Implementando o IPSEC e Solucionando problemas relacionados

Publicado em:
09/01/2011

Por: Fábio Augusto

Implementando IPSEC

Em nossa serie  post tratando sobre IPSEC iremos ver como implementar o IPSEC em ambiente de rede, veremos duas formas de implementar o IPSEC, a primeira é aplicar as políticas de IPSEC localmente tanto no servidor como no cliente , a segunda forma é aplicar as políticas do IPSEC via políticas de grupos em domínio .

Implementando IPSEC localmente

Caso: Temos um servidor que tem o serviço de Telnet que é utilizado por apenas um computador da rede,  a forte necessidade que toda a comunicação entre servidor e cliente seja criptografada para evitar que espiões possam capturar a senha dos administradores que conectam ao servidor Telnet.

Especificações sobre ambiente

ServidorA

Sistema operacional: Windows Server 2003 STandard ou Enterprise

IP : 192.168.4.1

Mask: 255.255.255.0

Serviço a ser trabalhado pelo IPSEC: Telnet

Protocolo : TCP

Porta: 23

ClienteA

Sistema operacional: Windows Server 2003 Standard

IP : 192.168.4.2

Mask: 255.255.255.0

Serviço a ser trabalhado pelo IPSEC: Telnet

Protocolo : TCP

Porta: 23

Definido nosso ambiente é hora de fazer implementação do IPSEC, siga os passos abaixo

No servidorA faça:

  1. Click em iniciar >> executar
  2. Digite mmc
  3. Click em File >> Add/Remove Snap-in
  4. Click no botão Add
  5. Selecione o Snap-in Ip Security Monitor e click no botão Add
  6. Selecione o Snap-in Ip Security Policy Management e click no botão no Add
  7. Ira aparecer uma janela chamada Select Computer ou Domain , neste caso você seleciona a opção Local Computer
  8. Click no botão Finish
  9. Selecione o item Ip Security Policy Management e click com botão direito e vá em Create IP Security Policy

10.  Irá aparecer a tela de boa vindas chamada IP Security Policy Wizard , click no botão Next

11.  Na próxima janela , coloque o nome da nossa política chamada IPSEC_TELNET, na descrição digite seguinte conteúdo :  Política de segurança para serviço de Telnet , click depois no botão NEXT

12.  Na próxima janela , desabilite a opção Activate the default response rule , click no botão NEXT

13.  Selecione a opção Edit Properties

14.  Click no botão Finish

Observe na figura-01 é o screenshot feito da tela , você deverá ver a mesma janela .

blog_figura01

15.  Click no botão Add , na janela New Rule Properties , selecione a aba Ip Filter List e click Add

16.  Na janela IP Filter List digite Regras_Telnet_REDE , uma pequena observação nesta janela iremos configurar o filtro do IPSEC que irá analisar o pacote para aplicar as regras de criptografia e autenticidade , como se fosse um firewall.

17.  Ainda na janela IP Filter List desabilite o item Use Add Wizard e click no botão Add

18. Na janela IP Filter Properties , selecione a aba Address e procure pelo item Source Address  e selecione Any IP Address  e logo abaixo em Destination Address selecione My IP Address

19. Click na aba Protocol e selecione tipo de protocolo para TCP , logo abaixo em Set The IP protocol port selecione From any port e pouco mais embaixo selecione To this port digite o valor 23 (telnet)

Observe a figura-02, O seu computador deverá aparecer um resultado parecido

blog_figura02

20. Click no botão OK

21. Na aba IP Filter List selecione o item Regras_Telnet_Rede

22. Click na aba Filter Action  é nesta aba que vamos definir o que o IPSEC deverá fazer quando capturar o pacote definido na regra chamada Regras_Telnet_Rede

23. Desabilite o item Use Add Wizard e Click no botão Add]

24. Na janela New Filter Action Properties selecione a aba Negotiate security

25. Click no botão Add e selecione o item Integrity and encryption e click no botão OK

26.Ainda na aba Security Methods selecione a opção Negotiate security

27.Click na aba General e coloque o nome do filtro para Filtro_Cript_Telnet  e click no botão em Apply e depois no botão OK

28. Na janela Filter Action selecione o item Filtro_Cript_Telnet

29. Selecione a aba Authentication Methods , nesta aba você seleciona qual método de autentificação você quer utilizar para iniciar uma comunicação  IPSEC

30. Click no botão Remove (para remover o método Kerberos) e depois no botão Add

31. Selecione a opção Use This string (presharedkey)  e digite telnetcasa2, digite tudo minúsculo,  observe a figura03 a sua configuração deverá estar igual

Figura03 – Definindo método de autenticação

blog_figura03

32. Click no botão OK

33. Click no botão Close

34. Na janela IPSEC_TELNET Properties verifique se está selecionado a regra Regras_Telnet_Rede e click no botão OK

35. Selecione a nova política(IPSEC_TELNET) com botão direito do mouse e selecione a opção Assign

Observe a figura04  sua tela deverá ficar parecida.

blog_figura04

Agora definimos todas as regras para o uso do IPSEC no servidor , isto significa que toda conexão na porta 23 usando o protocolo TCP irá seguir as regras definidas em IPSEC_TELNET ,  você acha que terminou ?

