– Porta Destino:– Simétrico?:

• Ação:– Tipo:– Aceita comunicação sem IPsec?:– Protocolo IPsec:– Protocolo de Integridade:– Protocolo de Criptografia:

Page 7: Exercícios  IPsec e LDAP

Pergunta:

• Que política Básica deve ser configurada no HOST A para que ele possa enviar as mensagens de ping? Explique por que algumas políticas não funcionam.

• RESPOSTA:– Sem IPsec:– Cliente:– Request Security:– Require Security:

Page 8: Exercícios  IPsec e LDAP

Cuidado com as Políticas Default ...

ClienteCliente

só uso IPsec se você pedir.

só respondo com IPsec se você pedir

aceito suas perguntas sem IPsec

aceito suas perguntas sem IPsec

Não cria IPsec na Pergunta

Comunicaçãosem IPsec

Page 9: Exercícios  IPsec e LDAP

Cuidado com as Políticas Default (?)...

RequestSecurity

Cliente

só uso IPsec se você pedir.

eu só falo em IPsec

aceito suas perguntas sem IPsec

aceito suas perguntas sem IPsec

Cria IPsec na Resposta se o

Cliente Suportar

Cria IPsec na Resposta se o

Cliente Suportar

Page 10: Exercícios  IPsec e LDAP

Cuidado com as Políticas Default ...

RequestSecurity

RequestSecurity

eu só falo em IPsec

aceito suas perguntas sem IPsec

aceito suas perguntas sem IPsec

Cria IPsec na Pergunta

eu só falo em IPsec

Comunicação com IPsec

Page 11: Exercícios  IPsec e LDAP

Cuidado com as Políticas Default ...

RequireSecurity

RequestSecurity

eu só falo em IPsec

só aceito peguntas em IPsec

aceito suas perguntas sem IPsec

Cria IPsec na Pergunta

eu só falo em IPsec

Comunicação com IPsec

Page 12: Exercícios  IPsec e LDAP

Cuidado com as Políticas Default ...

RequireSecurity

RequestSecurity

eu só falo em IPsec

só aceito peguntas em IPsec

só aceito perguntas em IPsec

Cria IPsec na Pergunta

eu só falo em IPsec

Comunicação com IPsec

Page 13: Exercícios  IPsec e LDAP

Alterações de Políticas

• Quando uma comunicação IPsec é bem sucedida, cria-se uma SA.

SA (ESP, DES, SHA)

• As SA continuam, mesmo se as políticas são modificadas. Deve-se aguardar um tempo para que as S.A. sejam desfeitas e então a nova política tenha efeito.

• Durante este perído, a criação de políticas incompatíveis com SA já estabelecidas faz com que a comunicação não funcione.

SA (ESP, DES, SHA)

Page 14: Exercícios  IPsec e LDAP

Tempo de Vida das Chaves

• FASE 1:– Criação de uma SA Temporária – Cria um canal seguro para Negociação da SA Definitiva.

• FASE 2:– Criação de uma SA Permanente– Cria o canal seguro para transmissão dos dados.

• Parâmetros de Tempo de Vida:• verifica mudanças de política a cada 180 minutos• refaz a autenticação a cada 480 minutos• pode reutilizar a masterkey para gerar novas chaves de sessão em

comunicações seguras com o mesmo computador.

Page 15: Exercícios  IPsec e LDAP

Política 2: Acesso HTTP

• Objetivo: – Possibilitar que usuários da Intranet possam estabelecer

comunicação em modo seguro, com criptografia de dados.• Política: Para o HOST B:

– Apenas o acesso da subrede 10.26.128.0/17 em modo IPsec ESP é permitido.

– Se o solicitante não suporta IPsec, então a comunicação não é Permitida.

– Se o solicitante pertencer a uma outra subrede, então a comunicação é bloqueada.

Page 16: Exercícios  IPsec e LDAP

Observações

• Se a política não funcionar, verifique:• No cliente:

– IPse está sendo solicitado? Com que parâmetros:• Protocolo (AH ou ESP)• Protocolo de Criptografia (DES, 3DES)• Protocolo de Hashing (SHA1, MD5)

• No servidor:– O servidor é capaz de responder a uma requisição IPsec?

Com que parâmetros?

• Verifique se pelo menos uma política (incluindo os protocolos de criptografia) é comum ao cliente e ao servidor.

