Exercícios IPsec e LDAP
Aluno:
IPsec: Configuração da Rede
10.26.128.253 10.32.1.45
10.26.128.0255.255.128.0
192.168.0.0255.255.0.0
HOST A HOST B
10.26.128.1 10.32.1.1
Políticas Básicas
• Sem IPsec• Client (Respond Only)
– Implementa IPsec apenas se exigido pelo Servidor.
• Secure Server (Require Security)– Efetua apenas comunicação IPsec. – Rejeita conexões com clientes que não suportam IPsec.
• Server (Request Security)– Solicita sempre comunicação IPsec.– Aceita conexões sem segurança se o cliente não suportar
IPsec.
Política 1: ICMP
• Objetivo: – Evitar ataques ICMP com spoofing.
• Política: Para o HOST B:– Apenas mensagens ICMP vindas da subrede
10.26.128.0/17 em modo IPsec AH são aceitas. – Se o solicitante não suporta IPsec, então a comunicação é
Rejeitada
Política 1: ICMP
10.26.128.0
10.32.1.45ICMP
ICMP (AH)
HOST B
REDE A
REDE_A HOST_B ICMP
HOST_B REDE_A ICMP
2 REGRAS
Descrição da Política: HOST B
• Regra:– Tunel:– Tipo de Rede:– Método de Autenticação:
• Filtro:– IP Origem:– IP Destino:– Protocolo:– Porta Origem:– Porta Destino:– Simétrico?:
• Ação:– Tipo:– Aceita comunicação sem IPsec?:– Protocolo IPsec:– Protocolo de Integridade:– Protocolo de Criptografia:
Pergunta:
• Que política Básica deve ser configurada no HOST A para que ele possa enviar as mensagens de ping? Explique por que algumas políticas não funcionam.
• RESPOSTA:– Sem IPsec:– Cliente:– Request Security:– Require Security:
Cuidado com as Políticas Default ...
ClienteCliente
só uso IPsec se você pedir.
só respondo com IPsec se você pedir
aceito suas perguntas sem IPsec
aceito suas perguntas sem IPsec
Não cria IPsec na Pergunta
Comunicaçãosem IPsec
Cuidado com as Políticas Default (?)...
RequestSecurity
Cliente
só uso IPsec se você pedir.
eu só falo em IPsec
aceito suas perguntas sem IPsec
aceito suas perguntas sem IPsec
Cria IPsec na Resposta se o
Cliente Suportar
Cria IPsec na Resposta se o
Cliente Suportar
Cuidado com as Políticas Default ...
RequestSecurity
RequestSecurity
eu só falo em IPsec
aceito suas perguntas sem IPsec
aceito suas perguntas sem IPsec
Cria IPsec na Pergunta
eu só falo em IPsec
Comunicação com IPsec
Cuidado com as Políticas Default ...
RequireSecurity
RequestSecurity
eu só falo em IPsec
só aceito peguntas em IPsec
aceito suas perguntas sem IPsec
Cria IPsec na Pergunta
eu só falo em IPsec
Comunicação com IPsec
Cuidado com as Políticas Default ...
RequireSecurity
RequestSecurity
eu só falo em IPsec
só aceito peguntas em IPsec
só aceito perguntas em IPsec
Cria IPsec na Pergunta
eu só falo em IPsec
Comunicação com IPsec
Alterações de Políticas
• Quando uma comunicação IPsec é bem sucedida, cria-se uma SA.
SA (ESP, DES, SHA)
• As SA continuam, mesmo se as políticas são modificadas. Deve-se aguardar um tempo para que as S.A. sejam desfeitas e então a nova política tenha efeito.
• Durante este perído, a criação de políticas incompatíveis com SA já estabelecidas faz com que a comunicação não funcione.
SA (ESP, DES, SHA)
Tempo de Vida das Chaves
• FASE 1:– Criação de uma SA Temporária – Cria um canal seguro para Negociação da SA Definitiva.
• FASE 2:– Criação de uma SA Permanente– Cria o canal seguro para transmissão dos dados.
• Parâmetros de Tempo de Vida:• verifica mudanças de política a cada 180 minutos• refaz a autenticação a cada 480 minutos• pode reutilizar a masterkey para gerar novas chaves de sessão em
comunicações seguras com o mesmo computador.
Política 2: Acesso HTTP
• Objetivo: – Possibilitar que usuários da Intranet possam estabelecer
comunicação em modo seguro, com criptografia de dados.• Política: Para o HOST B:
– Apenas o acesso da subrede 10.26.128.0/17 em modo IPsec ESP é permitido.
– Se o solicitante não suporta IPsec, então a comunicação não é Permitida.
