Isenções IPsec padrão podem ser usadas para ignorar a Proteção IPsec em algumas situações

Traduções deste artigo Traduções deste artigo
ID do artigo: 811832 - Exibir os produtos aos quais esse artigo se aplica.
IMPORTANTE: Este artigo contém informações sobre como modificar o Registro. Antes de modificá-lo, faça um backup e certifique-se de que saiba como restaurá-lo caso ocorra algum problema. Para obter informações sobre como fazer backup, restaurar e modificar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sumário

O recurso de protocolo de segurança da Internet (IPsec) no Windows 2000, Windows XP and Windows Server 2003 não foi desenvolvido como um firewall de vários recursos com base em host. Foi desenvolvido para fornece permissões básicas e filtro de bloqueio utilizando informações de endereço, protocolo e portas em pacotes de rede. O IPsec também foi desenvolvido como uma ferramenta administrativa para aumentar a segurança das comunicações de forma transparente aos programas. Por isso, ele fornece filtro de tráfego necessário para negociação de segurança para o modo de transporte ou modo de túnel do IPsec, principalmente para ambientes de intranet onde a machine trust (autenticação de computador confiável) estava disponível pelo serviço Kerberos ou para caminhos específicos por toda a Internet onde certificados digitais PKI (infra-estrutura de chave pública - public key infrastructure) podem ser utilizados.

Os isolamentos padrão para o filtro de diretivas do IPsec estão documentados na Ajuda online do Microsoft Windows 2000 e Microsoft Windows XP. Esses filtros possibilitam o funcionamento de Internet Key Exchange (troca de chaves na Internet - IKE) e Kerberos. Os filtros também possibilitam que a Qualidade de Serviço (Quality of Service - QoS) da rede seja assinalada (RSVP) quando o tráfego de dados está protegido pelo IPsec e para o tráfego que o IPsec pode não proteger, como tráfego de difusão seletiva e de difusão. Para obter informações adicionais sobre esses filtros, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
253169 Tráfego - o que pode e o que não pode ser protegido pelo IPsec

Mais Informações

Como o IPsec é cada vez mais utilizado para filtro de pacotes host-firewall básico, especialmente em situações expostas a Internet, o efeito desses isolamentos padrão ainda não é conhecido completamente. Por isso, alguns administradores de IPsec podem criar diretivas de IPsec que acreditam ser seguras, mas não são realmente seguras contra ataques de entrada que utilizam os isolamentos padrão.

A Microsoft recomenda que os administradores de rede executem as etapas desse artigo para remover os isolamentos padrão de IPsec. Isso é recomendado principalmente se o IPsec é utilizado em situações onde a funcionalidade similar à do firewall deve evitar que invasores adquiram acesso de rede ao computador. Remova os isolamentos padrão para Kerberos para evitar que invasores vençam a proteção que deveria ser fornecida pelo IPsec, por meio de algumas configurações de diretivas de IPsec. Após remover os isolamentos as diretivas de segurança existentes podem ter de ser alteradas para funcionarem corretamente.

Os administradores podem iniciar um planejamento para essas alterações em implantações existentes e novas de IPsec utilizando a chave de registro
NoDefaultExempt=1
em todos os computadores com base em Windows 2000 e Windows XP. O objetivo dessa chave de registro será descrito posteriormente neste artigo.

Definição de Isolamentos Padrão de IPsec

A tabela a seguir reúne os filtros equivalentes que são implementados se todos os isolamentos padrão ao filtro IPSec estiverem habilitados, que estão por padrão, ou se
NoDefaultExempt
está definido como 0. Essas definições de filtro descrevem os isolamentos padrão que são aplicados no driver IPsec para possibilitar o tráfego, independente de outros filtros de diretiva do IPSec. As ferramentas desenvolvidas para exibir os detalhes de filtro de diretivas do IPsec não exibem esses isolamentos nos resultados.

