exercícios ipsec aluno:. ipseccmd.exe dois modos: –dinâmico: cria políticas que são ativadas...
TRANSCRIPT
![Page 1: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/1.jpg)
Exercícios IPsec
Aluno:
![Page 2: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/2.jpg)
ipseccmd.exe
• Dois Modos:
– Dinâmico:• Cria políticas que são
ativadas imediatamente.• As políticas não são
armazenadas no SPD (Services Policy Database).
• Quando o serviço é reinicializado, as políticas são perdidas.
– Estático• Cria políticas para serem
armazenadas no SPD.• As políticas precisam ser
ativadas e não são perdidas quando o serviço é reinicializado.
• O modo estático é ativado pelo flag –w.
![Page 3: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/3.jpg)
SPD: Security Policy Database
• No register do Windows:
– HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Policy\Local
• No serviço de Diretório (Active Directory):
– CN=IPSecurity,CN=System,DC=YourDCName,DC=ParentDCName,DC=TopLevelDC
• A políticas IPsec podem ser armazenadas de duas formas:
![Page 4: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/4.jpg)
Sintaxe do Comando
• ipsecpol [\\computername] [-?] [-w TYPE:DOMAIN]
[-p NomeDaPolitica]
[-r NomeDaRegra]
[-f ListaDeFiltros]
[-n ListaDeAções]
[-t EndereçoDoTunnel]
[-a MétodoDeAutenticação]
[-x]: ativa política
[-y]: desativa política
[-o]: apaga a política
![Page 5: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/5.jpg)
Flags de Armazenamento
• -w TYPE:DOMAIN – w REG– w DS:ELETRICA.NIA
• -p PolicyName– p EMAIL
• Se a política já existir, a nova regra será adicionada a política.
• -r RuleName – r POP3
• Exemplo: para criar a política para um servidor de EMAIL:– ipsecpol –w REG –p EMAIL –r POP3– ipsecpol –w REG –p EMAIL –r IMAP3– ipsecpol –w REG –p EMAIL –r SMTP
![Page 6: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/6.jpg)
[-f ListaDeFiltros]
• Conjunto de Filtros separados por espaço:– Simples:
• SRC/MASK:PORT=DST/MASK:PORT:PROTOCOLO • 192.168.0.0/255.255.255.0=0:80:TCP
– Espelhado:• SRC/MASK:PORT+DST/MASK:PORT:PROTOCOLO
• Significados especiais de SRC ou DST/MASK:- 0: computador local- *: qualquer endereço- 10.32.1.*: sub-rede 10.32.1.0/24
![Page 7: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/7.jpg)
Exemplo de script de comando
• @REM Apaga a politica existente– ipseccmd -w REG -o -p Teste
• @REM Insere as regras na politica– ipseccmd -w REG -p Teste -r ping1 -f 0+1.2.3.4::ICMP -n
ESP[3DES,MD5] -a PRESHARE:"Teste"– ipseccmd -w REG -p Teste -r ping2 -f 0+4.3.2.1::ICMP -n
AH[MD5] -a PRESHARE:"Teste2"
• @REM Torna a política ativa– ipseccmd -w REG -x -p Teste
![Page 8: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/8.jpg)
ipseccmd show
• gpo – mostra a atribuição de políticas estáticas
• filters – mostra os filtros nos modos main e quick
• policies – mostra as políticas nos modos main e quick
• auth – mostra os métodos de autenticação main mode
• stats – mostra as estatísticas
• sas – mostra as associações de segurança
• all – mostra todos acima
![Page 9: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/9.jpg)
Exemplo: ICMP
• Deseja-se restringir o envio de mensagens ICMP para o servidor.
• Apenas os usuários da rede corporativa podem enviar ICMP ao servidor, mas estes deve estar obrigatoriamente autenticados (AH MD5).
• O envio de ICMP por outras subredes é proibido.
![Page 10: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/10.jpg)
Política de ICMP
192.168.1.0/24
192.168.1.3
AH: ICMP
SERVIDOR
REDE A
192.168.1.7
CLIENTE
INTERNET
CLIENTE
ICMP
![Page 11: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/11.jpg)
Exemplo
• Criação da Política do Servidor:– Politica: ICMP
• Regra: recebePing• ListadeFiltro: 192.168.1.0/24<>192.168.1.7:ICMP• ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5)• Método de Autenticação: Preshared-Key(“Teste”)
• Criação da Política dos Clientes:– Politica: ICMP
• Regra: enviaPing• ListadeFiltro: 192.168.1.3<>192.168.1.7:ICMP• ListadeNegociaçãoIPsec: AH(SHA1), AH(MD5)• Método de Autenticação: Preshared-Key(“Teste”)
![Page 12: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/12.jpg)
Exercício 1: EMAIL• Deseja-se garantir segurança no acesso ao
serviço de e-mail em uma Intranet corporativa.• Para isso, deseja-se adotar a seguinte política:
– Clientes só podem ler e-mail em modo cifrado.– Clientes da rede corporativa devem se autenticar para
enviar e-mail.– O servidor de e-mail deve ser capaz de receber e-mail
de outras redes.
