Comando Ipseccmd

Comando Ipseccmd


Configura as diretivas de segurança do protocolo Internet (IPSec) em um serviço de pastas ou em um Registro local ou remoto. O Ipseccmd é uma alternativa de linha de comando para o snap-in Microsoft Management Console (MMC) das diretivas de segurança IP. O Ipseccmd possui três modos: modo dinâmico, modo estático e modo de consulta.

Para exibir a sintaxe do comando, clique em um comando:

modo dinâmico do ipseccmd

Você pode usar o modo dinâmico do Ipseccmd para adicionar regras anônimas à diretiva IPSec existente, adicionando-as ao banco de dados de diretivas de segurança IPSec. As regras adicionadas estarão presentes mesmo depois que os serviços IPSEC forem reiniciados. A vantagem de usar o modo dinâmico é que as regras adicionadas coexistem com a diretiva IPSec do domínio. O modo dinâmico é o modo padrão do Ipseccmd.

Sintaxe
Para adicionar uma regra, use a seguinte sintaxe:
ipseccmd [\\nome_do_computador] -f lista_de_filtros [-n lista_de_diretivas_de_negociação] [-t endereço_do_encapsulamento] [-a lista_de_métodos_de_autenticação] [-1s lista_de_métodos_de_segurança] [-1k configurações_de_recriação_de_chaves_de_modo_principal] [-1p] [-1f lista_de_filtros_para_modo_principal] [-1e hora_de_vencimento_de_SA_lógica] [-soft] [-confirm] [{-dialup | -lan}]

Para excluir todas as diretivas dinâmicas, use a seguinte sintaxe:
ipseccmd -u

Parâmetros
\\nome_do_computador
Especifica o nome de um computador remoto ao qual você deseja adicionar uma regra.
-f lista_de_filtros
Obrigatório para primeira sintaxe. Especifica um ou mais filtros, separados por espaços, para associações de segurança (SAs) de modo rápido. Cada especificação de filtro define um conjunto de tráfego de rede afetado por essa regra.
-n lista_de_diretivas_de_negociação
Especifica um ou mais métodos de segurança, separados por espaço, para o tráfego de segurança definido pela lista de filtros.
-t endereço_do_encapsulamento
Especifica o ponto de extremidade do encapsulamento do modo de encapsulamento como um endereço IP ou um nome de domínio DNS.
-a lista_de_métodos_de_autenticação
Especifica um ou mais métodos de autenticação, separados por espaços.
-1s lista_de_métodos_de_segurança
Especifica um ou mais métodos de segurança de troca de chaves, separados por espaços.
-1k configurações_de_recriação_de_chaves_de_modo_principal
Especifica as configurações de recriação de chaves da SA de modo principal.
-1p
Ativa o sigilo total na transferência de chave mestra.
-1f lista_de_filtros_para_modo_principal
Especifica uma ou mais especificações de filtros para SAs de modo principal, separadas por espaços.
-1e tempo_de_validade_de_SA_lógica
Especifica o tempo de validade das SAs lógicas em segundos.
-soft
Ativa SAs lógicas.
-confirm
Especifica que apareça uma solicitação de confirmação antes que a regra ou diretiva seja adicionada.
{-dialup | -lan}
Especifica se a regra aplica-se apenas a acesso remoto ou conexões dial-up, ou se a regra aplica-se apenas a conexões de rede local (LAN).
-u
Obrigatório para a segunda sintaxe. Especifica que todas as regras dinâmicas são excluídas.
/?
Exibe ajuda no prompt de comando.
Comentários
O Ipseccmd não pode ser usado para configurar regras em computadores que executam o Windows 2000.
Se você não especificar o parâmetro nome_do_computador, a regra será adicionada ao computador local.
Se você usar o parâmetro nome_do_computador, deverá usá-lo antes de todos os outros parâmetros e deverá ter permissões de administrador no computador ao qual deseja adicionar a regra.
Para o parâmetro -f, uma especificação de filtro é um ou mais filtros separados por espaço e definidos pelo formato:
endereço_da_origem/máscara_da_origem:porta_da_origem=endereço_do_destino/máscara_do_destino:porta_do_destino:protocolo

