Windows XP - Habilitando IPSec

O IPSec possibilita uma transmissão de dados segura, através da criptografia de dados, usando Kerberous para autenticação.

Dados não encriptados, podem ser fácilmente lidos utilizando-se de um software(Sniffer) que captura os pacotes que trafegam por uma determinada rede.

Existem vários serviços que envolvem autenticação não segura, enviando o nome do usuário e a senha em clear text pela rede sem nenhum tipo de criptografia ou até mesmo usando criptografia reversível que pode ser facilmente quebrada.

O IPSec além de encriptografar a autenticação, também encriptografa os dados da transmissão(conteúdo).

Abaixo um exemplo de senha capturada ao efetuar uma conexão de uma estação ao servidor FTP, sem IPSec, utilizando a ferramenta Wireshark em modo promíscuo (clique para visualizar):


"Oh my God! Alguém na empresa pode estar capturando minhas senhas a qualquer momento, que por coincidência é a mesma senha que eu utilizo no meu e-mail do Hotmail, Mercado Livre, Submarino, Paypal e Cartões de banco!"

Sim, é claro que pode, e para evitar que isto aconteça a dica é configurar o IPSec em sua estação de trabalho Win XP.

Vamos as configurações.
Vá em Start->Run->mmc
Adicione o snap-in "IP Security Policy Management", selecione "Local Computer" para alterar as configurações no próprio micro.

Em uma estação de trabalho, aconselho clicar com o botão direito sobre a opção "Client (Respond Only)" e em seguida selecione "Assign" para ativar a policy. Esta opção irá funcionar da seguinte maneira: Se o servidor que estiver sendo acessado, estiver configurado para solicitar ou requerir(obrigar) uma conexão por IPSec, a transmissão de dados se dará de uma maneira segura com IPSec. Se o servidor não estiver configurado com nenhuma das opções anteriores a transmissão ainda assim irá funcionar, mas sem nenhuma criptografia. Sendo assim, só irá aumentar a segurança se o cliente e servidor estiverem configurados, e mesmo assim, como o usuário nunca sabe qual a configuração no servidor vale a pena habilitar.

Para forçar uma conexão sempre usar IPSec, usa-se a opção "Secure Server (Require Security)". Porém esta opção pode lhe causar problemas caso esteja tentando utilizar um serviço onde o outro computador na negociação não esteja configurado corretamente. Impedindo assim a comunicação, a estação irá rejeitar qualquer conexão não segura e você tera o acesso negado.

Abaixo um printscreen do whireshark, mostrando como fica a interceptação de pacotes encriptografados com IPSec na mesma tentativa de acesso ao FTP como no exemplo acima. Note que os dados não são legíveis: