FACULDADE EVOLUO

Mdulo 9: Configurao do IPsec

Viso geral do mdulo

Viso geral do IPsec Configurao de regras de segurana de conexo Configurao da imposio NAP para IPsec

Viso geral do mdulo

O IPSec uma estrutura de padres abertos para a proteo de comunicaes em redes IP atravs de servios de segurana criptogrficos. O IPSec oferece suporte autenticao no mesmo nvel na rede, autenticao da origem dos dados, integridade dos dados, confidencialidade dos dados (criptografia) e proteo contra repetio. A implementao do Microsoft IPsec baseia-se em padres que o grupo de trabalho IETF (Internet Engineering Task Force) desenvolveu.
Estes sistemas operacionais trabalham com IPsec: Windows Vista, Windows Server 2008, Windows Server 2003, Microsoft Windows XP e Windows 2000. Alm disso, ele se integra com o servio de diretrio Active Directory. Voc pode atribuir diretivas IPsec atravs da Diretiva de Grupo, que lhe permite definir configuraes de IPsec no nvel do domnio, do site ou da UO (unidade organizacional).

Lio 1: Viso geral do IPsec

Benefcios do IPsec Usos recomendados do IPsec Ferramentas usadas para configurar o IPsec O que so regras de segurana de conexo? Demonstrao: Definio das configuraes gerais

do IPsec

Benefcios do IPsec
IPsec um conjunto de protocolos que permite a comunicao segura e criptografada entre dois computadores atravs de uma rede no segura

O IPsec serve para proteger pacotes IP e para defender contra ataques rede A configurao do IPsec no computador que envia as informaes e no computador que as recebe permite que ambos enviem dados protegidos entre eles O IPsec protege o trfego de rede usando a criptografia e a assinatura de dados. Uma diretiva IPsec define o tipo de trfego que o IPsec examina, como esse trfego protegido e criptografado e como pontos IPsec so autenticados

Usos recomendados do IPsec

Usos recomendados do IPsec:
Autenticao e criptografia de trfego entre hosts Autenticao e criptografia de trfego para servidores 2TP/IPsec para conexes VPN Encapsulamento entre sites Aplicao de redes lgicas

Usos recomendados do IPsec

Alguns ambientes de rede so adequados ao IPsec como soluo de segurana, enquanto outros no so. O IPsec recomendvel para os seguintes usos: Filtragem de pacotes Proteo do trfego entre hosts em caminhos especficos Proteo do trfego para servidores Protocolo de Encapsulamento de Camada 2 (L2TP)/IPSec para conexes VPN Encapsulamento entre sites (entre gateways) Aplicao de redes lgicas (isolamento de servidor/domnio)

Ferramentas usadas para configurar o IPsec

Para configurar o IPsec voc pode usar: MMC do Firewall do Windows com Segurana Avanada (usado para Windows Server 2008 e Windows Vista) MMC de Diretivas de Segurana IP (usado em ambientes mistos e para configurar diretivas aplicveis a todas as verses do Windows) Ferramenta de linha de comando Netsh

Ferramentas usadas para configurar o IPsec

H vrias maneiras de se definir as configuraes e as opes do Firewall do Windows e do IPsec, incluindo estas: Uso do Firewall do Windows com o snap-in MMC (Microsoft Management Console) de Segurana Avanada Uso do snap-in MMC de Diretiva de Segurana IP Uso de comandos Netsh

O que so regras de segurana de conexo?

As regras de segurana de conexo envolvem:
Autenticao de dois computadores antes de iniciar as comunicaes Proteo s informaes enviadas entre dois computadores Uso de troca de chaves, autenticao, integridade dos dados e criptografia de dados (opcional)

Relao entre as regras de firewall e as regras de conexo:

As regras de firewall permitem o trfego, mas no oferecem segurana ao trfego em questo As regras de segurana de conexo podem oferecer segurana ao trfego, mas sua criao no permite o trfego por meio do firewall

O que so regras de segurana de conexo?

Uma regra de segurana de conexo fora a autenticao entre dois computadores de mesmo nvel para que eles possam estabelecer a comunicao e transmitir informaes seguras. O Firewall do Windows com Segurana Avanada usa o Ipsec para impor essas regras. As regras de firewall permitem o trfego atravs do firewall, mas no protegem o trfego em questo. Para proteger o trfego com IPsec, voc pode criar regras de conexo de computador. No entanto, quando voc cria uma regra de segurana de conexo, ela no permite o trfego atravs do firewall. Para isso, voc deve criar uma regra de firewall se o trfego no for permitido pelo comportamento padro do firewall. As regras de segurana de conexo no se aplicam a programas e servios. Elas so aplicadas entre os computadores que compem os dois pontos de extremidade.

