Criando uma diretiva IPsec

[helldanger1]

A segurança do protocolo Internet (IPsec) destina-se a criptografar os dados enquanto eles são transferidos entre dois computadores, protegendo-os de modificação e interpretação. Para usar a segurança IPsec, é preciso definir qual será o nível de confiança entre os computadores que tentam se conectar e como esses computadores protegerão o tráfego. Para implementas essas especificações, crie e aplique a diretiva IPsec. As diretivas IPsec oferecem suporte a regras de filtragem de pacotes monitoradores baseadas em diretivas que podem ser usadas com criptografia e autenticação IPSec para fornecer proteção total.

Exemplo: Criando uma diretiva IPsec
Esta seção fornece instruções detalhadas para criar um exemplo de diretiva IPsec que permite que as solicitações de entrada sejam conectadas apenas às portas 80 e 443. A port 80 é a porta padrão das solicitações HTTP e a porta 443 é a porta padrão das solicitações HTTPS. A diretiva bloqueia as solicitações para todas as outras portas no servidor.

Ao contrário das regras típicas de firewall ou filtragem de pacotes, não há como ordenar a lista de regras em uma diretiva IPsec. O mecanismo de regras corresponde o tráfego às regras de acordo com a especificação. Se um pacote corresponder a mais de uma regra, o mecanismo aplicará a regra mais específica ao pacote. No exemplo a seguir, os pacotes que correspondem à lista de filtros que possibilita as conexões à porta 80 também correspondem à lista de filtros que bloqueia todo o tráfego de entrada. Como a primeira lista é mais específica, o mecanismo de regras usa essa lista para tomar a decisão. Sendo assim, o tráfego que se conecta à porta 80 ou 443 é transmitido ao servidor, enquanto todo o resto é bloqueado. Você precisa criar várias listas de filtro para tornar a diretiva efetiva.

A criação de uma diretiva IPsec inclui várias etapas:

1.Criar listas de filtros IPsec. As listas de filtros incluem portas, protocolos e instruções e disparam uma decisão quando o tráfego corresponde a um item na lista. Esse exemplo requer a criação de três listas de filtros. As duas primeiras listas de filtros aplicam-se ao tráfego de entrada que tenta se conectar à porta 80 ou 443 e a terceira lista de filtros aplica-se a todas as portas.

2.Definir as ações do filtro. As ações do filtro são a resposta necessária quando o tráfego corresponde a uma lista de filtros. Este exemplo usa apenas as ações de permissão e bloqueio para a diretiva IPsec do IIS.

3.Criar a diretiva IPsec. A diretiva IPsec é uma coleta de regras, que são a correlação de uma lista de filtros com uma ação do filtro. É possível ter apenas uma diretiva ativa ou atribuída por vez.

As etapas a seguir destinam-se à criação de diretivas IPsec usando o snap-in de configurações de segurança local no Windows Server 2003. Também é possível criar diretivas IPsec usando os comandos Netsh para IPsec. Para obter mais informações sobre os comandos Netsh para IPsec, consulte IPsec.

Para criar listas de filtros IPsec, comece alterando as configurações de segurança no computador local.

 

[helldanger1]

Para criar listas de filtros IPsec
1.No menu Iniciar, aponte para Todos os programas, para Ferramentas Administrativas e clique em Diretiva de segurança local.

2.Na caixa de diálogo Configurações de Segurança Local, clique em Diretivas de Segurança IP no Computador Local. O painel direito exibe as diretivas padrão do Windows Server 2003.

3.Clique com o botão direito do mouse no painel direito e, depois, clique em Gerenciar listas de filtros IP e ações de filtros.

4.Na caixa de diálogo Gerenciar listas de filtros IP e ações de filtros, na guia Gerenciar listas de filtros IP, clique em Adicionar.

5.Na caixa de diálogo Listas de filtros IP, na caixa Nome, digite um nome para a lista de filtros, como HTTP de Entrada, e digite uma descrição, se desejado. Essa é a lista de filtros aplicada a todas as conexões HTTP de entrada.

6.Clique em Adicionar. O Assistente de Filtro IP aparece. Crie uma lista de filtros com as seguinte especificações:

Descrição: opcional.

Endereço de origem: Qualquer Endereço IP.

Endereço de destino: Meu Endereço IP. Ou clique em Um endereço IP específico e digite o endereço IP da interface que está conectada à Internet.

Tipo de protocolo: TCP.

Porta do protocolo: De qualquer porta.

Para esta porta: 80.

7.Na tela Concluindo o Assistente de Filtro IP, desmarque a caixa de seleção Editar propriedades e, depois, clique em Concluir.

8.Na caixa de diálogo Listas de filtros IP, clique em OK.

9.Repita as etapas 1 a 8, desta vez para criar uma lista de filtros que se aplique à porta de destino 443 para conexões HTTPS. Nomeie a lista de filtros como HTTPS de Entrada ou algo semelhante.

