Exerc - PowerPoint PPT Presentation

1 / 22
About This Presentation
Title:

Exerc

Description:

Exerc cios IPsec Aluno: ipseccmd.exe Dois Modos: Din mico: Cria pol ticas que s o ativadas imediatamente. As pol ticas n o s o armazenadas no SPD (Services ... – PowerPoint PPT presentation

Number of Views:77
Avg rating:3.0/5.0
Slides: 23
Provided by: Edga45
Category:
Tags: exerc

less

Transcript and Presenter's Notes

Title: Exerc


1
Exercícios IPsec
  • Aluno

2
ipseccmd.exe
  • Dois Modos
  • Dinâmico
  • Cria políticas que são ativadas imediatamente.
  • As políticas não são armazenadas no SPD (Services
    Policy Database).
  • Quando o serviço é reinicializado, as políticas
    são perdidas.
  • Estático
  • Cria políticas para serem armazenadas no SPD.
  • As políticas precisam ser ativadas e não são
    perdidas quando o serviço é reinicializado.
  • O modo estático é ativado pelo flag w.

3
SPD Security Policy Database
  • A políticas IPsec podem ser armazenadas de duas
    formas
  • No register do Windows
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Ser
    vices\PolicyAgent\Policy\Local
  • No serviço de Diretório (Active Directory)
  • CNIPSecurity,CNSystem,DCYourDCName,DCParent
    DCName,DCTopLevelDC

4
Sintaxe do Comando
  • ipsecpol \\computername -?
  • -w TYPEDOMAIN
  • -p NomeDaPolitica
  • -r NomeDaRegra
  • -f ListaDeFiltros
  • -n ListaDeAções
  • -t EndereçoDoTunnel
  • -a MétodoDeAutenticação
  • -x ativa política
  • -y desativa política
  • -o apaga a política

5
Flags de Armazenamento
  • -w TYPEDOMAIN
  • w REG
  • w DSELETRICA.NIA
  • -p PolicyName
  • p EMAIL
  • Se a política já existir, a nova regra será
    adicionada a política.
  • -r RuleName
  • r POP3
  • Exemplo para criar a política para um servidor
    de EMAIL
  • ipsecpol w REG p EMAIL r POP3
  • ipsecpol w REG p EMAIL r IMAP3
  • ipsecpol w REG p EMAIL r SMTP

6
-f ListaDeFiltros
  • Conjunto de Filtros separados por espaço
  • Simples
  • SRC/MASKPORTDST/MASKPORTPROTOCOLO
  • 192.168.0.0/255.255.255.0080TCP
  • Espelhado
  • SRC/MASKPORTDST/MASKPORTPROTOCOLO
  • Significados especiais de SRC ou DST/MASK
  • 0 computador local
  • qualquer endereço
  • 10.32.1. sub-rede 10.32.1.0/24

7
Exemplo de script de comando
  • _at_REM Apaga a politica existente
  • ipseccmd -w REG -o -p Teste
  • _at_REM Insere as regras na politica
  • ipseccmd -w REG -p Teste -r ping1 -f
    01.2.3.4ICMP -n ESP3DES,MD5 -a
    PRESHARE"Teste"
  • ipseccmd -w REG -p Teste -r ping2 -f
    04.3.2.1ICMP -n AHMD5 -a PRESHARE"Teste2"
  • _at_REM Torna a política ativa
  • ipseccmd -w REG -x -p Teste

8
ipseccmd show
  • gpo
  • mostra a atribuição de políticas estáticas
  • filters
  • mostra os filtros nos modos main e quick
  • policies
  • mostra as políticas nos modos main e quick
  • auth
  • mostra os métodos de autenticação main mode
  • stats
  • mostra as estatísticas
  • sas
  • mostra as associações de segurança
  • all
  • mostra todos acima

9
Exemplo ICMP
  • Deseja-se restringir o envio de mensagens ICMP
    para o servidor.
  • Apenas os usuários da rede corporativa podem
    enviar ICMP ao servidor, mas estes deve estar
    obrigatoriamente autenticados (AH MD5).
  • O envio de ICMP por outras subredes é proibido.

10
Política de ICMP
CLIENTE
192.168.1.3
SERVIDOR
CLIENTE
AH ICMP
192.168.1.7
ICMP
INTERNET
192.168.1.0/24
REDE A
11
Exemplo
  • Criação da Política do Servidor
  • Politica ICMP
  • Regra recebePing
  • ListadeFiltro 192.168.1.0/24ltgt192.168.1.7ICMP
  • ListadeNegociaçãoIPsec AH(SHA1), AH(MD5)
  • Método de Autenticação Preshared-Key(Teste)
  • Criação da Política dos Clientes
  • Politica ICMP
  • Regra enviaPing
  • ListadeFiltro 192.168.1.3ltgt192.168.1.7ICMP
  • ListadeNegociaçãoIPsec AH(SHA1), AH(MD5)
  • Método de Autenticação Preshared-Key(Teste)

12
Exercício 1 EMAIL
  • Deseja-se garantir segurança no acesso ao serviço
    de e-mail em uma Intranet corporativa.
  • Para isso, deseja-se adotar a seguinte política
  • Clientes só podem ler e-mail em modo cifrado.
  • Clientes da rede corporativa devem se autenticar
    para enviar e-mail.
  • O servidor de e-mail deve ser capaz de receber
    e-mail de outras redes.