Lio 2: Configurao de regras de segurana de conexo

Escolha de um tipo de regra de segurana de conexo O que so pontos de extremidade? Escolha de requisitos de autenticao Mtodos de autenticao Como determinar um perfil de utilizao Demonstrao: Configurao de uma regra de segurana

de conexo

Lio 2: Configurao de regras de segurana de conexo

Voc pode usar o Assistente para Nova Regra de Segurana de Conexo para criar regras que determinem como Firewall do Windows com Segurana Avanada autenticar os computadores e os usurios que corresponderem aos critrios da regra. O Firewall do Windows com Segurana Avanada usa o IPsec para proteger o trfego usando essas regras. O assistente fornece quatro regras predefinidas, mas voc tambm pode criar uma regra personalizada para atender s suas necessidades de segurana. Isolamento Iseno de autenticao Servidor-a-servidor Tnel Personalizada

Escolha de um tipo de regra de segurana de conexo

Tipo de regra
Isolamento

Descrio
Restringe as conexes com base nos critrios de autenticao definidos
Isenta computadores especficos ou um grupo ou

Iseno de autenticao

intervalo de endereos IP de receberem solicitaes de autenticao infraestrutura com os quais esse computador deve comunicar-se antes da autenticao

Concede acesso aos computadores dessa

Servidor-a-servidor

Autentica dois computadores especficos, dois grupos de computadores, duas sub-redes ou um computador especfico e um grupo de computadores ou sub-rede Fornece comunicaes seguras entre dois computadores de mesmo nvel por meio de pontos de extremidade de encapsulamento (VPN ou L2TP IPsec)

Tnel

Personalizada

Permite a criao de regras com configuraes especiais

O que so pontos de extremidade?

Modo de transporte ESP

IP HDR

Dados

IP HDR

ESP HDR

Criptografado ESP TRLR Dados

ESP Auth

Modo de encapsulamento ESP

IP HDR

Dados

Novo IP HDR

ESP HDR

Criptografado ESP TRLR Pacote IP

ESP Auth

O que so pontos de extremidade?

Pontos de extremidade so os computadores ou os grupos de computadores que formam o mesmo nvel para a conexo. O modo de tnel IPsec protege todo um pacote IP tratando-o como uma carga de AH ou de ESP. Com o modo de encapsulamento, todo um pacote IP encapsulado com um cabealho de AH ou ESP e um cabealho IP adicional. Os endereos IP do cabealho IP externo so os pontos de extremidade do tnel, e os endereos IP do cabealho IP encapsulado so os principais endereos de origem e de destino. O ESP criptografa pacotes e aplica um novo cabealho sem criptografia para facilitar o roteamento. Apesar de fornecer a criptografia, o ESP no garante a autenticidade dos dados do cabealho. O ESP possui dois modos, conforme determinado pela funcionalidade e pela capacidade necessrias dos hosts ou roteadores que reconhecem o IPsec: Modo de transporte Modo de encapsulamento

Escolha de requisitos de autenticao

Opo
Solicitar autenticao para conexes de entrada e sada

Descrio
Solicitar a autenticao de todo o trfego de entrada/sada, mas permitir a conexo se a autenticao apresentar falhas
Exigir autenticao das conexes de

Exigir autenticao para conexes de entrada e solicitar autenticao para conexes de sada

entrada ou bloque-la

As conexes de sada podem ser

autenticadas, mas sero permitidas se a autenticao falhar

Exigir autenticao para conexes de entrada e sada

Exigir que todo o trfego de entrada/sada seja autenticado ou que o trfego seja bloqueado

Mtodos de autenticao
Mtodo Pontos principais Use o mtodo de autenticao configurado na guia Configuraes do IPsec possvel solicitar ou exigir a autenticao do usurio e do computador antes de continuar as comunicaes; necessria a participao no domnio.

