Exerc

1
Exercícios IPsec

• Aluno

2
ipseccmd.exe

• Dois Modos
• Dinâmico
• Cria políticas que são ativadas imediatamente.
• As políticas não são armazenadas no SPD (Services
  Policy Database).
• Quando o serviço é reinicializado, as políticas
  são perdidas.

• Estático
• Cria políticas para serem armazenadas no SPD.
• As políticas precisam ser ativadas e não são
  perdidas quando o serviço é reinicializado.
• O modo estático é ativado pelo flag w.

3
SPD Security Policy Database

• A políticas IPsec podem ser armazenadas de duas
  formas

• No register do Windows
• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Ser
  vices\PolicyAgent\Policy\Local

• No serviço de Diretório (Active Directory)
• CNIPSecurity,CNSystem,DCYourDCName,DCParent
  DCName,DCTopLevelDC

4
Sintaxe do Comando

• ipsecpol \\computername -?
• -w TYPEDOMAIN
• -p NomeDaPolitica
• -r NomeDaRegra
• -f ListaDeFiltros
• -n ListaDeAções
• -t EndereçoDoTunnel
• -a MétodoDeAutenticação
• -x ativa política
• -y desativa política
• -o apaga a política

5
Flags de Armazenamento

• -w TYPEDOMAIN
• w REG
• w DSELETRICA.NIA
• -p PolicyName
• p EMAIL
• Se a política já existir, a nova regra será
  adicionada a política.
• -r RuleName
• r POP3
• Exemplo para criar a política para um servidor
  de EMAIL
• ipsecpol w REG p EMAIL r POP3
• ipsecpol w REG p EMAIL r IMAP3
• ipsecpol w REG p EMAIL r SMTP

6
-f ListaDeFiltros

• Conjunto de Filtros separados por espaço
• Simples
• SRC/MASKPORTDST/MASKPORTPROTOCOLO
• 192.168.0.0/255.255.255.0080TCP
• Espelhado
• SRC/MASKPORTDST/MASKPORTPROTOCOLO
• Significados especiais de SRC ou DST/MASK
• 0 computador local
• qualquer endereço
• 10.32.1. sub-rede 10.32.1.0/24

7
Exemplo de script de comando

• _at_REM Apaga a politica existente
• ipseccmd -w REG -o -p Teste
• _at_REM Insere as regras na politica
• ipseccmd -w REG -p Teste -r ping1 -f
  01.2.3.4ICMP -n ESP3DES,MD5 -a
  PRESHARE"Teste"
• ipseccmd -w REG -p Teste -r ping2 -f
  04.3.2.1ICMP -n AHMD5 -a PRESHARE"Teste2"
• _at_REM Torna a política ativa
• ipseccmd -w REG -x -p Teste

8
ipseccmd show

• gpo
• mostra a atribuição de políticas estáticas
• filters
• mostra os filtros nos modos main e quick
• policies
• mostra as políticas nos modos main e quick
• auth
• mostra os métodos de autenticação main mode
• stats
• mostra as estatísticas
• sas
• mostra as associações de segurança
• all
• mostra todos acima

9
Exemplo ICMP

• Deseja-se restringir o envio de mensagens ICMP
  para o servidor.
• Apenas os usuários da rede corporativa podem
  enviar ICMP ao servidor, mas estes deve estar
  obrigatoriamente autenticados (AH MD5).
• O envio de ICMP por outras subredes é proibido.

10
Política de ICMP
CLIENTE
192.168.1.3
SERVIDOR
CLIENTE
AH ICMP
192.168.1.7
ICMP
INTERNET
192.168.1.0/24
REDE A
11
Exemplo

• Criação da Política do Servidor
• Politica ICMP
• Regra recebePing
• ListadeFiltro 192.168.1.0/24ltgt192.168.1.7ICMP
• ListadeNegociaçãoIPsec AH(SHA1), AH(MD5)
• Método de Autenticação Preshared-Key(Teste)
• Criação da Política dos Clientes
• Politica ICMP
• Regra enviaPing
• ListadeFiltro 192.168.1.3ltgt192.168.1.7ICMP
• ListadeNegociaçãoIPsec AH(SHA1), AH(MD5)
• Método de Autenticação Preshared-Key(Teste)

12
Exercício 1 EMAIL

• Deseja-se garantir segurança no acesso ao serviço
  de e-mail em uma Intranet corporativa.
• Para isso, deseja-se adotar a seguinte política
• Clientes só podem ler e-mail em modo cifrado.
• Clientes da rede corporativa devem se autenticar
  para enviar e-mail.
• O servidor de e-mail deve ser capaz de receber
  e-mail de outras redes.

13
Política de EMAIL
CLIENTE
10.26.135.15
SERVIDOR
SERVIDOR
AH SMTP
10.26.135.16
SMTP
ESP POP3, IMAP4
INTERNET
10.26.128.0/17
REDE A
14
Regras da Política

1. Os clientes só podem ler o e-mail através de POP3
   se fizerem uma conexão cifrada em DES com
   Autenticação em SHA
2. Os clientes só podem ler o email através de IMPA4
   se fizerem uma conexão cifrada em DES com
   Autenticação em SHA.
3. Os clientes só podem enviar e-mail através de
   SMTP se mandarem pacotes autenticados em MD5.