Não falta agora o pulo do gato  esta pequena parte me deu uma dor de cabeça, porque quando tentei  implementar o IPSEC eu não consiga fechar uma sessão entre cliente e o servidor usando Telnet , qual é o segredo é você definir as regras gerais no clientes que iram acessar o serviço de Telnet no servidor ,  o procedimento é muito basta você segui-lo.

  1. Logar na cliente maquina cliente e carregar os mesmo snap-ins
  2. Criar uma nova política seguindo o mesmo conceito de regras definidas no servidor , mas tenha atenção para os seguintes itens:
  • Na propriedades IP FILTER defina no cliente Source address para my ip address e destination address selecione A specific IP ADDRESS e digite o ip do seu servidor que está rodando o serviço de telnet junto ao IPSEC
  • Mantenha o mesmo método de autentificação , isto significa utilize a mesma Preshared key definida na regras do servidor

3. Assine a nova regra

Testando IPSEC

A melhor forma de testar IPSEC é utilizar uma ferramenta de analise de pacote como Microsoft Network Monitor ou Wireshark , da maquina cliente tente estabelecer uma conexão telnet com o servidor , caso o procedimento que você fez esteja correto você vai conseguir logar no servidor , utilize um analisador de pacote tente verificar se o analisador de pacote conseguiu encontrar algum pacote que mostre a senha ou comandos que você digitou durante a sessão do telnet, caso você não ache nada apenas pacotes do tip ESP é que você consegui implementar com sucesso o IPSEC

Utilizando o IPSEC com políticas de grupos

Para que utilizar o IPSEC com políticas de grupos ?

Imaginemos que o nosso servidor de telnet terá mais 20 usuários e você não pode permitir que a senha ou conteúdo da sessão seja descoberto , ir em 20 computadores para configurar política por política é bastante cansativo , imagine quando alterar uma regra na política você deverá ir PC por PC e fazer as alterações, para isto você pode utilizar as políticas de grupos e fazer o trabalho de forma mais gerencia e com menor esforço administrativo .

Requisitos

  1. Ter instalado Group Policy Management

Procedimento

  1. Abra os seguintes snap-ins
  • GPMC – group policy management console
  • IP security Monitor
  • IP security Policies on Active Directory
  • Active Directory  Users and Computers
  • Result Set Of Policy
  1. Abra o snap-in Active Directory Users and Computers e crie duas unidades organizacionais uma chamando Clientes e a outra Servidores
  2. Abra o snap-in GPMC e crie uma policy com o nome GPO_IPSEC_SERVIDOR e selecione-a e click no botão Edit
  3. Com a política de grupo definida , você irá editá-la, vá a Computer Configuration >>  Windows settings >> Ip security policies
  4. Click com botão direito do mouse no item IP security policies
  5. Selecione o item  create policy security irá aparecer uma janela IP SECURITY Policy Wizard, o procedimento de criação desta política é identifico ao procedimento da política IPSEC para segurança local do servidor,  esta política que estamos criando deverá ser chamada  IPSEC_SERVIDOR , você deverá pegar as mesma regras  que definimos na política de IPSEC local , existe apenas uma diferença entre as regras criadas anteriormente e a atual, você deverá alterar o método de autenticação de Preshared key para Kerberos, apenas isto, as configurações restantes são idênticas.
  6. Definida a política, click com botão direito do mouse em cima da política selecione a opção Assign – Pronto até aqui você definiu a política de segurança para servidor.
  7. Mova este servidor para dentro da OU Servidores e através do GPMC amarre GPO_IPSEC_SERVIDOR  na OU servidores

Pronto você amarrou a GPO que contem a política de grupo do IPSEC para servidores à OU servidores, agora falta fazermos o mesmo procedimento para cliente.

  1. Abra o snap-in GPMC e crie uma policy chamada GPO_IPSEC_CLIENTE e selecione-a e click no botão Edit
  2. Com a política de grupo aberta , vá em Computer Configuration >>  Windows settings >> Ip security policies
  3. Click com botão direito do mouse no item IP security policies
  4. Selecione o item create policy security irá aparecer  janela IP SECURITY Policy Wizard, o procedimento de criação da política de IPSEC é  identifico ao procedimento da política IPSEC para segurança local de cliente,  esta política que estamos criando deverá ser chamada  IPSEC_CLIENTE , você deverá pegar as mesma regras  que definimos na política de IPSEC local , existe apenas uma diferença entre as regras criadas anteriormente e a atual, você deverá alterar o método de autenticação de Preshared key para Kerberos, apenas isto, as configurações restantes são idênticas.
  5. Definida a política click com botão direito em cima do nome da política e selecione a opção Assign – Pronto até aqui você definiu a política IPSEC para os clientes
  6. Mova seus clientes que utilizarão esta política do IPSEC cliente para dentro da OU Clientes
  7. Através do GPMC lige  a GPO_IPSEC_CLIENTE  a  OU clientes

Pronto o cenário está pronto agora você deverá logar no cliente e testar , lembrando que você deverá remover tanto do servidor como os clientes as políticas locais do IPSEC , já que agora você está definindo elas via GPO.