Filtros Equivalentes para
NoDefaultExempt=0
:
Recolher esta tabelaExpandir esta tabela
Endereço de Origem:Endereço de DestinoProtocoloPorta de OrigemPorta de DestinoAção do Filtro
Meu Endereço IPQualquer endereço IPUDPQualquer88Permitir
Qualquer endereço IPMeu Endereço IPUDP88QualquerPermitir
Qualquer endereço IPMeu Endereço IPUDPQualquer 88Permitir
Meu Endereço IPQualquer endereço IPUDP88QualquerPermitir
Meu Endereço IPQualquer endereço IPTCPQualquer 88Permitir
Qualquer endereço IPMeu Endereço IPTCP88QualquerPermitir
Qualquer endereço IPMeu Endereço IPTCPQualquer 88Permitir
Meu Endereço IPQualquer endereço IPTCP88QualquerPermitir
Meu Endereço IPQualquer endereço IPUDP500500 (1)Permitir
Qualquer endereço IPMeu Endereço IPUDP500500Permitir
Meu Endereço IPQualquer46 (RSVP)Permitir
Qualquer endereço IPMeu Endereço IP46 (RSVP)Permitir
Qualquer endereço IP<difusão seletiva> (2)Permitir
Meu Endereço IP<difusão seletiva>Permitir
Qualquer endereço IP<difusão> (3) Permitir
Meu Endereço IP<difusão>Permitir
<Todo tráfego de protocolo IPv6 > (5)<Todo tráfego de protocolo IPv6 > (4)Permitir
Quando o endereço de IP é especificado, a máscara de sub-rede é 255.255.255.255. Quando o endereço de IP é Qualquer, a máscara de sub-rede é 0.0.0.0.
  1. Para que o modo de transporte do IPSec seja negociado através de um modo de túnel SA IPSec, o tráfego ISAKMP não está isolado se precisa passar primeiro pelo túnel IPSec.
  2. O tráfego de difusão seletiva é definido como intervalo de classe D, com um intervalo de endereço de destino de 224.0.0.0 com uma máscara de sub-rede 240.0.0.0 . Isso inclui o intervalo de endereços IP de 224.0.0.0 para 239.255.255.255.
  3. O tráfego de difusão é definido como um endereço de destino de 255.255.255.255, o endereço de difusão limitada, ou como tendo a porção de host ID do endereço IP definida para todos 1s, o endereço de difusão da sub-rede.
  4. O IPSec não é compatível com a filtragem dos pacotes IPv6, exceto quando os pacotes IPv6 são encapsulados com um cabeçalho IPv4 como o protocolo IP 41. Para obter mais informações sobre a compatibilidade IPv6 com o Windows, visite o seguinte site da Microsoft (em inglês):
    http://www.microsoft.com/technet/network/ipv6/default.mspx

Suporte de Sistema Operacional para NoDefaultExempt

A seguinte tabela descreve comportamentos de isolamento padrão nas diversas versões do Windows 2000 and Windows XP:
Recolher esta tabelaExpandir esta tabela
Versão ComercialSP1SP2SP3SP4
Windows 2000Possui isolamentos padrão. A chave
NoDefaultExempt
não é suportada.
Possui isolamentos padrão. A chave
NoDefaultExempt
é suportada, valores 0 ou 1.
Possui isolamentos padrão. A chave
NoDefaultExempt
é suportada, valores 0 ou 1.
Possui isolamentos padrão. A chave
NoDefaultExempt
é suportada, valores 0 ou 1.
Altera o padrão,
NoDefaultExempt=1
que remove as isenções Kerb e RSVP.
Windows XPPossui isolamentos padrão. A chave
NoDefaultExempt
é suportada, valores 0 ou 1.
Possui isolamentos padrão. A chave
NoDefaultExempt
é suportada, valores 0 ou 1.
Altera o padrão
NoDefaultExempt=1
que remove as isenções Kerb e RSVP.


Observação O IPSec no Windows 2000 e Windows XP naõ suporta filtro de tráfego de difusão seletiva ou de difusão.