15
Script de Configuração ipsec1.bat

• ipseccmd -w REG -o -p Cliente
• ipseccmd -w REG -o -p Servidor
• ipseccmd -p Cliente -r POP3 -w REG -f
  010.26.135.15TCP110 -n
• ESPDES,SHA -a PRESHARED"SEGREDO"
• ipseccmd -p Servidor -r POP3 -w REG -f
  10.26.128.0/255.255.128.00TCP110 -n
  ESPDES,SHA -a PRESHARED"SEGREDO"
• echo Estao faltando a regra IMAP do Cliente e do
  Servidor
• echo Estao faltando a regra SMTP do Cliente e do
  Servidor
• if 1C (
• echo Essa maquina foi configurada como cliente
• ipseccmd -w REG -x -p Cliente
• ) else if 1S (
• echo Essa máquina foi configurada como servidor
• ipseccmd -w REG -x -p Servidor
• )

16
Testes

• 1) Utilize os programas em java para simular as
  conexões do servidor de email
• 2) Utilize o comando abaixo para salvar a
  confirmação que as associações IPsec foram feitas
  corretamente
• ipseccmd show sas gtgt ipsec1.txt
• 3) Envie por e-mail o exercício 1 juntamente com
  o script de configuração e os pacotes capturados
  em um dos testes (IMAP, POP ou SMTP)

17
EXERCÍCIO 2
EMPRESA A
PROVEDOR
EMPRESA B
B
G1
G2
A
X
192.168.A.2/24
192.168.A.1/24 10.0. A.1/24
192.168.B.2/24
192.168.B.1/24 10.0.A.2/24
Segurança AHMD5

• SUBSTITUA
• A pelo número da sua bancada
• B pelo número da sua bancada 4

18
Script de configuração exercício2.bat

• if 1A (
• echo Esqueci a configuracao do host A
• ) else if 1G1 (
• echo Esqueci a configuracao do gateway G1
• ) else if 1G2 (
• echo Esqueci a configuracao o gateway G2
• ) else if 1B (
• echo Esqueci a configuracao o host B
• ) else if 1D (
• echo Restaurando a configuracao default com dhcp
• netsh interface ip set address "ConexÆo local"
  dhcp
• netsh interface ip set dns "ConexÆo local" dhcp
• ipconfig /renew
• ipseccmd -w REG -o -p Tunel
• )

19
Configuração do Host A (B)

• echo Configurando o host A
• netsh interface ip add address "ConexÆo local"
  192.168.11.2 255.255.255.0
• netsh interface ip add address "ConexÆo local"
  gateway192.168.11.1 gwmetric2
• REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcp
  ip\Parameters /v "EnableICMPRedirect" /t
  Reg_DWord /d 0 /f

20
Configuração do Gateway G1 (G2)

• echo Configurando o gateway G1
• net start remoteaccess
• netsh interface ip add address "ConexÆo local"
  10.0.0.1 255.255.255.0
• netsh interface ip add address "ConexÆo local"
  192.168.11.1 255.255.255.0
• route add 192.168.12.0 mask 255.255.255.0
  10.0.0.2
• REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcp
  ip\Parameters /v "EnableICMPRedirect" /t
  Reg_DWord /d 0 /f
• ipseccmd -w REG -o -p Tunel
• ipseccmd -p Tunel -r TUNELAB -w REG -f
  192.168.11.0/255.255.255.0192.168.12.0/255.255.25
  5.0 -n AHSHA -t 10.0.0.2 -a PRESHARED"SEGREDO"
• ipseccmd -p Tunel -r TUNELBA -w REG -f
  192.168.12.0/255.255.255.0192.168.11.0/255.255.25
  5.0 -n AHSHA -t 10.0.0.1 -a PRESHARED"SEGREDO"
• ipseccmd -w REG -x -p Tunel

21
Testes

• 1) Desabilite o firewall do windows em todas as
  máquinas
• 2) Reative o roteamento do Windows em G1 e G2
  caso não esteja habilitado (o script acusa um
  erro caso nesse caso)
• 3) Efetue um ping contínuo entre A e B e capture
  os pacotes no IPsec Gateway G1.
• 4) Salve a prova que a associação IPsec foi feita
• ipseccmd show sas gtgt ipsec2.txt
• 5) Envie por e-mail todos os arquivos do
  exercício2 (.bat, .txt e os pacotes capturados)

22
Observações

• Parâmetros TCP/IP no Windows
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
  es\Tcpip\Parameters
• Serviço de Roteamento e Acesso Remoto
• C\WINDOWS\system32\svchost.exe -k netsvcs
• Serviços IPsec
• C\WINDOWS\system32\lsass.exe