exercícios ipsec aluno:. ipseccmd.exe dois modos: –dinâmico: cria políticas que são ativadas...
TRANSCRIPT
Exercícios IPsec
Aluno:
ipseccmd.exe
• Dois Modos:
– Dinâmico:• Cria políticas que são
ativadas imediatamente.• As políticas não são
armazenadas no SPD (Services Policy Database).
• Quando o serviço é reinicializado, as políticas são perdidas.
– Estático• Cria políticas para serem
armazenadas no SPD.• As políticas precisam ser
ativadas e não são perdidas quando o serviço é reinicializado.
• O modo estático é ativado pelo flag –w.
SPD: Security Policy Database
• No register do Windows:
– HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Policy\Local
• No serviço de Diretório (Active Directory):
– CN=IPSecurity,CN=System,DC=YourDCName,DC=ParentDCName,DC=TopLevelDC
• A políticas IPsec podem ser armazenadas de duas formas:
Sintaxe do Comando
• ipsecpol [\\computername] [-?] [-w TYPE:DOMAIN]
[-p NomeDaPolitica]
[-r NomeDaRegra]
[-f ListaDeFiltros]
[-n ListaDeAções]
[-t EndereçoDoTunnel]
[-a MétodoDeAutenticação]
[-x]: ativa política
[-y]: desativa política
[-o]: apaga a política
Flags de Armazenamento
• -w TYPE:DOMAIN – w REG– w DS:ELETRICA.NIA
• -p PolicyName– p EMAIL
• Se a política já existir, a nova regra será adicionada a política.
• -r RuleName – r POP3
• Exemplo: para criar a política para um servidor de EMAIL:– ipsecpol –w REG –p EMAIL –r POP3– ipsecpol –w REG –p EMAIL –r IMAP3– ipsecpol –w REG –p EMAIL –r SMTP
[-f ListaDeFiltros]
• Conjunto de Filtros separados por espaço:– Simples:
• SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO • 192.168.0.0/255.255.255.0=0:80:TCP
– Espelhado:• SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO
• Significados especiais de SRC ou DST/MASK:- 0: computador local- *: qualquer endereço- 10.32.1.*: sub-rede 10.32.1.0/24
Exemplo de script de comando
• @REM Apaga a politica existente– ipseccmd -w REG -o -p Teste
• @REM Insere as regras na politica– ipseccmd -w REG -p Teste -r ping1 -f 0+1.2.3.4::ICMP -n
ESP[3DES,MD5] -a PRESHARE:"Teste"– ipseccmd -w REG -p Teste -r ping2 -f 0+4.3.2.1::ICMP -n
AH[MD5] -a PRESHARE:"Teste2"
• @REM Torna a política ativa– ipseccmd -w REG -x -p Teste
ipseccmd show
• gpo – mostra a atribuição de políticas estáticas
• filters – mostra os filtros nos modos main e quick
• policies – mostra as políticas nos modos main e quick
• auth – mostra os métodos de autenticação main mode
• stats – mostra as estatísticas
• sas – mostra as associações de segurança
• all – mostra todos acima
Exemplo: ICMP
• Deseja-se restringir o envio de mensagens ICMP para o servidor.
• Apenas os usuários da rede corporativa podem enviar ICMP ao servidor, mas estes deve estar obrigatoriamente autenticados (AH MD5).
• O envio de ICMP por outras subredes é proibido.
Política de ICMP
192.168.1.0/24
192.168.1.3
AH: ICMP
SERVIDOR
REDE A
192.168.1.7
CLIENTE
INTERNET
CLIENTE
ICMP
Exemplo
• Criação da Política do Servidor:– Politica: ICMP
• Regra: recebePing• ListadeFiltro: 192.168.1.0/24<>192.168.1.7:ICMP• ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5)• Método de Autenticação: Preshared-Key(“Teste”)
• Criação da Política dos Clientes:– Politica: ICMP
• Regra: enviaPing• ListadeFiltro: 192.168.1.3<>192.168.1.7:ICMP• ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5)• Método de Autenticação: Preshared-Key(“Teste”)
Exercício 1: EMAIL• Deseja-se garantir segurança no acesso ao
serviço de e-mail em uma Intranet corporativa.• Para isso, deseja-se adotar a seguinte política:
– Clientes só podem ler e-mail em modo cifrado.– Clientes da rede corporativa devem se autenticar para
enviar e-mail.– O servidor de e-mail deve ser capaz de receber e-mail
de outras redes.
