Exercícios IPsec

Aluno:

ipseccmd.exe

• Dois Modos:

– Dinâmico:• Cria políticas que são

ativadas imediatamente.• As políticas não são

armazenadas no SPD (Services Policy Database).

• Quando o serviço é reinicializado, as políticas são perdidas.

– Estático• Cria políticas para serem

armazenadas no SPD.• As políticas precisam ser

ativadas e não são perdidas quando o serviço é reinicializado.

• O modo estático é ativado pelo flag –w.

SPD: Security Policy Database

• No register do Windows:

– HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Policy\Local

• No serviço de Diretório (Active Directory):

– CN=IPSecurity,CN=System,DC=YourDCName,DC=ParentDCName,DC=TopLevelDC

• A políticas IPsec podem ser armazenadas de duas formas:

Sintaxe do Comando

• ipsecpol [\\computername] [-?] [-w TYPE:DOMAIN]

[-p NomeDaPolitica]

[-r NomeDaRegra]

[-f ListaDeFiltros]

[-n ListaDeAções]

[-t EndereçoDoTunnel]

[-a MétodoDeAutenticação]

[-x]: ativa política

[-y]: desativa política

[-o]: apaga a política

Flags de Armazenamento

• -w TYPE:DOMAIN – w REG– w DS:ELETRICA.NIA

• -p PolicyName– p EMAIL

• Se a política já existir, a nova regra será adicionada a política.

• -r RuleName – r POP3

• Exemplo: para criar a política para um servidor de EMAIL:– ipsecpol –w REG –p EMAIL –r POP3– ipsecpol –w REG –p EMAIL –r IMAP3– ipsecpol –w REG –p EMAIL –r SMTP

[-f ListaDeFiltros]

• Conjunto de Filtros separados por espaço:– Simples:

• SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO • 192.168.0.0/255.255.255.0=0:80:TCP

– Espelhado:• SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO

• Significados especiais de SRC ou DST/MASK:- 0: computador local- *: qualquer endereço- 10.32.1.*: sub-rede 10.32.1.0/24

Exemplo de script de comando

• @REM Apaga a politica existente– ipseccmd -w REG -o -p Teste

• @REM Insere as regras na politica– ipseccmd -w REG -p Teste -r ping1 -f 0+1.2.3.4::ICMP -n

ESP[3DES,MD5] -a PRESHARE:"Teste"– ipseccmd -w REG -p Teste -r ping2 -f 0+4.3.2.1::ICMP -n

AH[MD5] -a PRESHARE:"Teste2"

• @REM Torna a política ativa– ipseccmd -w REG -x -p Teste

ipseccmd show

• gpo – mostra a atribuição de políticas estáticas

• filters – mostra os filtros nos modos main e quick

• policies – mostra as políticas nos modos main e quick

• auth – mostra os métodos de autenticação main mode

• stats – mostra as estatísticas

• sas – mostra as associações de segurança

• all – mostra todos acima

Exemplo: ICMP

• Deseja-se restringir o envio de mensagens ICMP para o servidor.

• Apenas os usuários da rede corporativa podem enviar ICMP ao servidor, mas estes deve estar obrigatoriamente autenticados (AH MD5).

• O envio de ICMP por outras subredes é proibido.

Política de ICMP

192.168.1.0/24

192.168.1.3

AH: ICMP

SERVIDOR

REDE A

192.168.1.7

CLIENTE

INTERNET

CLIENTE

ICMP

Exemplo

• Criação da Política do Servidor:– Politica: ICMP

• Regra: recebePing• ListadeFiltro: 192.168.1.0/24<>192.168.1.7:ICMP• ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5)• Método de Autenticação: Preshared-Key(“Teste”)

• Criação da Política dos Clientes:– Politica: ICMP

• Regra: enviaPing• ListadeFiltro: 192.168.1.3<>192.168.1.7:ICMP• ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5)• Método de Autenticação: Preshared-Key(“Teste”)

Exercício 1: EMAIL• Deseja-se garantir segurança no acesso ao

serviço de e-mail em uma Intranet corporativa.• Para isso, deseja-se adotar a seguinte política:

– Clientes só podem ler e-mail em modo cifrado.– Clientes da rede corporativa devem se autenticar para

enviar e-mail.– O servidor de e-mail deve ser capaz de receber e-mail

de outras redes.

