Przemysław Puchajda GTS Polska Sp. z o.o. puchajda@gts.pl IPSEC oraz ISA Przemysław Puchajda GTS Polska Sp. z o.o. puchajda@gts.pl

Plan prezentacji Wstęp Pierwsza zasada bezpieczeństwa ISA Technologia Narzędzia Podstawowa funkcjonalność IPSecpol Implementacja cz. 1 Implementacja cz. 2 Implementacja cz. 3

Wprowadzenie Rozwiązania firewalli aplikacyjnych dla W2K/XP/W2K3-8 Przypadek Internet Security Systems Bezpieczne, akceptowalne finansowo ;-) efektywne, sprawne, bezawaryjne i elastyczne rozwiązanie  IPSEC Wnioski

Pierwsza zasada bezpieczeństwa (ISA ) You can't hack what you can't access. http://www.Network-1.com

Technologia Protokół IPSec jest usługą, która daje możliwość sprawdzania adresów i stosowania różnych metod zabezpieczeń do IP, niezależnie od tego, jaki program generuje dane i jaki to typ pakietów. Silną stroną IPSEC jest niezależność od warstwy aplikacji (HTTP, FTP, SMTP...) Protokoły IPSec są dostępne na wszystkichch systemach opartych na bazie NT5. Protokół IPSec i powiązane z nim usługi zostały opracowane wspólnie przez Microsoft Cisco

Narzędzia Konsola IP Security Policies (weryfikacja) IPSECPOL.EXE – dla W2K Windows 2000 Server Resource Kit, http://www.microsoft.com/windows2000/techinfo/ /reskit/tools/existing/ipsecpol-o.asp IPSECCMD.EXE – dla XP/W2k3/W2k8 SUPPORT\TOOLS IPsec policy service

Podstawowa funkcjonalność IPSecpol –p <definiuje nazwę polisy> – r <definiuje nazwę reguły> – w REG <przepisuje polise do rejestru> – x <włącza regułę (-y wyłącza)> – n <BLOCK lub PASS> – f <0 dla adresy lokalnego, * dla wszystkich> ipsecpol –o <spłuczka>

Implementacja cz. 1 Załóżmy, że przy pomocy kreatora lub szablonu ISA udostępniamy nasz publiczny, korporacyjny serwer WWW w Internecie. Niestety w wyniku nieumieję- tnego użycia oprogramowania typu Teleport lub z powodu próby włamania chcemy szybko i skutecznie kogoś odciąć i mamy na to 10 sekund.

Implementacja cz. 1 Namierzamy szkodnika przy pomocy dowolnego narzędzia, polecam Sysinternals TCPView i odfiltrowujemy: ipsecpol -x -w reg -p "Ubite" –r "20.04.2009" -n BLOCK -f 157.25.1.1+*

Implementacja cz. 1 lub brutalnie... ipsecpol -x -w reg -p "Ubite" –r "20.04.2009" -n BLOCK -f 157.25.1.*+* ipsecpol -x -w reg -p "Ubite" –r "20.04.2009" -n BLOCK -f 157.25.1. 255.255.255.0+*

Implementacja cz. 2 Użycie skryptu w celu bezpiecznego wystawienia ISA na zewnątrz przed czasochłonnym konfigurowaniem reguł na samym ISA (dotyczy wszystkich platform NT5). Szczególnie jeśli potrzebujemy wystawić maszynę przedz z-updatowaniem.

Implementacja cz. 2 Ipsecpol -x -w REG -p "Polisy rozruchowe" -r "Ubij wszystko" –n BLOCK -f 0+*

Implementacja cz. 3 Nasza sieć podłączona jest dwoma łączami, przy czym jedno z nich fakturowane jest od ilości ruchu. Chcemy aby dostęp do WWW lub serwera FTP routowany był przez tańsze łącze (z poziomu ISA).

Implementacja cz. 3 ipsecpol.exe -f ip.naszego.serwera/255.255.255.0:80= ip.routera.lacza.2/255.255.255.0:80:TCP -w REG -p ”routing dla WWW”