Configurando o IPSEC no Windows Server 2008 R2 (pt-BR)
O IPSEC é um conjunto de procolos (RFC 2401-2409). Com o IPSec utilizamos dois meios, AH - Autenticação de cabeçalho garantindo a integridade e o ESP -Encapsulating Security Payload criptografando os dados. IPSEC é o mais seguro e efetivo metodo de manter os dados seguros durante a transmissão dos mesmos seja em redes publicas como em redes privadads.
Podemos utilizar o IPsec em toda ou em uma parte da rede, mantendo os servidores seguros contra diversos tipos de ataque, entre eles Spoofing Identity (e o famoso Man-in-the-middle (alguém capturando dados utilizando Sniffer).
No Windows Server 2008 R2 o IPsec pode ser implementados em diversos niveis, dominio, site, OU e localmente.
Neste tutorial criaremos uma politica IPSec local.
Criando uma Politica IPSEC
Clique em Start / Run e digite secpol.msc para abrir o Snap-in Politica de Segurança Local.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec01_tn.jpg
Em IP Security Policies, clique com o lado direito do mouse e selecione Create IP Security Policy...
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec02_tn.jpg
Clique em Next na tela do Assistente.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec03_tn.jpg
Forneça o nome e a descrição da politica.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec04_tn.jpg
Não marque a opção "Activate the default Response Rule" , pois queremos que apenas a nossa regra seja utilizada.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec05_tn.jpg
Deixe marcado a opção "Edit properties" e clique em finish
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec06_tn.jpg
Criando um Filtro IPSec
Em Rules, desmarque a opção "Use Add Wizard", pois este assistente é bom, mas irá abrir muitas janelas.
Clique em Add..
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec07_tn.jpg
Esta é a janela de regras e aqui iremos definir tudo o que precisamos.
Através desta caixa é possivel também criar uma Lista de Filtros e definir a ação.
http://www.mcsesolution.com/images/w2k8/ipsec/Ipsec-Seq.png
Não temos ainda uma lista de filtro, vamos criar um filtro clicando em Add.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec09_tn.jpg
Digite o nome do Filtro e uma descrição, novamente vamos desmarcar o "Use Add Wizard..." em Seguida clique em Add...
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec11_tn.jpg
Escolha os endereços de origem e destino:
Neste caso origem e Destino escolhemos Qualquer endereço IP
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec12_tn.jpg
Em protocolo, selecione TCP, note que podemos escolher também as portas de origem e destino.
Observação - Você pode fazer as configurações desse tutorial e alterar o protocolo para ICMP. Faça isso em duas maquina e você poderá visualizar a negociação Ipsec ocorrer no momento em que pingar uma das maquinas.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec13_tn.jpg
Forneça a decrição clara sobre o filtro.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec14_tn.jpg
Clique OK para finalizar a criação do Filtro.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec15_tn.jpg
Selecione o filtro criado.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec16_tn.jpg
Criando uma Ação para o Filtro
Clique na aba "Filter Action", desmarque a caixa "Use Add Wizard" e clique em Add...
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec17_tn.jpg
No metodo da Ação iremos determinar como a regra irá negociar para manter o trafego de rede seguro.
Com o IPSEC, podemos criar um filtro de procolos e como ação:
- Permitir
- Bloquear
- Negociar Segurança.
Selecione Negotiate Security e clique Add...
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec17.1_tn.jpg
Não marque as opções:
"Accept unsecured communications, but always respond using IPsec" Aceita comunicação insegura.
"Allow Fallback to unsecured communication if a secure connection can not established" Aceita comunicação insegura se não conseguir estabelecer comunicação segura..
"Use session key perfect forward secrecy (PFS) " - Usar sessão chave perfeita transmitir sigilo (PFS)
Podemos especificar Integridade e Criptografia, integridade somente ou podemos customizar o metodo de segurança.
Neste tutorial não iremos customizar, portanto selecione "Integrity and encryption" e clique OK.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec18_tn.jpg
Identifique a Ação definindo um nome e descrição e clique OK.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec19_tn.jpg
Definindo o Metodo de Autenticação
Clique na guia "Authentication Methods" e em seguida clique em Add...
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec20_tn.jpg
Por padrão o metodo de autenticação é o Kerberos, porém podemos escolher também entre um certificado e uma chave pré-compartilhada. Neste exemplo foi definido uma chave "Palavra Secreta".
Clique OK
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec21_tn.jpg
Na guia Tunnel Setting, deixe o padrão.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec22_tn.jpg
Na guia Connection Type deixe o padrão e clique Apply e em seguida clique em close.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec23_tn.jpg
Na janela das regras IPSEC, selecione o filtro recem criado e clique OK
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec24_tn.jpg
Clique com o lado direito do mouse sobre a politica IPSec e selecione Assign para atribuir e começar a utilizar a politica.
http://www.mcsesolution.com/images/w2k8/ipsec/ipsec25.png
http://www.mcsesolution.com/plugins/editors/tinymce/jscripts/tiny_mce/plugins/emotions/images/smiley-innocent.gif ATENÇÃO - Todos os computadores do ambiente devem possuir a mesma politica para que ocorra a comunicação segura.
Conclusão
Aprendemos que é simples definir um politica IPSEC e que podemos implementar diversos filtros e modos de negociar a segurança e a autenticação deixando o trafego de rede altamente seguro. Ainda que podemos utilizar metodos como este altamente seguros, podemos também manter a interoperabilidade com outros sistemas utilizando configurações como:
"Accept unsecured communications, but always respond using IPsec" Aceita comunicação insegura.
"Allow Fallback to unsecured communication if a secure connection can not established" Aceita comunicação insegura se não conseguir estabelecer comunicação segura..
Este artigo foi originalmente escrito por:
Daniel Donda
MVP Windows Expert-IT Pro
MCP,MCT,MCITP-EA, MCSA+Security, MCSE+Security, MCSE+Messaging
EC-Council C|EH, C|HFI, C|EI
Donda's site: http://www.mcsesolution.com/
Twitter: http://twitter.com/danieldonda