Política de EMAIL

10.26.128.0/17

10.26.135.15

AH: SMTP

ESP: POP3, IMAP4

SERVIDOR

REDE A

10.26.135.16

CLIENTE

INTERNET

SERVIDOR

SMTP

Regras da Política

1. Os clientes só podem ler o e-mail através de POP3 se fizerem uma conexão cifrada em DES com Autenticação em SHA

2. Os clientes só podem ler o email através de IMPA4 se fizerem uma conexão cifrada em DES com Autenticação em SHA.

3. Os clientes só podem enviar e-mail através de SMTP se mandarem pacotes autenticados em MD5.

Script de Configuração: ipsec1.bat

ipseccmd -w REG -o -p Cliente

ipseccmd -w REG -o -p Servidor

ipseccmd -p Cliente -r POP3 -w REG -f 0+10.26.135.15:TCP:110 -n

ESP[DES,SHA] -a PRESHARED:"SEGREDO"

ipseccmd -p Servidor -r POP3 -w REG -f 10.26.128.0/255.255.128.0+0:TCP:110 -n ESP[DES,SHA] -a PRESHARED:"SEGREDO"

echo Estao faltando a regra IMAP do Cliente e do Servidor

echo Estao faltando a regra SMTP do Cliente e do Servidor

if %1==C (

echo Essa maquina foi configurada como cliente

ipseccmd -w REG -x -p Cliente

) else if %1==S (

echo Essa máquina foi configurada como servidor

ipseccmd -w REG -x -p Servidor

)

Testes

• 1) Utilize os programas em java para simular as conexões do servidor de email

• 2) Utilize o comando abaixo para salvar a confirmação que as associações IPsec foram feitas corretamente– ipseccmd show sas >> ipsec1.txt

• 3) Envie por e-mail o exercício 1 juntamente com o script de configuração e os pacotes capturados em um dos testes (IMAP, POP ou SMTP)

EXERCÍCIO 2

A X B

EMPRESA A

192.168.A.2/24

PROVEDOR

G1 G2

192.168.A.1/2410.0. A.1/24

192.168.B.1/2410.0.A.2/24

192.168.B.2/24

SUBSTITUA:

• A pelo número da sua bancada• B pelo número da sua bancada + 4

EMPRESA B

Segurança: AH[MD5]

Script de configuração: exercício2.bat

if %1==A (

echo Esqueci a configuracao do host A

) else if %1==G1 (

echo Esqueci a configuracao do gateway G1

) else if %1==G2 (

echo Esqueci a configuracao o gateway G2

) else if %1==B (

echo Esqueci a configuracao o host B

) else if %1==D (

echo Restaurando a configuracao default com dhcp

netsh interface ip set address "ConexÆo local" dhcp

netsh interface ip set dns "ConexÆo local" dhcp

ipconfig /renew

ipseccmd -w REG -o -p Tunel

)

Configuração do Host A (B)

echo Configurando o host A

netsh interface ip add address "ConexÆo local" 192.168.11.2 255.255.255.0

netsh interface ip add address "ConexÆo local" gateway=192.168.11.1 gwmetric=2

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v "EnableICMPRedirect" /t Reg_DWord /d 0 /f

Configuração do Gateway G1 (G2)

echo Configurando o gateway G1

net start remoteaccess

netsh interface ip add address "ConexÆo local" 10.0.0.1 255.255.255.0

netsh interface ip add address "ConexÆo local" 192.168.11.1 255.255.255.0

route add 192.168.12.0 mask 255.255.255.0 10.0.0.2

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v "EnableICMPRedirect" /t Reg_DWord /d 0 /f

ipseccmd -w REG -o -p Tunel

ipseccmd -p Tunel -r TUNELAB -w REG -f 192.168.11.0/255.255.255.0=192.168.12.0/255.255.255.0 -n AH[SHA] -t 10.0.0.2 -a PRESHARED:"SEGREDO"

ipseccmd -p Tunel -r TUNELBA -w REG -f 192.168.12.0/255.255.255.0=192.168.11.0/255.255.255.0 -n AH[SHA] -t 10.0.0.1 -a PRESHARED:"SEGREDO"

ipseccmd -w REG -x -p Tunel

Testes

• 1) Desabilite o firewall do windows em todas as máquinas

• 2) Reative o roteamento do Windows em G1 e G2 caso não esteja habilitado (o script acusa um erro caso nesse caso)

• 3) Efetue um ping contínuo entre A e B e capture os pacotes no IPsec Gateway G1.

• 4) Salve a prova que a associação IPsec foi feita– ipseccmd show sas >> ipsec2.txt

• 5) Envie por e-mail todos os arquivos do exercício2 (.bat, .txt e os pacotes capturados)

Observações

• Parâmetros TCP/IP no Windows– HKEY_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\Services\Tcpip\Parameters

• Serviço de Roteamento e Acesso Remoto– C:\WINDOWS\system32\svchost.exe -k netsvcs

• Serviços IPsec– C:\WINDOWS\system32\lsass.exe