Em outros posts tenho falado um pouco sobre IPSEC e em todos os exemplos que citei sempre usei os formatos compatíveis com o xp e 2003, mas o que mudou no Windows Vista ?
Como a pilha TCP/IP no Windows Vista foi totalmente reescrita muita coisa mudou, para o IPSEC vou citar algumas mudanças que acho importante :
- Novos algoritmos de Criptografia;
- Autenticação de Computadores e Usuários (antes do Vista o IPSEC autenticava somente computadores);
- Melhor Integração com o NAP;
- Integrado ao novo Windows Firewall with Advanced Security;
Este último item acredito que é um dos mais importantes para ajudar na aceleração da adoção dessa tecnologia.
Antes do Windows Vista configurar uma política de IPSEC não era uma tarefa fácil, em um cenário real suas políticas de ipsec podem ter centenas de itens, exceções e etc, tornando tanto a implementação como a administração bastante trabalhosa, com as mudanças implementadas no Windows Vista esta tarefa está muito mais simples e fácil.
Para melhor ilustrar o quanto ficou mais fácil a implementação do IPSEC segue um pequeno comparativo entre um script no formato antigo e no novo. Ambos os scripts terão o mesmo resultado final.
Script IPSEC – Compatível com Windows 2000 ou superior
| pushd ipsec static
set store location=local
# FILTROS DE ACOES
add filteraction name="Bloqueio" description="Bloqueia o acesso" action=block
add filteraction name="Permite" description="Permite o trafego em claro" action=permit
add filteraction name="Requisicao Segura" description="Aceita conexoes inbound somente com IPsec, e permite conexoes outbound em claro" soft=yes action=negotiate qmsecmethods="ESP[None,SHA1] ESP[3DES,SHA1]"
# Lista Exceção
add filterlist name="Excecao" description="Maquinas fora da Política de IPSEC"
add filter filterlist="Excecao" srcaddr=any dstaddr=x.x.x.x description="Máquina I" protocol=any srcport=0 dstport=0
# Domain Controllers
add filterlist name="Domain Controllers" description="Domain Controllers"
add filter filterlist="Domain Controllers" srcaddr=any dstaddr=x.x.x.x description="DC-01" protocol=any srcport=0 dstport=0
# Rede Segura
add filterlist name="Rede Segura" description="Rede Segura"
add filter filterlist="Rede Segura" srcaddr=any dstaddr=10.x.x.x dstmask=255.0.0.0 description="Rede Segura" protocol=any srcport=0 dstport=0
# Habilita PING
add filterlist name="Habilita PING" description="Habilita PING"
add filter filterlist="Habilita PING" srcaddr=any dstaddr=me description="Habilita PING" protocol=ICMP
# Cria a Politica
add policy name="Politica IPSEC Maquinas Fora do Dominio" description="Politica IPSEC Maquinas Fora do Dominio" activatedefaultrule=no mmlifetime=180 assign=no pollinginterval=60 mmsecmethods="3DES-SHA1-2 3DES-MD5-2 DES-SHA1-1 DES-MD5-1"
# Adiciona as Regras # Colocar o nome da autoridade certificadora no campo rootca add rule name="Rede Segura" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Rede Segura" filteraction="Requisicao Segura" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Habilita PING" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Habilita PING" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Domain Controllers" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Domain Controllers" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"
add rule name="Excecao" policy="Politica IPSEC Maquinas Fora do Dominio" filterlist="Excecao" filteraction="Permite" rootca="C=BR, O=XXX, CN=XXXXX"
# Liga a Politica
set policy name=”Politica IPSEC Maquinas Fora do Dominio" assign=YES popd exit |
Script IPSEC – Compatível com Windows Vista ou superior
| netsh advfirewall consec add rule name="Rede Segura" endpoint1=any endpoint2=10.x.x.x/y action=requireinrequestout auth1=computercert auth1ca="C=BR, O=XXX, CN=XXXXX "
netsh advfirewall consec add rule name="Domain Controllers" endpoint1=any endpoint2=x.x.x.x,y.y.y.y action=noauthentication
netsh advfirewall consec add rule name="Excecao" endpoint1=any endpoint2=x.x.x.x action=noauthentication |
Muita mais fácil não ?
Agora é só planejar e implementar logo o IPSEC porque o IPV6 está chegando !!! :) **assunto para um próximo post….
Abraços,
0454bcaa-4425-425b-b5c3-3d6b66e8b300|1|5.0
ipsec, windows vista, windows server 2008, script, seguranca, technet, security