13
Política de EMAIL
CLIENTE
10.26.135.15
SERVIDOR
SERVIDOR
AH SMTP
10.26.135.16
SMTP
ESP POP3, IMAP4
INTERNET
10.26.128.0/17
REDE A
14
Regras da Política
  1. Os clientes só podem ler o e-mail através de POP3
    se fizerem uma conexão cifrada em DES com
    Autenticação em SHA
  2. Os clientes só podem ler o email através de IMPA4
    se fizerem uma conexão cifrada em DES com
    Autenticação em SHA.
  3. Os clientes só podem enviar e-mail através de
    SMTP se mandarem pacotes autenticados em MD5.

15
Script de Configuração ipsec1.bat
  • ipseccmd -w REG -o -p Cliente
  • ipseccmd -w REG -o -p Servidor
  • ipseccmd -p Cliente -r POP3 -w REG -f
    010.26.135.15TCP110 -n
  • ESPDES,SHA -a PRESHARED"SEGREDO"
  • ipseccmd -p Servidor -r POP3 -w REG -f
    10.26.128.0/255.255.128.00TCP110 -n
    ESPDES,SHA -a PRESHARED"SEGREDO"
  • echo Estao faltando a regra IMAP do Cliente e do
    Servidor
  • echo Estao faltando a regra SMTP do Cliente e do
    Servidor
  • if 1C (
  • echo Essa maquina foi configurada como cliente
  • ipseccmd -w REG -x -p Cliente
  • ) else if 1S (
  • echo Essa máquina foi configurada como servidor
  • ipseccmd -w REG -x -p Servidor
  • )

16
Testes
  • 1) Utilize os programas em java para simular as
    conexões do servidor de email
  • 2) Utilize o comando abaixo para salvar a
    confirmação que as associações IPsec foram feitas
    corretamente
  • ipseccmd show sas gtgt ipsec1.txt
  • 3) Envie por e-mail o exercício 1 juntamente com
    o script de configuração e os pacotes capturados
    em um dos testes (IMAP, POP ou SMTP)

17
EXERCÍCIO 2
EMPRESA A
PROVEDOR
EMPRESA B
B
G1
G2
A
X
192.168.A.2/24
192.168.A.1/24 10.0. A.1/24
192.168.B.2/24
192.168.B.1/24 10.0.A.2/24
Segurança AHMD5
  • SUBSTITUA
  • A pelo número da sua bancada
  • B pelo número da sua bancada 4

18
Script de configuração exercício2.bat
  • if 1A (
  • echo Esqueci a configuracao do host A
  • ) else if 1G1 (
  • echo Esqueci a configuracao do gateway G1
  • ) else if 1G2 (
  • echo Esqueci a configuracao o gateway G2
  • ) else if 1B (
  • echo Esqueci a configuracao o host B
  • ) else if 1D (
  • echo Restaurando a configuracao default com dhcp
  • netsh interface ip set address "ConexÆo local"
    dhcp
  • netsh interface ip set dns "ConexÆo local" dhcp
  • ipconfig /renew
  • ipseccmd -w REG -o -p Tunel
  • )

19
Configuração do Host A (B)
  • echo Configurando o host A
  • netsh interface ip add address "ConexÆo local"
    192.168.11.2 255.255.255.0
  • netsh interface ip add address "ConexÆo local"
    gateway192.168.11.1 gwmetric2
  • REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcp
    ip\Parameters /v "EnableICMPRedirect" /t
    Reg_DWord /d 0 /f

20
Configuração do Gateway G1 (G2)
  • echo Configurando o gateway G1
  • net start remoteaccess
  • netsh interface ip add address "ConexÆo local"
    10.0.0.1 255.255.255.0
  • netsh interface ip add address "ConexÆo local"
    192.168.11.1 255.255.255.0
  • route add 192.168.12.0 mask 255.255.255.0
    10.0.0.2
  • REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcp
    ip\Parameters /v "EnableICMPRedirect" /t
    Reg_DWord /d 0 /f
  • ipseccmd -w REG -o -p Tunel
  • ipseccmd -p Tunel -r TUNELAB -w REG -f
    192.168.11.0/255.255.255.0192.168.12.0/255.255.25
    5.0 -n AHSHA -t 10.0.0.2 -a PRESHARED"SEGREDO"
  • ipseccmd -p Tunel -r TUNELBA -w REG -f
    192.168.12.0/255.255.255.0192.168.11.0/255.255.25
    5.0 -n AHSHA -t 10.0.0.1 -a PRESHARED"SEGREDO"
  • ipseccmd -w REG -x -p Tunel

21
Testes
  • 1) Desabilite o firewall do windows em todas as
    máquinas
  • 2) Reative o roteamento do Windows em G1 e G2
    caso não esteja habilitado (o script acusa um
    erro caso nesse caso)
  • 3) Efetue um ping contínuo entre A e B e capture
    os pacotes no IPsec Gateway G1.
  • 4) Salve a prova que a associação IPsec foi feita
  • ipseccmd show sas gtgt ipsec2.txt
  • 5) Envie por e-mail todos os arquivos do
    exercício2 (.bat, .txt e os pacotes capturados)

22
Observações
  • Parâmetros TCP/IP no Windows
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
    es\Tcpip\Parameters
  • Serviço de Roteamento e Acesso Remoto
  • C\WINDOWS\system32\svchost.exe -k netsvcs
  • Serviços IPsec
  • C\WINDOWS\system32\lsass.exe
Write a Comment
User Comments (0)
About PowerShow.com