Page 17: Exercícios  IPsec e LDAP

Observações

• Lembre-se que existe uma regra Default na sua política:– Ela se aplica a qualquer protocolo.– Ela exige que se use IPsec.– Ela tenta efetuar a criptografia em vários modos:

• ESP (3DES,SHA1) e ESP (3DES,MD5)• ESP (DES,SHA1) e ESP (DES,MD5)• AH(SHA1)• AH(MD5)

– Se o cliente requisitar modo ESP, é a regra dinâmica que responde, e não a regra de ICMP, que se aplica apenas a AH.

Page 18: Exercícios  IPsec e LDAP

Política 2: Acesso HTTP

10.26.128.0

10.32.1.45HTTP (ESP)

HTTP

HOST B

HTTP

REDE_A HOST_B HTTP

HOST_B REDE_A HTTP

2 REGRAS

REDE A

Page 19: Exercícios  IPsec e LDAP

Descrição da Política: HOST B

• Regra:– Tunel:– Tipo de Rede:– Método de Autenticação:

• Filtro:– IP Origem:– IP Destino:– Protocolo:– Porta Origem:– Porta Destino:– Simétrico?:

• Ação:– Tipo:– Aceita comunicação sem IPsec?:– Protocolo IPsec:– Protocolo de Integridade:– Protocolo de Criptografia:

Page 20: Exercícios  IPsec e LDAP

Pergunta:

• Que política Básica deve ser configurada nos Hosts clientes para que eles possam acessar ao servidor de Intranet?

• RESPOSTA:

Page 21: Exercícios  IPsec e LDAP

Política 3: VPN sobre rede Insegura

• Cenário:

10.26.128.253 10.32.1.45

192.168.0.0255.255.0.0

10.26.128.0255.255.128.0

AH(obrigatório)

ESP(túnel, obrigatório) AH

(obrigatório)

Page 22: Exercícios  IPsec e LDAP

Observação: Políticas com Tunelamento

• Regras de tunelamento NÃO são simétricas pois os endpoints são diferentes.

• Neste caso, é necessário criar explicitamente um regra para enviar e outra para receber pacotes pelo túnel, em cada um dos gateways VPN.

IP_IA

B

RedeA

RedeB

IP_EA IP_IBIP_EB

R_B R_AIP_EB IP_EA

R_B R_AIP_EA IP_EA

A

R_B R_AIP_EB IP_EA

R_B R_AIP_EA IP_EA

Page 23: Exercícios  IPsec e LDAP

Política 3: Acesso VPN

• Objetivos da Política:– Permitir que duas redes da organização troquem

informação em modo seguro.– A informação deve ser criptograda enquanto estiver

transitando entre as duas redes.– Apenas os hosts pertencentes as subredes 10.16.128.0/17

e 192.168.0.0/16 podem utilizar o canal VPN.– Deve-se evitar que computadores pertencentes a outras

redes utilizem o canal VPN através de técnicas de spoofing.

Page 24: Exercícios  IPsec e LDAP

Políticas para o HOST A

Page 25: Exercícios  IPsec e LDAP

Descrição da Política: HOST A

• Regra:– Tunel:– Tipo de Rede:– Método de Autenticação:

• Filtro:– IP Origem:– IP Destino:– Protocolo:– Porta Origem:– Porta Destino:– Simétrico?:

• Ação:– Tipo:– Aceita comunicação sem IPsec?:– Protocolo IPsec:– Protocolo de Integridade:– Protocolo de Criptografia:

Page 26: Exercícios  IPsec e LDAP

Políticas para o HOST B

Page 27: Exercícios  IPsec e LDAP

Descrição da Política: HOST B

• Regra:– Tunel:– Tipo de Rede:– Método de Autenticação:

• Filtro:– IP Origem:– IP Destino:– Protocolo:– Porta Origem:– Porta Destino:– Simétrico?:

• Ação:– Tipo:– Aceita comunicação sem IPsec?:– Protocolo IPsec:– Protocolo de Integridade:– Protocolo de Criptografia:

Page 28: Exercícios  IPsec e LDAP

Políticas para os Clientes

Page 29: Exercícios  IPsec e LDAP

Descrição da Política: Clientes

• Regra:– Tunel:– Tipo de Rede:– Método de Autenticação:

• Filtro:– IP Origem:– IP Destino:– Protocolo:– Porta Origem:– Porta Destino:– Simétrico?:

• Ação:– Tipo:– Aceita comunicação sem IPsec?:– Protocolo IPsec:– Protocolo de Integridade:– Protocolo de Criptografia:

Page 30: Exercícios  IPsec e LDAP

Observações

• Limitações do VPN IPsec no Windows 2000– Os tuneis não podem ser criados para

protocolos ou portas específicas.• APENAS TUNEIS ESTÁTICOS ENTRE DOIS

ENDEREÇOS IP SÃO SUPORTADOS.