10.Repita as etapas 1 a 8, desta vez para criar uma lista de filtros que se aplique a todas as portas de destino. Essa lista de filtros aplica-se à diretiva que bloqueia todo o tráfego de entrada. Nomeie a lista de filtros como Todo Tráfego de Entrada ou algo semelhante.

Após criar a lista de filtros IPsec, é preciso criar uma ação do filtro que ocorrerá quando o tráfego de entrada corresponder aos critérios nas listas de filtros. Para este exemplo, são necessárias duas ações. A primeira é uma ação para permitir que as solicitações se conectem às portas 80 e 443. A ação para permissão de tráfego é um padrão existente, portanto não é preciso criá-la. É preciso criar a segunda ação, que serve para bloquear o tráfego para todas as outras portas.

 

[helldanger1]

Para definir as ações do filtro
1.Após criar as listas de filtros, na caixa de diálogo Configurações de Segurança Local clique com o botão direito do mouse no painel direito e, depois, clique em Gerenciar listas de filtros IP e ações de filtros.

2.Na caixa de diálogo Gerenciar listas de filtros IP e ações de filtros, na guia Gerenciar ações de filtros e, depois, clique em Adicionar. O Assistente de Ações de Filtros de Segurança IP aparece.

3.Crie uma ação do filtro com as seguinte especificações:

Nome: bloquear

Descrição: opcional

Opções gerais da ação do filtro: bloquear

4.Na tela Concluindo o Assistente de Ação de Filtro de Segurança IP, desmarque a caixa de seleção Editar propriedades e, depois, clique em Concluir.

5.Na caixa de diálogo Gerenciar listas de filtros IP e ações de filtros, clique em Fechar.

Depois de criar listas de filtros IPsec e ações do filtro, você deve criar as diretivas IPsec e definir as regras que vinculam as listas às ações.

Para criar as diretivas IPsec
1.Após definir as ações do filtro, na caixa de diálogo Configurações de Segurança Local clique com o botão direito do mouse no painel direito e, depois, selecione Criar Diretiva de Segurança IP. O Assistente de Diretiva de Segurança IP aparece.

2.Crie uma diretiva com as seguinte especificações:

Nome: filtragem de Pacotes

Descrição: opcional

3.Na tela Solicitações de Comunicação de Segurança., desmarque a caixa de seleção Ativar a regra de resposta padrão e, depois, clique em Avançar.

4.Na tela Concluindo o Assistente de Diretiva de Segurança IP, verifique se a caixa de seleção Editar propriedades está selecionada e, depois, clique em Concluir. A caixa de diálogo Propriedades de Nova Diretiva de Segurança IP é exibida. Não feche essa caixa de diálogo.

Após criar as listas de filtros IPsec, as ações do filtro e as diretivas IPsec, você precisa adicionar regras à diretiva e associar as listas de filtros IPsec que foram criadas às regras.

Para adicionar regras à diretiva
1.Após criar as diretivas IPsec, na caixa de diálogo Propriedades de Nova Diretiva de Segurança IP, clique em Adicionar. O Assistente para Criação de Regras de Segurança IP aparece.

2.Crie uma regra com as seguinte especificações:

Ponto de extremidade do encapsulamento: Essa regra não especifica um encapsulamento.

Tipo de rede: Todas as conexões de rede.

Listas de filtros IP: Todo Tráfego de Entrada (ou o nome da lista de filtros que se aplica ao tráfego de entrada em qualquer porta).

Ação do filtro: Bloquear.

3.Na tela Concluindo o Assistente para Criação de Regras de Segurança IP, desmarque a caixa de seleção Editar propriedades e, depois, clique em Concluir.

4.Na caixa de diálogo Propriedades de Nova Diretiva de Segurança IP, clique em Fechar.

5.Repita as etapas 1 a 4 para criar regras que se apliquem às listas de filtros HTTP de Entrada e HTTPS de Entrada. Para essas regras, escolha a ação do filtro Permitir.

Após criar as listas de filtros IPsec, as ações do filtro e as diretivas e adicionar as regras à diretiva e ainda associar as listas de filtros IPsec às regras, você precisa atribuir a diretiva IPsec ao servidor. É possível atribuir apenas uma diretiva por vez.

Para atribuir a diretiva IPsec
Na caixa de diálogo Configurações de Segurança Local, clique com o botão direito do mouse na diretiva que você criou e, depois, clique em Atribuir.

A diretiva é aplicada imediatamente e a IPsec começa a processar os pacotes de acordo com as regras da diretiva. Não é necessário reinicializar o servidor. Para interromper a diretiva, clique com o botão direito do mouse na diretiva na caixa de diálogo Configurações de Segurança Local e clique em Cancelar Atribuição.