Remoção de Isolamentos Padrão

A chave de registro a seguir controla o tipo de isolamentos padrão para IPsec:
NoDefaultExempt

Tipo de dados: REG_DWORD
Intervalo: varia:
Windows 2000: apenas suporta 0-1
Windows XP: apenas suporta 0-1
Windows Server 2003: apenas suporta 0-3
Comportamento padrão (Windows 2000 e Windows XP): 0
Comportamento padrão (Windows Server 2003): 3
Presente por definição padrão: Não
Descrição de valores possíveis:
  • Um valor de 0 específica que tráfego de difusão seletiva, de difusão, RSVP, Kerberos e IKE (ISAKMP) são isolados do filtro IPSec. Esse é o comportamento de filtro padrão para Windows 2000 e Windows XP. Utilize essa configuração apenas se for necessário para a compatibilidade com uma diretiva de IPsec existente ou comportamento de Windows 2000 e Windows XP.
  • Um valor de 1 específica que tráfego Kerberos e RSVP não são isolados do filtro IPSec, mas o tráfego de difusão seletiva, de difusão e IKE são isolados. Esse é o valor recomendado para Windows 2000 e Windows XP.
  • Um valor de 2 específica que tráfego de difusão seletiva e de difusão não são isolados do filtro IPSec, mas o tráfego RSVP, Kerberos e IKE são isolados. Suportado apenas no Windows Server 2003.
  • Um valor de 3 específica que apenas o tráfego IKE é isolado do filtro IPSec. Suportado apenas no Windows Server 2003. O Windows Server 2003 apresenta esse comportamento padrão apesar da chave de registro não existir por definição padrão.
AVISO: O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade. Para configurar essa chave de registro:
  1. Clique em Iniciar, em Executar, digite regedit e clique em OK.
  2. Clique a seguinte chave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. Clique com o botão direito do mouse em IPSEC, aponte para Novo e clique em Valor DWORD.
  4. Nomeie essa nova entrada como NoDefaultExempt.
  5. Mude o valor da chave
    NoDefaultExempt
    de 0 para 1. Se desejar, é possível utilizar um valor diferente de 1 se outro valor for mais adequado ao ambiente.
  6. Encerre o Editor do Registro.
  7. No Windows XP, clique em Iniciar clique em Painel de controle e em seguida clique duas vezes em Ferramentas Administrativas. No Windows 2000, clique em Iniciar clique em Configurações, clique em Painel de Controle e em seguida clique duas vezes em Ferramentas Administrativas.
  8. Clique duas vezes em Serviços.
  9. Pare e em seguida reinicie o serviço IPSec Services. O Windows XP solicita que você reinicie o computador após fazer isso.

Afetar as isenções padrão

O seguinte exemplo mostra uma diretiva IPSec do Windows 2000 ou do Windows XP configurada como um filtro bloqueado unidirecional. Os efeitos da aplicação de um filtro de bloqueio com essas regras é que todo o tráfego de entrada é bloqueado. Essa regra de filtro é fornecida apenas para demonstrar o efeito dos isolamentos IPSec contra essa regra:
Endereço de Origem:		Máscara de Qualquer Origem:		Endereço de Destino 0.0.0.0 :	Meu Endereço IP (10.10.1.2) Máscara de Destino:	(255.255.255.255) Protocolo:		Porta de Qualquer Origem:		Porta de Qualquer Destino:	Qualquer Espelhado:		Não
O objetivo do administrador nesse exemplo é bloquear todo o tráfego de difusão ponto a ponto de entrada a caminho do endereço IP 10.10.1.2 . As seções a seguir descrevem o efeito dos isolamentos padrão aplicados a esse filtro.

Efeito do Isolamento IKE

O isolamento IKE é específico para a porta de origem e de destino UDP 500. O IKE sempre recebe esse tipo de pacote de qualquer endereço de origem devido ao isolamento padrão IKE. Pode ser possível para um invasor utilizar as portas IKE para atacar o próprio IKE e possivelmente causar problemas. No entanto, as portas IKE não podem ser utilizadas para atacar outras portas UDP ou TCP abertas. O IKE realizará uma busca de diretivas de IPsec para determinar se deve responder à um pacote de entrada. Devido ao IKE ser utilizado para negociar configurações de segurança entre dois hosts IPSec e os filtros IPsec são utilizados para permitir e bloquear controle de tráfego, o IKE não conseguirá localizar uma diretiva de segurança semelhante e não responderá às solicitações de entrada.

O IKE utiliza diversos métodos de prevenção de negação de serviço (DoS). O Windows 2000 Service Pack 3 e o Windows XP fornecem prevenção avançada de DoS contra ataques de saturação. O IKE não pode ser desabilitado de forma independente do serviço IPsec e do driver IPsec. O IKE só pode ser desabilitado interrompendo o serviço IPsec que também desabilita o filtro IPsec.

Se o IKE está sendo atacado da Internet e não é necessário, mas o filtro IPsec é necessário, várias opções estão disponíveis:
  • Um filtro de bloqueio para tráfego UDP 500 pode ser utilizado no gateway ou firewall padrão.
  • Configure um filtro de Propriedades Avançadas de TCP/IP na interface de Internet. Utilize Permitir somente, e em seguida adicione portas UDP solicitadas diferentes de UDP 500. Para obter informações adicionais sobre como usar essa opção, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    309798 COMO: configurar a filtragem TCP/IP no Windows 2000
    Use o comando netstat ?a para visualizar as portas UDP abertas.
  • No Windows XP o recurso de firewall de conexão com a Internet (Internet Connection Firewall - ICF) pode ser habilitado na interface de Internet para bloquear todo o tráfego de entrada. Podem ser configuradas aberturas específicas para portas UDP diferentes de UDP 500. Para obter informações adicionais sobre o ICF, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    283673 COMO: habilitar ou desabilitar o ICF no Windows XP

Efeito do Isolamento Padrão de Kerberos

Com esse exemplo que bloqueia todo o tráfego de entrada unidirecional, todo tráfego Kerberos ponto a ponto de entrada ou saída seria isolado de semelhança nesse filtro. Por isso, um invasor pode construir um pacote ponto a ponto UDP ou TCP que utiliza a porta de origem 88 para acessar quaisquer portas abertas em 10.10.1.2. Isso iria habilitar uma varredura de porta UDP e TCP, mesmo com o filtro de bloqueio. O administrador deve configurar a chave de registro
NoDefaultExempt
para evitar ataques. Se um roteador de filtragem ou um firewall está em uso, ele pode ou não permitir o tráfego de um invasor, dependendo de como o mesmo lida com o tráfego que está utilizando as portas Kerberos.

Observação Muitas ferramentas de varredura de porta não detectam esse comportamento porque essas ferramentas não permitem configurar a porta de origem 88 quando a verificação de portas abertas ocorre. Observe também que muitas ferramentas de varredura de porta esperam uma mensagem ICMP em resposta à uma investigação enviada a uma porta TCP ou UDP que não está aberta. Se o IPsec está bloqueando o tráfego ICMP, a ferramenta de varredura pode informar erroneamente que a porta está aberta. Utilize um rastreamento de rede com a ferramenta Monitor de rede para ter certeza de que o tráfego está sendo enviado e recebido na rede.

Quando o isolamento Kerberos for removido e se o IPsec também for utilizado para proteger o tráfego utilizando a autenticação Kerberos no IKE, as seguintes considerações de diretivas de desenvolvimento de IPsec devem ser obedecidas:
  • Um computador que utiliza a autenticação Kerberos IKE com
    NoDefaultExempt=1
    não pode se comunicar com outro ponto da rede que está utilizando a autenticação Kerberos IKE se este também não tem o mesmo valor de chave de registro. Utilize autenticação de certificado para IKE ao invés de Kerberos onde for necessário.
  • Os isolamentos explícitos para tráfego Kerberos e UDP 389 para e de todos os endereços DC IP relevantes devem ser especificados nas diretivas IPsec. Devido a desde março de 2003 a Microsoft não suportar a proteção de tráfego IPsec de um membro do domínio para os controladores desse domínio, adicione filtros para a diretiva de IPsec para permitir explicitamente todo o tráfego para os endereços IP do controlador de domínio. Isso pode exigir muitos filtros de permissão se existirem muitos controladores de domínio. Os endereços IP de controladores de domínio devem ser atribuídos permanentemente aos controladores de domínio (endereços IP estáticos). A lista de filtro para todos os controladores de domínio em um domínio deve ser mantida manualmente pelo administrador para ter a lista atual de endereços IP. Isso pode ser atualizado com mais facilidade pelo administrador se o filtro especificar o nome DNS do domínio como o endereço de origem ou destino durante a criação de um novo filtro. Isso soluciona o nome de domínio contra DNS para todos os endereços IP atuais no domínio e cria filtros para cada IP individual. Confira a lista de endereços IP antes de utilizar a lista de filtro em produção. A inclusão de um novo DC irá exigir a inclusão de um novo filtro nessa lista de filtro. A Microsoft recommenda o uso de uma lista de filtro para todos os DCs em um domínio específico que em seguida será compartilhado de acordo com regras de diretivas de IPsec. Certifique-se de que o nome da lista de filtro indique a data da última atualização da lista de endereços IP para referência rápida.
Para obter mais informações sobre a comunicação entre os controladores de domínio, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
254949 Suporte ao IPSec para os tráfegos do controlador entre cliente e domínio e entre domínios

Efeito do Isolamento RSVP

Para um computador que utiliza RSVP, um invasor pode conseguir causar uma negação de serviço por saturação ou envio de pacotes maliciosos ou "spoofed" de RSVP para 10.10.1.2. Esse é o endereço IP utilizado no exemplo anterior e esse ataque iria ignorar o bloqueio de entrada unidirecional do filtro IPsec no exemplo.

O protocolo RSVP é o protocolo de IP 46. É um protocolo de sinalização que é utilizado para reservar largura de banda em roteadores para tráfego de programas.

RSVP no Windows 2000

O Windows 2000 utiliza o protocolo RSVP nas seguintes circunstâncias:
  • O Serviço de Controle de Admissão QoS está instalado. Esse é um componente de rede opcional em computadores de Windows 2000 Server. Se isso está instalado, ele recebe e envia tráfego RSVP.
  • O serviço QoS (Quality of Service - qualidade de serviço) está sendo executado. Por definição padrão, esse serviço está instalado e configurado como um serviço de AutoIniciar. Ao inicializar, o serviço carrega o programa Rsvp.exe que utiliza o protocolo RSVP, e em seguida é descarregado se não há tráfego RSVP que exige sinalização. Ele carrega o programa Rsvp.exe dinamicamente quando os serviços QoS são necessários.
  • Um programa abre um soquete com uma opção de soquete GQoS. O programa Rsvp.exe é executado continuamente para gerenciar a sinalização para o tráfego de soquete.
  • O comando pathping ?r utiliza o protocolo RSVP para determinar se os roteadores são habilitados para RSVP.
Para obter informações adicionais sobre como desabilitar a sinalização de protocolo RSVP, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
247103 Informações sobre como desativar Signaling RSVP
Quando utilizado, o serviço RSVP QoS não envia sinalização RSVP na interface especificada.

RSVP no Windows XP

O protocolo RSVP foi substituído no Windows XP. Apesar do serviço RSVP Quality of Service (QoS) estar instalado por definição padrão, ele está configurado para uma inicialização manual. O serviço não envia ou processa mensagens de protocolo RSVP recebidas. Ele ainda registra o protocolo RSVP para que a pilha TCPIP receba pacotes do tipo protocolo 46 de IP. Mas esses pacotes de entrada são em seguida descartados. Se o serviço RSVP QoS não foi inicializado, a pilha de protocolo TCP/IP irá soltar o pacote RSVP de entrada, e em seguida envia um pacote ICMP "destination unreachable" em resposta.

O Windows XP apenas utiliza o protocolo RSVP quando o comando pathping ?r utiliza o protocolo RSVP para determinar se os roteadores são habilitados para RSVP.

