Podemos utilizar o IPsec em toda ou em uma parte da rede, mantendo os servidores seguros contra diversos tipos de ataque, entre eles Spoofing Identity (e o famoso Man-in-the-middle (alguém capturando dados utilizando Sniffer).No Windows Server 2008 o IPsec pode ser implementados em diversos niveis, dominio, site, OU e localmente.Neste tutorial criaremos uma politica IPSec local.
Criando uma Politica IPSEC.
1.Clique em Start / Run e digite secpol.msc para abrir o Snap-in Politica de Segurança Local.
2. Em IP Security Policies, clique com o lado direito do mouse e selecione Create IP Security Policy…
3. Clique em Next na tela do Assistente.
4.Forneça o nome e a descrição da politica.
5. Não marque a opção “Activate the default Response Rule” , pois queremos que apenas a nossa regra seja utilizada.
6. Deixe marcado a opção “Edit properties” e clique em finish
Criando um Filtro IPSec
1. Em Rules, desmarque a opção “Use Add Wizard“, pois este assistente é bom, mas irá abrir muitas janelas.
Clique em Add..
2. Esta é a janela de regras e aqui iremos definir tudo o que precisamos.
Através desta caixa é possivel também criar uma Lista de Filtros e definir a ação.
Não temos ainda uma lista de filtro, vamos criar um filtro clicando em Add.
3.Digite o nome do Filtro e uma descrição, novamente vamos desmarcar o “Use Add Wizard…” em Seguida clique em Add…
4.Escolha os endereços de origem e destino:
Neste caso origem e Destino escolhemos Qualquer endereço IP
5. Em protocolo, selecione TCP, note que podemos escolher também as portas de origem e destino.
Observação – Você pode fazer as configurações desse tutorial e alterar o protocolo para ICMP. Faça isso em duas maquina e você poderá visualizar a negociação Ipsec ocorrer no momento em que pingar uma das maquinas.
6.Forneça a decrição clara sobre o filtro.
7.Clique OK para finalizar a criação do Filtro.
8.Selecione o filtro criado.
Criando uma Ação para o Filtro
1.Clique na aba “Filter Action“, desmarque a caixa “Use Add Wizard” e clique em Add…
2.No metodo da Ação iremos determinar como a regra irá negociar para manter o trafego de rede seguro.
Com o IPSEC, podemos criar um filtro de procolos e como ação:
- Permitir
- Bloquear
- Negociar Segurança.
Selecione Negotiate Security e clique Add…
Não marque as opções:
“Accept unsecured communications, but always respond using IPsec” Aceita comunicação insegura.
“Allow Fallback to unsecured communication if a secure connection can not established” Aceita comunicação insegura se não conseguir estabelecer comunicação segura..
“Use session key perfect forward secrecy (PFS) ” – Usar sessão chave perfeita transmitir sigilo (PFS)
3.Podemos especificar Integridade e Criptografia, integridade somente ou podemos customizar o metodo de segurança.
Neste tutorial não iremos customizar, portanto selecione “Integrity and encryption” e clique OK.
4.Identifique a Ação definindo um nome e descrição e clique OK.
Definindo o Metodo de Autenticação
1.Clique na guia “Authentication Methods” e em seguida clique em Add…
2.Por padrão o metodo de autenticação é o Kerberos, porém podemos escolher também entre um certificado e uma chave pré-compartilhada. Neste exemplo foi definido uma chave “Palavra Secreta“.
Clique OK
3.Na guia Tunnel Setting, deixe o padrão.
4.Na guia Connection Type deixe o padrão e clique Apply e em seguida clique em close.
5.Na janela das regras IPSEC, selecione o filtro recem criado e clique OK
6.Clique com o lado direito do mouse sobre a politica IPSec e selecione Assign para atribuir e começar a utilizar a politica.
ATENÇÃO – Todos os computadores do ambiente devem possuir a mesma politica para que ocorra a comunicação segura.
Conclusão: Aprendemos que é simples definir um politica IPSEC e que podemos implementar diversos filtros e modos de negociar a segurança e a autenticação deixando o trafego de rede altamente seguro.
Ainda que podemos utilizar metodos como este altamente seguros, podemos também manter a interoperabilidade com outros sistemas utilizando configurações como:
“Accept unsecured communications, but always respond using IPsec” Aceita comunicação insegura.
“Allow Fallback to unsecured communication if a secure connection can not established” Aceita comunicação insegura se não conseguir estabelecer comunicação segura..
Seja o primeiro a comentar