Política de EMAIL
10.26.128.0/17
10.26.135.15
AH: SMTP
ESP: POP3, IMAP4
SERVIDOR
REDE A
10.26.135.16
CLIENTE
INTERNET
SERVIDOR
SMTP
Regras da Política
1. Os clientes só podem ler o e-mail através de POP3 se fizerem uma conexão cifrada em DES com Autenticação em SHA
2. Os clientes só podem ler o email através de IMPA4 se fizerem uma conexão cifrada em DES com Autenticação em SHA.
3. Os clientes só podem enviar e-mail através de SMTP se mandarem pacotes autenticados em MD5.
Script de Configuração: ipsec1.bat
ipseccmd -w REG -o -p Cliente
ipseccmd -w REG -o -p Servidor
ipseccmd -p Cliente -r POP3 -w REG -f 0+10.26.135.15:TCP:110 -n
ESP[DES,SHA] -a PRESHARED:"SEGREDO"
ipseccmd -p Servidor -r POP3 -w REG -f 10.26.128.0/255.255.128.0+0:TCP:110 -n ESP[DES,SHA] -a PRESHARED:"SEGREDO"
echo Estao faltando a regra IMAP do Cliente e do Servidor
echo Estao faltando a regra SMTP do Cliente e do Servidor
if %1==C (
echo Essa maquina foi configurada como cliente
ipseccmd -w REG -x -p Cliente
) else if %1==S (
echo Essa máquina foi configurada como servidor
ipseccmd -w REG -x -p Servidor
)
Testes
• 1) Utilize os programas em java para simular as conexões do servidor de email
• 2) Utilize o comando abaixo para salvar a confirmação que as associações IPsec foram feitas corretamente– ipseccmd show sas >> ipsec1.txt
• 3) Envie por e-mail o exercício 1 juntamente com o script de configuração e os pacotes capturados em um dos testes (IMAP, POP ou SMTP)
EXERCÍCIO 2
A X B
EMPRESA A
192.168.A.2/24
PROVEDOR
G1 G2
192.168.A.1/2410.0. A.1/24
192.168.B.1/2410.0.A.2/24
192.168.B.2/24
SUBSTITUA:
• A pelo número da sua bancada• B pelo número da sua bancada + 4
EMPRESA B
Segurança: AH[MD5]
Script de configuração: exercício2.bat
if %1==A (
echo Esqueci a configuracao do host A
) else if %1==G1 (
echo Esqueci a configuracao do gateway G1
) else if %1==G2 (
echo Esqueci a configuracao o gateway G2
) else if %1==B (
echo Esqueci a configuracao o host B
) else if %1==D (
echo Restaurando a configuracao default com dhcp
netsh interface ip set address "ConexÆo local" dhcp
netsh interface ip set dns "ConexÆo local" dhcp
ipconfig /renew
ipseccmd -w REG -o -p Tunel
)
Configuração do Host A (B)
echo Configurando o host A
netsh interface ip add address "ConexÆo local" 192.168.11.2 255.255.255.0
netsh interface ip add address "ConexÆo local" gateway=192.168.11.1 gwmetric=2
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v "EnableICMPRedirect" /t Reg_DWord /d 0 /f
Configuração do Gateway G1 (G2)
echo Configurando o gateway G1
net start remoteaccess
netsh interface ip add address "ConexÆo local" 10.0.0.1 255.255.255.0
netsh interface ip add address "ConexÆo local" 192.168.11.1 255.255.255.0
route add 192.168.12.0 mask 255.255.255.0 10.0.0.2
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v "EnableICMPRedirect" /t Reg_DWord /d 0 /f
ipseccmd -w REG -o -p Tunel
ipseccmd -p Tunel -r TUNELAB -w REG -f 192.168.11.0/255.255.255.0=192.168.12.0/255.255.255.0 -n AH[SHA] -t 10.0.0.2 -a PRESHARED:"SEGREDO"
ipseccmd -p Tunel -r TUNELBA -w REG -f 192.168.12.0/255.255.255.0=192.168.11.0/255.255.255.0 -n AH[SHA] -t 10.0.0.1 -a PRESHARED:"SEGREDO"
ipseccmd -w REG -x -p Tunel
Testes
• 1) Desabilite o firewall do windows em todas as máquinas
• 2) Reative o roteamento do Windows em G1 e G2 caso não esteja habilitado (o script acusa um erro caso nesse caso)
• 3) Efetue um ping contínuo entre A e B e capture os pacotes no IPsec Gateway G1.
• 4) Salve a prova que a associação IPsec foi feita– ipseccmd show sas >> ipsec2.txt
• 5) Envie por e-mail todos os arquivos do exercício2 (.bat, .txt e os pacotes capturados)
Observações
• Parâmetros TCP/IP no Windows– HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\Tcpip\Parameters
• Serviço de Roteamento e Acesso Remoto– C:\WINDOWS\system32\svchost.exe -k netsvcs
• Serviços IPsec– C:\WINDOWS\system32\lsass.exe