– Se o solicitante pertencer a uma outra subrede, então a comunicação é bloqueada.
Observações
• Se a política não funcionar, verifique:• No cliente:
– IPse está sendo solicitado? Com que parâmetros:• Protocolo (AH ou ESP)• Protocolo de Criptografia (DES, 3DES)• Protocolo de Hashing (SHA1, MD5)
• No servidor:– O servidor é capaz de responder a uma requisição IPsec?
Com que parâmetros?
• Verifique se pelo menos uma política (incluindo os protocolos de criptografia) é comum ao cliente e ao servidor.
Observações
• Lembre-se que existe uma regra Default na sua política:– Ela se aplica a qualquer protocolo.– Ela exige que se use IPsec.– Ela tenta efetuar a criptografia em vários modos:
• ESP (3DES,SHA1) e ESP (3DES,MD5)• ESP (DES,SHA1) e ESP (DES,MD5)• AH(SHA1)• AH(MD5)
– Se o cliente requisitar modo ESP, é a regra dinâmica que responde, e não a regra de ICMP, que se aplica apenas a AH.
Política 2: Acesso HTTP
10.26.128.0
10.32.1.45HTTP (ESP)
HTTP
HOST B
HTTP
REDE_A HOST_B HTTP
HOST_B REDE_A HTTP
2 REGRAS
REDE A
Descrição da Política: HOST B
• Regra:– Tunel:– Tipo de Rede:– Método de Autenticação:
• Filtro:– IP Origem:– IP Destino:– Protocolo:– Porta Origem:– Porta Destino:– Simétrico?:
• Ação:– Tipo:– Aceita comunicação sem IPsec?:– Protocolo IPsec:– Protocolo de Integridade:– Protocolo de Criptografia:
Pergunta:
• Que política Básica deve ser configurada nos Hosts clientes para que eles possam acessar ao servidor de Intranet?
• RESPOSTA:
Política 3: VPN sobre rede Insegura
• Cenário:
10.26.128.253 10.32.1.45
192.168.0.0255.255.0.0
10.26.128.0255.255.128.0
AH(obrigatório)
ESP(túnel, obrigatório) AH
(obrigatório)
Observação: Políticas com Tunelamento
• Regras de tunelamento NÃO são simétricas pois os endpoints são diferentes.
• Neste caso, é necessário criar explicitamente um regra para enviar e outra para receber pacotes pelo túnel, em cada um dos gateways VPN.
IP_IA
B
RedeA
RedeB
IP_EA IP_IBIP_EB
R_B R_AIP_EB IP_EA
R_B R_AIP_EA IP_EA
A
R_B R_AIP_EB IP_EA
R_B R_AIP_EA IP_EA
Política 3: Acesso VPN
• Objetivos da Política:– Permitir que duas redes da organização troquem
informação em modo seguro.– A informação deve ser criptograda enquanto estiver
transitando entre as duas redes.– Apenas os hosts pertencentes as subredes 10.16.128.0/17
e 192.168.0.0/16 podem utilizar o canal VPN.– Deve-se evitar que computadores pertencentes a outras
redes utilizem o canal VPN através de técnicas de spoofing.
Políticas para o HOST A
Descrição da Política: HOST A
• Regra:– Tunel:– Tipo de Rede:– Método de Autenticação:
• Filtro:– IP Origem:– IP Destino:– Protocolo:– Porta Origem:– Porta Destino:– Simétrico?:
• Ação:– Tipo:– Aceita comunicação sem IPsec?:– Protocolo IPsec:– Protocolo de Integridade:– Protocolo de Criptografia:
Políticas para o HOST B
Descrição da Política: HOST B
• Regra:– Tunel:– Tipo de Rede:– Método de Autenticação:
• Filtro:– IP Origem:– IP Destino:– Protocolo:– Porta Origem:– Porta Destino:– Simétrico?:
• Ação:– Tipo:– Aceita comunicação sem IPsec?:– Protocolo IPsec:– Protocolo de Integridade:– Protocolo de Criptografia:
Políticas para os Clientes
Descrição da Política: Clientes
• Regra:– Tunel:– Tipo de Rede:– Método de Autenticação:
• Filtro:– IP Origem:– IP Destino:– Protocolo:– Porta Origem:– Porta Destino:– Simétrico?:
• Ação:– Tipo:– Aceita comunicação sem IPsec?:– Protocolo IPsec:– Protocolo de Integridade:– Protocolo de Criptografia:
Observações
• Limitações do VPN IPsec no Windows 2000– Os tuneis não podem ser criados para
protocolos ou portas específicas.• APENAS TUNEIS ESTÁTICOS ENTRE DOIS
ENDEREÇOS IP SÃO SUPORTADOS.
Top Related