Padro
Computador e usurio (Kerberos V5) Computador (Kerberos V5)

Solicite ou exija a autenticao do computador usando o Kerberos V5

Necessrio participao no domnio

Usurio (Kerberos V5)

Solicite ou exija a autenticao do usurio usando o Kerberos V5; necessria a participao no domnio
Solicitar ou exigir um certificado vlido do computador;

Certificado do computador

necessrio pelo menos uma CA

Aceitar somente certificados de integridade: Solicite ou

exija um certificado de integridade vlido para autenticar; necessrio NAP para IPsec

Avanado

Configure qualquer mtodo disponvel; voc pode especificar mtodo para a primeira ou segunda autenticao

Como determinar um perfil de utilizao

As configuraes de segurana podem ser alteradas dinamicamente com o tipo de local de rede O Windows suporta trs tipos de rede, e os programas podem usar esses locais para aplicar automaticamente as opes de configurao adequadas: Domnio: selecionado quando o computador membro de um domnio Privado: redes confiveis pelo usurio (domstica ou de pequena empresa) Pblica: padro para redes recm-detectadas; geralmente as configuraes mais restritivas so atribudas devido aos riscos de segurana presentes em redes pblicas

O tipo de local de rede mais til em computadores portteis, os quais tm mais probabilidade de se moverem entre as redes

Lio 3: Configurao da Imposio NAP para IPsec

Imposio IPsec para redes lgicas Processos de imposio da NAP para IPsec Requisitos para implantar a imposio NAP para IPsec

Imposio IPsec para redes lgicas

HRA VPN 802.1X Servidor proxy NPS Servidor de administrao de NAP Diretivas de rede Diretivas de integridade NAP Diretivas de solicitao de conexo SHVs

SHAs Agente NAP ECs de NAP

Cliente NAP no compatvel

Servidores de imposio NAP

Servidores NAP Certificate Services (Servios de certificado) Servidores de email Servidores de diretiva NAP Servidores seguros

SHAs Agente NAP ECs de NAP

Cliente no compatvel com NAP

Cliente NAP compatvel

Servidores de atualizaes

Restrito Interceptao da rede

Limite Interceptao da rede

Rede segura

Imposio IPsec para redes lgicas

A imposio IPsec divide uma rede fsica em trs redes lgicas. Um computador pode ser membro de uma nica rede lgica por vez. As redes lgicas so definidas por quais computadores tm certificados de integridade e quais precisam de autenticao IPsec com certificados de integridade para receber comunicao.

As redes lgicas permitem acesso limitado rede e atualizaes, e fornecem aos computadores compatveis a proteo dos computadores no compatveis.

Processos de imposio da NAP para IPsec

A imposio NAP para IPsec inclui: Validao de diretiva Imposio NAP Restrio de rede Remediao Monitoramento contnuo de conformidade
Servidor VPN Active Directory Dispositivos IEEE 802.1X

Autoridade de Registro de Integridade

Internet
Rede de permetro
Servidor DHCP

Intranets

Servidor de diretiva de integridade de NAP

Rede restrita
Servidores de atualizaes Cliente NAP com acesso limitado

Processos de imposio da NAP para IPsec

Para obter um certificado de integridade e tornar-se um membro da rede segura, o cliente NAP que usa imposio de IPsec inicia na rede e realiza o processo NAP de imposio para IPsec.
O cliente NAP remove todos os certificados de integridade, se necessrio, e adiciona o certificado de integridade recm-emitido para seu repositrio de certificados de computador. O cliente de imposio de NAP para IPsec define as configuraes de IPsec para autenticar usando o certificado de integridade para comunicaes protegidas por IPsec e configura o firewall baseado em host para permitir comunicaes de entrada de qualquer computador do mesmo nvel que use um certificado de integridade para autenticao IPsec. Agora, o cliente NAP pertence rede segura. Se o cliente NAP no for compatvel, ele no ter um certificado de integridade nem poder iniciar comunicao com computadores na rede segura. O cliente NAP executa o processo de atualizao para tornar-se um membro da rede segura.

Requisitos para implantar a imposio NAP para IPsec

Requisitos para implantar a imposio NAP para IPsec:

Active Directory Servios de Certificados do Active Directory Servidor de Diretivas de Rede Autoridade de Registro de Integridade

Laboratrio: Configurao da imposio NAP para IPsec

Exerccio 1: Preparao do ambiente de rede para a

imposio NAP para IPsec para IPsec

Exerccio 2: Configurao e teste da imposio NAP

Informaes de logon

Mquinas virtuais Nome de usurio Senha

NYC-DC1, NYC-CL1, NYC-CL2

Administrador Pa$$w0rd

Tempo previsto: 60 minutos