Proteção contra ataques RSVP

Para habilitar o IPsec a protegê-lo contra ataques potenciais utlizando o protocolo RSVP, o administrador deve configurar a chave de registro
NoDefaultExempt=1
para desabilitar o isolamento RSVP no IPsec. Ao invés disso, é possível desabilitar o serviço RSVP QoS ou desabilitar o RSVP como protocolo. Para obter informações adicionais sobre como fazer isso, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
247103 Informações sobre como desativar Signaling RSVP
Se o operação de protocolo RSVP for exigida, filtros de permissão explícita podem ser definidos na diretiva IPsec para permitir o protocolo IP 46 para os endereços apropriados de origem e destino. Porque o RSVP tem como finalidade a comunicação com roteadores, a Microsoft não recomenda a utilização de IPsec para negociar a segurança para RSVP. Observe que o RSVP também pode utilizar um endereço de difusão seletiva que não pode ser filtrado pelo IPsec. Para obter informações adicionais sobre esse tópico, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
278517 Resource Reservation Setup Protocol Packets Use Recurso de reserva de configuração de protocolo packers de uso Local Multicast Address

Efeito do Isolamento de Difusão e de Difusão Seletiva

Os pacotes com endereços de destino de difusão e de de difusão seletiva não se assemelhariam ao filtro de entrada de exemplo porque o filtro de entrada tem um endereço de destino de um endereço IP ponto a ponto específico (10.10.1.2). O filtro IPsec para Windows 2000 e Windows XP não possibilita o filtro de tráfego de difusão seletiva ou de difusão.

Se um invasor construir pacotes de difusão seletiva ou de difusão e se a rede permite que esses pacotes sejam recebidos pelo computador, o invasor pode ignorar o filtro IPsec que foi utilizado no exemplo anterior. Normalmente o invasor teria de estar na sub-rede local para conduzir um ataque utilizando esse tráfego porque a configuração de roteador de gateway padrão não encaminharia tráfego de entrada de difusão seletiva ou de difusão não solicitado. Em alguns desenvolvimentos de diretivas IPsec que utilizam a opção de filtro para "Allow unsecured communication with non-IPsec aware computer", um invasor pode conseguir utilizar tráfego de entrada de difusão seletiva ou de difusão para fazer com que um computador de destino envie uma resposta ponto a ponto. Isso acionaria uma negociação IKE de saída que criará um pacote Soft SA e abrirá o caminho para o invasor fazer conexão. Um invasor pode construir um pacote TCP inválido utilizando um endereço de destino de difusão seletiva ou de difusão para tentar ignorar filtros IPsec. Se um programa ou protocolo está sendo executado e solicita receber pacotes de difusão seletiva ou de difusão, o invasor pode conseguir comunicar-se com aquele programa se tanto o invasor quanto o programa utilizarem apenas tráfego de difusão seletiva ou de difusão.

A Microsoft recomenda que o administrador de IPsec fale sobre a configuração de roteador e de firewall com o administrador de rede para investigar a fundo a viabilidade de tal ataque com base nas atuais diretivas de IPsec.

A comunicação com base em TCP exige um "handshake" (troca de sinais em conexões específicas) tridirecional que utiliza tráfego IP ponto a ponto e portanto não pode utilizar tipos de tráfego de difusão seletiva ou de difusão. No Windows 2000 e Windows XP os programas e serviços que utilizam UDP e soquetes não processados por definição padrão recebem tráfego de difusão se este for enviado para portas que os programas abrem. Por definição padrão, o RF 2644 afirma que tráfego de difusão direcionado não deve ser encaminhado por roteadores. Existem dois outros tipos de tráfego de difusão que podem ser utilizados do link local:
  • Endereço de Difusão Limitado - Isso se o endereço IP de destino for 255.255.255.255.
  • Difusão Direcionada de Prefixo de Rede - Isso se o endereço IP de destino for x.y.255.255 ou x.y.z.255 com máscaras de sub-rede apropriadas.
Os programas normalmente definem o próprio modelo de comunicação utilizando esse tráfego. Normalmente o tráfego de difusão seletiva e de difusão é utilizado para primeiramente anunciar e descobrir um serviço. Em seguida os computadores de origem e destino utilizarão o tráfego IP ponto a ponto entre os endereços de IP para continuar a comunicação.

