Configurando o IPSEC no Windows Server 2008

O IPSEC é um conjunto de procolos (RFC 2401-2409). Com o IPSec utilizamos dois meios, AH – Autenticação de cabeçalho garantindo a integridade e o ESP -Encapsulating Security Payload criptografando os dados. IPSEC é o mais seguro e efetivo metodo de manter os dados seguros durante a transmissão dos mesmos.
Podemos utilizar o IPsec em toda ou em uma parte da rede, mantendo os servidores seguros contra diversos tipos de ataque, entre eles Spoofing Identity (e o famoso Man-in-the-middle (alguém capturando dados utilizando Sniffer).No Windows Server 2008 o IPsec pode ser implementados em diversos niveis, dominio, site, OU e localmente.Neste tutorial criaremos uma politica IPSec local.Innocent Criando uma Politica IPSEC.

1.Clique em Start / Run e digite secpol.msc para abrir o Snap-in Politica de Segurança Local.

2. Em IP Security Policies, clique com o lado direito do mouse e selecione Create IP Security Policy…

3. Clique em Next na tela do Assistente.

4.Forneça o nome e a descrição da politica.

5. Não marque a opção “Activate the default Response Rule” , pois queremos que apenas a nossa regra seja utilizada.

6. Deixe marcado a opção “Edit properties” e clique em finish

Innocent Criando um Filtro IPSec

1. Em Rules, desmarque a opção “Use Add Wizard“, pois este assistente é bom, mas irá abrir muitas janelas.
Clique em Add..

 

2. Esta é a janela de regras e aqui iremos definir tudo o que precisamos.
Através desta caixa é possivel também criar uma Lista de Filtros e definir a ação.

Não temos ainda uma lista de filtro, vamos criar um filtro clicando em Add.

3.Digite o nome do Filtro e uma descrição, novamente vamos desmarcar o “Use Add Wizard…” em Seguida clique em Add

4.Escolha os endereços de origem e destino:
Neste caso origem e Destino escolhemos Qualquer endereço IP

5. Em protocolo, selecione TCP, note que podemos escolher também as portas de origem e destino.

ObservaçãoVocê pode fazer as configurações desse tutorial e alterar o protocolo para ICMP. Faça isso em duas maquina e você poderá visualizar a negociação Ipsec ocorrer no momento em que pingar uma das maquinas.

6.Forneça a decrição clara sobre o filtro.

7.Clique OK para finalizar a criação do Filtro.

8.Selecione o filtro criado.

Innocent Criando uma Ação para o Filtro

1.Clique na aba “Filter Action“, desmarque a caixa “Use Add Wizard” e clique em Add

2.No metodo da Ação iremos determinar como a regra irá negociar para manter o trafego de rede seguro.
Com o IPSEC, podemos criar um filtro de procolos e como ação:

  • Permitir
  • Bloquear
  • Negociar Segurança.

Selecione Negotiate Security e clique Add…

Não marque as opções:
Accept unsecured communications, but always respond using IPsec” Aceita comunicação insegura.
Allow Fallback to unsecured communication if a secure connection can not established” Aceita comunicação insegura se não conseguir estabelecer comunicação segura..
Use session key perfect forward secrecy (PFS) ” – Usar sessão chave perfeita transmitir sigilo (PFS)

3.Podemos especificar Integridade e Criptografia, integridade somente ou podemos customizar o metodo de segurança.
Neste tutorial não iremos customizar, portanto selecione “Integrity and encryption” e clique OK.

4.Identifique a Ação definindo um nome e descrição e clique OK.

Innocent Definindo o Metodo de Autenticação

1.Clique na guia “Authentication Methods” e em seguida clique em Add

2.Por padrão o metodo de autenticação é o Kerberos, porém podemos escolher também entre um certificado e uma chave pré-compartilhada. Neste exemplo foi definido uma chave “Palavra Secreta“.
Clique OK

3.Na guia Tunnel Setting, deixe o padrão.

4.Na guia Connection Type deixe o padrão e clique Apply e em seguida clique em close.

5.Na janela das regras IPSEC, selecione o filtro recem criado e clique OK

6.Clique com o lado direito do mouse sobre a politica IPSec e selecione Assign para atribuir e começar a utilizar a politica.

Innocent ATENÇÃO – Todos os computadores do ambiente devem possuir a mesma politica para que ocorra a comunicação segura.

Conclusão: Aprendemos que é simples definir um politica IPSEC e que podemos implementar diversos filtros e modos de negociar a segurança e a autenticação deixando o trafego de rede altamente seguro.
Ainda que podemos utilizar metodos como este altamente seguros, podemos também manter a interoperabilidade com outros sistemas utilizando configurações como:
Accept unsecured communications, but always respond using IPsec” Aceita comunicação insegura.
Allow Fallback to unsecured communication if a secure connection can not established” Aceita comunicação insegura se não conseguir estabelecer comunicação segura..

 

 

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*