Caso você encontre algum problema

Solucionando problemas do IPSEC

Existem várias formas de solucionar os problemas relacionados ao IPSEC , o que diferencia a solução é qual método que foi utilizado se foi via GPO ou LOCAL, em todos os caso você pode utilizar um grande aliado para resolver este tipo de problema  que é IPSEC_MONITOR , no post IPSEC segunda parte, foi explicado sobre a suas funcionalidades , neste post apenas irei fazer comentários objetivos e curtos sobre essa ferramenta , o foco é dar dicas de como resolver os problemas de IPSEC em implementação via GPO ou LOCAL.

Implementações de IPSEC via GPO

Você deverá utilizar RSoP , com esta ferramenta pode fazer consulta a procura por políticas de grupos aplicadas ao um computador e a um usuario , ela irá mostrar  as políticas que estão assinadas para determinado usuario e computador , isto é imprescindível para saber se a GPO foi ou não aplicada.  Você pode carregar RSoP via Snap-in .

Usando o RSoP

Click em iniciar >> executar

  1. Digite MMC
  2. Click em File / Add Remove Snap-in
  3. Selecione o item Result Set of policy e click no botão ADD
  4. Click no botão CLOSE
  5. Click no botão OK para fechar a janela Add/ Remove Snap-in
  6. Click  com botão direito em cima do nome Resultant Set of Policie e selecione Generate RSoP Data
  7. Irá carregar a janela Resultant Set of Policy Wizard e click no botão next
  8. Na janela Mode Selection – Selecione a opção Logging Mode

10.  Na janela Computer Selection – Selecione a opção Another Computer e click no botão Browser você deverá procurar pelo computador no qual você está fazendo a consulta que a GPO foi aplicada

11.  Click no botão NEXT

12.  Na janela User Selection – Selecione o usuario no qual a política de GPO está amarrada, caso a GPO não esteja amarrada selecione o usuario que está reclamando , para mantermos o mesmo ambiente maquina e usuario

13.  Click no botão NEXT

14.  Na janela Summary of Selection confirme se o computador ,  modo e usuario são que os mesmo que orientamos a ser escolhido nos passos anteriores

15.  Click no botão NEXT

16.  Ira processar a janela Result Set of Policy informando que a pesquisa foi carregada com sucesso e irá carregar a janela informando que a pesquisa foi feita com sucesso

17.  Click no botão Finish

18.  Com a política de grupo aberta , vá em Computer Configuration >>  Windows settings >> Ip security policies, verifique qual política de IPSEC estão aplicadas a este computador

Implementações de IPSEC localmente

A complexidade da implementação do IPSEC via políticas locais é simples comparada à implementação de políticas via GPO , porem devemos ter cuidado com os seguinte pontos.

  1. Criar a mesma política do servidor no cliente, atentando para os detalhes de configuração de IP , por exemplo no cliente o endereço é my address e o destino é IP do servidor que está operando o serviço que está trabalhando com IPSEC
  2. O método de autentificação deverá igual para cliente e servidor
  3. Evite de criar política para cliente e servidores no qual você define any port para destino e origem , outros serviços que não precisam do IPSEC ficaram inoperantes pela política e outros computadores não terão acesso aos outros serviços do servidor

Usando o IPSEC MONITOR

Pode ser aberto via MMC carregando pelo snap-in Ipsec Monitor , como na figura 01 .

Figura01

blog_ipsecmonitor_fig1

Com o IPSEC monitor você poderá ter informações dos seguintes itens

Active Policy: Mostra quais políticas que estão ativadas no computador

Main mode: Mostra os detalhes sobre as políticas que estão ativadas no computador

Quick mode: Mostra os detalhes sobre as políticas que estão ativadas no computador porem não exibe informação sobre IKE policies que é informação sobre método criptografia escolhido como 3DES e DES

Resumo

O Windows 2003 disponibiliza todas as ferramentas necessárias para implementar o IPSEC sem há necessidade de utilizar ferramentas de terceiros, espero com esses quatro posts você possam fazer suas implementações de IPSEC

Mais duvidas relacionadas

http://www.windowsecurity.com/articles/Windows_Server_2003_IPSec_Part1.html

http://www.windowsecurity.com/articles/Windows_Server_2003_IPSec_Part2.html

[ ] ‘s

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s