Tutoriais Windows Server 2008 Configurando o IPSEC no Windows Server 2008
Configurando o IPSEC no Windows Server 2008
| 
| 
Podemos utilizar o IPsec em toda ou em uma parte da rede, mantendo os servidores seguros contra diversos tipos de ataque, entre eles Spoofing Identity (e o famoso Man-in-the-middle (alguém capturando dados utilizando Sniffer).
No Windows Server 2008 o IPsec pode ser implementados em diversos niveis, dominio, site, OU e localmente.
Neste tutorial criaremos uma politica IPSec local.
Criando uma Politica IPSEC.
1.Clique em Start / Run e digite secpol.msc para abrir o Snap-in Politica de Segurança Local.
2. Em IP Security Policies, clique com o lado direito do mouse e selecione Create IP Security Policy...
3. Clique em Next na tela do Assistente.
4.Forneça o nome e a descrição da politica.
5. Não marque a opção "Activate the default Response Rule" , pois queremos que apenas a nossa regra seja utilizada.
6. Deixe marcado a opção "Edit properties" e clique em finish
Criando um Filtro IPSec
1. Em Rules, desmarque a opção "Use Add Wizard", pois este assistente é bom, mas irá abrir muitas janelas.
Clique em Add..
2. Esta é a janela de regras e aqui iremos definir tudo o que precisamos.
Através desta caixa é possivel também criar uma Lista de Filtros e definir a ação.
Não temos ainda uma lista de filtro, vamos criar um filtro clicando em Add.
3.Digite o nome do Filtro e uma descrição, novamente vamos desmarcar o "Use Add Wizard..." em Seguida clique em Add...
4.Escolha os endereços de origem e destino:
Neste caso origem e Destino escolhemos Qualquer endereço IP
5. Em protocolo, selecione TCP, note que podemos escolher também as portas de origem e destino.
Observação - Você pode fazer as configurações desse tutorial e alterar o protocolo para ICMP. Faça isso em duas maquina e você poderá visualizar a negociação Ipsec ocorrer no momento em que pingar uma das maquinas.
6.Forneça a decrição clara sobre o filtro.
7.Clique OK para finalizar a criação do Filtro.
8.Selecione o filtro criado.
Criando uma Ação para o Filtro
1.Clique na aba "Filter Action", desmarque a caixa "Use Add Wizard" e clique em Add...
2.No metodo da Ação iremos determinar como a regra irá negociar para manter o trafego de rede seguro.
Com o IPSEC, podemos criar um filtro de procolos e como ação:
- Permitir
- Bloquear
- Negociar Segurança.
Selecione Negotiate Security e clique Add...
Não marque as opções:
"Accept unsecured communications, but always respond using IPsec" Aceita comunicação insegura.
"Allow Fallback to unsecured communication if a secure connection can not established" Aceita comunicação insegura se não conseguir estabelecer comunicação segura..
"Use session key perfect forward secrecy (PFS) " - Usar sessão chave perfeita transmitir sigilo (PFS)
3.Podemos especificar Integridade e Criptografia, integridade somente ou podemos customizar o metodo de segurança.
Neste tutorial não iremos customizar, portanto selecione "Integrity and encryption" e clique OK.
4.Identifique a Ação definindo um nome e descrição e clique OK.
Definindo o Metodo de Autenticação
1.Clique na guia "Authentication Methods" e em seguida clique em Add...
2.Por padrão o metodo de autenticação é o Kerberos, porém podemos escolher também entre um certificado e uma chave pré-compartilhada. Neste exemplo foi definido uma chave "Palavra Secreta".
Clique OK
3.Na guia Tunnel Setting, deixe o padrão.
4.Na guia Connection Type deixe o padrão e clique Apply e em seguida clique em close.
5.Na janela das regras IPSEC, selecione o filtro recem criado e clique OK
6.Clique com o lado direito do mouse sobre a politica IPSec e selecione Assign para atribuir e começar a utilizar a politica.
ATENÇÃO - Todos os computadores do ambiente devem possuir a mesma politica para que ocorra a comunicação segura.
Conclusão: Aprendemos que é simples definir um politica IPSEC e que podemos implementar diversos filtros e modos de negociar a segurança e a autenticação deixando o trafego de rede altamente seguro.
Ainda que podemos utilizar metodos como este altamente seguros, podemos também manter a interoperabilidade com outros sistemas utilizando configurações como:
"Accept unsecured communications, but always respond using IPsec" Aceita comunicação insegura.
"Allow Fallback to unsecured communication if a secure connection can not established" Aceita comunicação insegura se não conseguir estabelecer comunicação segura..
Sobre o autor...
Daniel Donda
MCP, MCTS, MCSA/ MCSE Security e MCT (Microsoft Certified Trainer)
Especializado em sistemas operacionais de rede atuando no mercado de TI desde 1996
Autor do livro “MCSE / MCSA Guia de Certificação Windows Server 2003 - Exame 70-290”
www.mcsesolution.com | http://danieldonda.spaces.live.com/
Última atualização (Ter, 21 de Abril de 2009 19:02)
| Artigos relacionados: |
|---|
|
| Powered By relatedArticle |
Comentários
Configurando o IPSEC no meu Server 2008 não consigo mais acessar meu servidor via REMOTE DESKTOP pelo meu cliente, como faço para desbloquea-lo.
abs..
Agradeço se me der uma ajuda para implantar esta regra e saber se o IPSec é a função ideal para minha necessidade.
Um abraço, Ideraldo
Citando Felipe:
Obrigado pelo seu comentário. vou ficar mais atento a isso.
Esse artigo é um how-to, não é o conceito, geralmente crio artigos de how-to, pois ensino o conceito em sala de aula. Mas é isso mesmo que vc já colocou.
Quando eu disse comunicação e me refiro a todo o tipo de comunicação que possa ser feito com TCP/IP, como mapeamento de pastas, impressoras compartilhadas, acesso a servidores e por ai vai. (Lembre-se tudo que envolve TCP/IP nesse exemplo.
Com relação a sua ultima pergunta, estamos falando de segurança correto? Então se um hacker na sua rede começa a capturar pacotes e não existe criptografia o que pode acontecer? Problemas certo? É ai que entre o IPsec.
O comentário deve ser aprovado devido a muita propaganda, quem sabe eu consigo um tempo e implemente algum sistema mais interessante, até com comentários do facebook. Vamos ver.
Citando Philippe:
Que tipo de comunicação estamos falando entre computadores da rede?
Mapeamento de pastas?
impressoras compartilhadas?
Os computadores da minha rede não "trocam informações importantes" ao meu ver! O que seria esse: "IPSEC é o mais seguro e efetivo metodo de manter os dados seguros durante a transmissão dos mesmos."
Fiz toda a configuração, mas quando ativo a politica, todos os clientes são desconectados.
O que pode ser? Tem alguma configuracao que devo fazer nos clientes?