O IPSEC é um conjunto de procolos (RFC 2401-2409). Com o IPSec utilizamos dois meios, AH - Autenticação de cabeçalho garantindo a integridade e o ESP -Encapsulating Security Payload criptografando os dados. IPSEC é o mais seguro e efetivo metodo de manter os dados seguros durante a transmissão dos mesmos.
Podemos utilizar o IPsec em toda ou em uma parte da rede, mantendo os servidores seguros contra diversos tipos de ataque, entre eles Spoofing Identity (e o famoso Man-in-the-middle (alguém capturando dados utilizando Sniffer).

No Windows Server 2008 o IPsec pode ser implementados em diversos niveis, dominio, site, OU e localmente.

Neste tutorial criaremos uma politica IPSec local.

 

Criando uma Politica IPSEC.

1.Clique em Start / Run e digite secpol.msc para abrir o Snap-in Politica de Segurança Local.

2. Em IP Security Policies, clique com o lado direito do mouse e selecione Create IP Security Policy...

3. Clique em Next na tela do Assistente.

4.Forneça o nome e a descrição da politica.

5. Não marque a opção "Activate the default Response Rule" , pois queremos que apenas a nossa regra seja utilizada.

6. Deixe marcado a opção "Edit properties" e clique em finish

Criando um Filtro IPSec

1. Em Rules, desmarque a opção "Use Add Wizard", pois este assistente é bom, mas irá abrir muitas janelas.
Clique em Add..

 

2. Esta é a janela de regras e aqui iremos definir tudo o que precisamos.
Através desta caixa é possivel também criar uma Lista de Filtros e definir a ação.

Não temos ainda uma lista de filtro, vamos criar um filtro clicando em Add.

3.Digite o nome do Filtro e uma descrição, novamente vamos desmarcar o "Use Add Wizard..." em Seguida clique em Add...

4.Escolha os endereços de origem e destino:
Neste caso origem e Destino escolhemos Qualquer endereço IP


5. Em protocolo, selecione TCP, note que podemos escolher também as portas de origem e destino.

Observação - Você pode fazer as configurações desse tutorial e alterar o protocolo para ICMP. Faça isso em duas maquina e você poderá visualizar a negociação Ipsec ocorrer no momento em que pingar uma das maquinas.

6.Forneça a decrição clara sobre o filtro.

7.Clique OK para finalizar a criação do Filtro.

8.Selecione o filtro criado.

Criando uma Ação para o Filtro

1.Clique na aba "Filter Action", desmarque a caixa "Use Add Wizard" e clique em Add...

2.No metodo da Ação iremos determinar como a regra irá negociar para manter o trafego de rede seguro.
Com o IPSEC, podemos criar um filtro de procolos e como ação:

• Permitir
• Bloquear
• Negociar Segurança.

Selecione Negotiate Security e clique Add...

Não marque as opções:
"Accept unsecured communications, but always respond using IPsec" Aceita comunicação insegura.
"Allow Fallback to unsecured communication if a secure connection can not established" Aceita comunicação insegura se não conseguir estabelecer comunicação segura..
"Use session key perfect forward secrecy (PFS) " - Usar sessão chave perfeita transmitir sigilo (PFS)

3.Podemos especificar Integridade e Criptografia, integridade somente ou podemos customizar o metodo de segurança.
Neste tutorial não iremos customizar, portanto selecione "Integrity and encryption" e clique OK.

4.Identifique a Ação definindo um nome e descrição e clique OK.

Definindo o Metodo de Autenticação

1.Clique na guia "Authentication Methods" e em seguida clique em Add...

2.Por padrão o metodo de autenticação é o Kerberos, porém podemos escolher também entre um certificado e uma chave pré-compartilhada. Neste exemplo foi definido uma chave "Palavra Secreta".
Clique OK

3.Na guia Tunnel Setting, deixe o padrão.

4.Na guia Connection Type deixe o padrão e clique Apply e em seguida clique em close.

5.Na janela das regras IPSEC, selecione o filtro recem criado e clique OK

6.Clique com o lado direito do mouse sobre a politica IPSec e selecione Assign para atribuir e começar a utilizar a politica.

ATENÇÃO - Todos os computadores do ambiente devem possuir a mesma politica para que ocorra a comunicação segura.

Conclusão: Aprendemos que é simples definir um politica IPSEC e que podemos implementar diversos filtros e modos de negociar a segurança e a autenticação deixando o trafego de rede altamente seguro.
Ainda que podemos utilizar metodos como este altamente seguros, podemos também manter a interoperabilidade com outros sistemas utilizando configurações como:
"Accept unsecured communications, but always respond using IPsec" Aceita comunicação insegura.
"Allow Fallback to unsecured communication if a secure connection can not established" Aceita comunicação insegura se não conseguir estabelecer comunicação segura..

Sobre o autor...
Daniel Donda
MCP, MCTS, MCSA/ MCSE Security e MCT (Microsoft Certified Trainer)
Especializado em sistemas operacionais de rede atuando no mercado de TI desde 1996
Autor do livro “MCSE / MCSA Guia de Certificação Windows Server 2003 - Exame 70-290”
www.mcsesolution.com | http://danieldonda.spaces.live.com/