Para visualizar os programas UDP que receberão tráfego de difusão por definição padrão, utilize o comando netstat:
  • Windows 2000: netstat -a -p UDP Não há um método para exibir os programas que abriram essas portas.
  • Windows XP: netstat ?ao ?p UDP A chave -ao exibe o ID do processo para auxiliar a identificar os programas que estão utilizando portas abertas.

Quais Programas Podem Receber Tráfego de Difusão Seletiva?


Os programas devem registrar explicitamente com a pilha TCPIP para receber tráfego de entrada de difusão seletiva. Se o programa não se registrou para receber esse tipo de tráfego, os pacotes de entrada de difusão seletiva serão soltos. No entanto, pacotes de difusão seletiva podem ser soltos no adaptador de rede (o mais comum), na miniporta, na camada IP ou na camada UDP. Os administradores devem fazer uma verificação para determinar que tipos de tráfego de difusão seletiva são roteáveis através da rede para avaliar melhor se o tráfego de difusão seletiva pode ser utilizado para atacar um computador. Para determinar quais grupos de difusão seletiva foram reunidos por um programa:
  • Windows 2000: não há um método disponível
  • Windows XP:
    1. Clique em Iniciar, em Executar, digite cmd e clique em OK.
    2. Digite netsh interface ip show joins e em seguida pressione ENTER.

Utilização de IPsec com o Internet Connection Firewall

Para Windows XP, o Internet Connection Firewall (ICF) pode atender de maneira mais eficaz aos requisitos de segurança para o filtro de tráfego. O ICF filtra e pode bloquear tráfego de entrada de difusão seletiva e de difusão no Windows XP SP1. No entanto, o ICF não tem conhecimento de tráfego protegido por IPsec AH ou ESP em modo de transporte ou túnel. O IPsec está abaixo do ICF na camada de rede. O IKE está acima do ICF na camada de rede. Devido a esse fato, o ICF deve permitir estaticamente a entrada IKE (porta UDP 500) e não enxergará protocolos IPsec AH ou ESP, mas o tráfego TCP ou UDP após o IPsec tê-lo desencapsulado no processo de recebimento. Se o IPsec bloqueia o tráfego, o log de pacote ICF solto não apresentará os pacotes que o IPsec descartou.

A funcionalidade do Ipsec pode ser combinada ao filtro ICF para um comportamento de filtro avançado. Por exemplo, o ICF somente pode ser configurado para abrir a porta TCP 445 de qualquer endereço IP e um filtro IPsec pode ser utilizado para posteriormente restringir isto para somente pacotes que contém uma sub-rede interna como endereço de origem. Um outro exemplo é que o IPsec está configurado para negociar segurança para todo o tráfego, mas a configuração de ICF restringe quais conexões de entrada são permitidas a serem aceitas, permitindo apenas IKE de entrada (porta UDP 500) e compartilhamento de arquivos SMB (porta TCP 445).

Referências

Para obter mais informações sobre a implementação de TCP/IP, veja o documento "Implementação Detalhada de TCP/IP em Windows 2000". Para fazer isto, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/technet/network/deploy/depovg/tcpip2k.mspx
Para obter informações adicionais sobre Segurança de IP, clique nos números abaixo para visualizar os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):
253169 Tráfego - o que pode e o que não pode ser protegido por IPsec
254728 IPSec NOT Seguro Kerberos tráfego entre controladores de domínio
308127 Como abrir portas manualmente no firewall da conexão de Internet no Windows XP
810207 IPSec usar como padrão exemptions are removed em Windows Server 2003

Propriedades

ID do artigo: 811832 - Última revisão: segunda-feira, 29 de janeiro de 2007 - Revisão: 6.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Palavras-chave: 
kbfirewall kbprb kbinfo KB811832

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com