![Page 13: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/13.jpg)
Política de EMAIL
10.26.128.0/17
10.26.135.15
AH: SMTP
ESP: POP3, IMAP4
SERVIDOR
REDE A
10.26.135.16
CLIENTE
INTERNET
SERVIDOR
SMTP
![Page 14: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/14.jpg)
Regras da Política
1. Os clientes só podem ler o e-mail através de POP3 se fizerem uma conexão cifrada em DES com Autenticação em SHA
2. Os clientes só podem ler o email através de IMPA4 se fizerem uma conexão cifrada em DES com Autenticação em SHA.
3. Os clientes só podem enviar e-mail através de SMTP se mandarem pacotes autenticados em MD5.
![Page 15: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/15.jpg)
Script de Configuração: ipsec1.bat
ipseccmd -w REG -o -p Cliente
ipseccmd -w REG -o -p Servidor
ipseccmd -p Cliente -r POP3 -w REG -f 0+10.26.135.15:TCP:110 -n
ESP[DES,SHA] -a PRESHARED:"SEGREDO"
ipseccmd -p Servidor -r POP3 -w REG -f 10.26.128.0/255.255.128.0+0:TCP:110 -n ESP[DES,SHA] -a PRESHARED:"SEGREDO"
echo Estao faltando a regra IMAP do Cliente e do Servidor
echo Estao faltando a regra SMTP do Cliente e do Servidor
if %1==C (
echo Essa maquina foi configurada como cliente
ipseccmd -w REG -x -p Cliente
) else if %1==S (
echo Essa máquina foi configurada como servidor
ipseccmd -w REG -x -p Servidor
)
![Page 16: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/16.jpg)
Testes
• 1) Utilize os programas em java para simular as conexões do servidor de email
• 2) Utilize o comando abaixo para salvar a confirmação que as associações IPsec foram feitas corretamente– ipseccmd show sas >> ipsec1.txt
• 3) Envie por e-mail o exercício 1 juntamente com o script de configuração e os pacotes capturados em um dos testes (IMAP, POP ou SMTP)
![Page 17: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/17.jpg)
EXERCÍCIO 2
A X B
EMPRESA A
192.168.A.2/24
PROVEDOR
G1 G2
192.168.A.1/2410.0. A.1/24
192.168.B.1/2410.0.A.2/24
192.168.B.2/24
SUBSTITUA:
• A pelo número da sua bancada• B pelo número da sua bancada + 4
EMPRESA B
Segurança: AH[MD5]
![Page 18: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/18.jpg)
Script de configuração: exercício2.bat
if %1==A (
echo Esqueci a configuracao do host A
) else if %1==G1 (
echo Esqueci a configuracao do gateway G1
) else if %1==G2 (
echo Esqueci a configuracao o gateway G2
) else if %1==B (
echo Esqueci a configuracao o host B
) else if %1==D (
echo Restaurando a configuracao default com dhcp
netsh interface ip set address "ConexÆo local" dhcp
netsh interface ip set dns "ConexÆo local" dhcp
ipconfig /renew
ipseccmd -w REG -o -p Tunel
)
![Page 19: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/19.jpg)
Configuração do Host A (B)
echo Configurando o host A
netsh interface ip add address "ConexÆo local" 192.168.11.2 255.255.255.0
netsh interface ip add address "ConexÆo local" gateway=192.168.11.1 gwmetric=2
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v "EnableICMPRedirect" /t Reg_DWord /d 0 /f
![Page 20: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/20.jpg)
Configuração do Gateway G1 (G2)
echo Configurando o gateway G1
net start remoteaccess
netsh interface ip add address "ConexÆo local" 10.0.0.1 255.255.255.0
netsh interface ip add address "ConexÆo local" 192.168.11.1 255.255.255.0
route add 192.168.12.0 mask 255.255.255.0 10.0.0.2
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v "EnableICMPRedirect" /t Reg_DWord /d 0 /f
ipseccmd -w REG -o -p Tunel
ipseccmd -p Tunel -r TUNELAB -w REG -f 192.168.11.0/255.255.255.0=192.168.12.0/255.255.255.0 -n AH[SHA] -t 10.0.0.2 -a PRESHARED:"SEGREDO"
ipseccmd -p Tunel -r TUNELBA -w REG -f 192.168.12.0/255.255.255.0=192.168.11.0/255.255.255.0 -n AH[SHA] -t 10.0.0.1 -a PRESHARED:"SEGREDO"
ipseccmd -w REG -x -p Tunel
![Page 21: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/21.jpg)
Testes
• 1) Desabilite o firewall do windows em todas as máquinas
• 2) Reative o roteamento do Windows em G1 e G2 caso não esteja habilitado (o script acusa um erro caso nesse caso)
• 3) Efetue um ping contínuo entre A e B e capture os pacotes no IPsec Gateway G1.
• 4) Salve a prova que a associação IPsec foi feita– ipseccmd show sas >> ipsec2.txt
• 5) Envie por e-mail todos os arquivos do exercício2 (.bat, .txt e os pacotes capturados)
![Page 22: Exercícios IPsec Aluno:. ipseccmd.exe Dois Modos: –Dinâmico: Cria políticas que são ativadas imediatamente. As políticas não são armazenadas no SPD (Services](https://reader036.vdocuments.net/reader036/viewer/2022062512/552fc105497959413d8c040a/html5/thumbnails/22.jpg)
Observações
• Parâmetros TCP/IP no Windows– HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\Tcpip\Parameters
• Serviço de Roteamento e Acesso Remoto– C:\WINDOWS\system32\svchost.exe -k netsvcs
• Serviços IPsec– C:\WINDOWS\system32\lsass.exe