Os parâmetros máscara_da_origem, porta_da_origem, máscara_do_destino e porta_do_destino são opcionais. Se você omiti-los, a máscara 255.255.255.255 e todas as portas serão usadas no filtro.
O parâmetro protocolo é opcional. Se você omiti-lo, todos os protocolos serão usados no filtro. Caso você especifique um protocolo, deverá especificar a porta ou preceder o protocolo por dois dois-pontos (::). (Consulte o primeiro exemplo de modo dinâmico.) O protocolo deve ser o último item no filtro. É possível usar os seguintes símbolos de protocolo: ICMP, UDP, RAW ou TCP.
Você pode criar filtros espelhados substituindo o sinal de igualdade (=) por um sinal de mais (+).
É possível substituir endereço_da_origem/máscara_da_origem ou endereço_do_destino/máscara_do_destino pelos valores da tabela a seguir. Valor Descrição
0 Meu endereço ou endereços
* Qualquer endereço
nome_DNS Nome de domínio DNS Caso o nome DNS resolva vários endereços, ele será ignorado.
GUID Um identificador global exclusivo (GUID) de uma interface de rede local na forma{12345678-1234-1234-1234-123456789ABC}. Não há suporte para a especificação de um GUID quando o parâmetro -n é usado no modo estático.

É possível ativar a regra de resposta padrão especificando o filtro como default.
Você pode especificar um filtro de permissão delimitando a especificação do filtro por parênteses. Você pode especificar um filtro de bloqueio delimitando a especificação do filtro por colchetes ([ ]).
Se estiver usando máscaras de sub-rede de classe de endereço Internet (essas máscaras são definidas em limites de octetos), você poderá usar notação curinga para especificar as máscaras de sub-rede. Por exemplo, 10.*.*.* é o mesmo que 10.0.0.0/255.0.0.0 e 10.92.*.* é o mesmo que 10.92.0.0/255.255.0.0.
Exemplos de filtro

Para criar filtros espelhados para filtrar o tráfego TCP entre Computador1 e Computador2, digite:

Computador1+Computador2::TCP

Para criar um filtro para todo o tráfego TCP da sub-rede 172.31.0.0/255.255.0.0, porta 80, para a sub-rede 10.0.0.0/255.0.0.0, porta 80, digite:

172.31.0.0/255.255.0.0:80=10.0.0.0/255.0.0.0:80:TCP

Para criar um filtro espelhado que permite o tráfego entre o endereço IP local e o endereço IP 10.2.1.1, digite:

(0+10.2.1.1)

No parâmetro -n, uma ou mais diretivas de negociação são separadas por espaços e seguem uma das formas abaixo:
esp[algoritmo_de_criptografia,algoritmo_de_autorização]recriação_de_chavesPFS[grupo]
ah[algoritmo_de_hash]
ah[algoritmo_de_hash]+esp[algoritmo_de_criptografia,algoritmo_de_autorização]
onde o algoritmo_de_criptografia pode ser none, des ou 3des; o algoritmo_de_autorização pode ser none, md5 ou sha; e algoritmo_de_hash pode ser md5 ou sha.

Não há suporte para a configuração esp[none,none].
O parâmetro sha refere-se ao algoritmo de hash SHA1.
O parâmetro recriação_de_chaves é opcional e especifica quantos quilobytes (indicados por um K depois do número) ou quantos segundos (indicados por um S depois do número) precedem uma recriação de chaves da SA de modo rápido. Para especificar os dois parâmetros da recriação de chaves, separe os dois números com uma barra (/). Por exemplo, para recriar chaves da SA de modo rápido a cada hora e depois de 5 megabytes de dados, digite:
3600S/5000K

O parâmetro PFS é opcional e ativa sigilo total na transferência de chave da sessão. Por padrão, o sigilo total na transferência de chave da sessão está desativado.
O parâmetro grupo é opcional e especifica o grupo Diffie-Hellman para sigilo total na transferência de chave da sessão. Para o grupo Low(1) Diffie-Hellman, especifique PFS1 ou P1. Para o grupo Medium(2) Diffie-Hellman, especifique PFS2 ou P2. Por padrão, o valor de grupo para sigilo total na transferência de chave da sessão é tirado das configurações de modo principal atuais.
Se as diretivas de negociação não forem especificadas, as diretivas padrão serão as seguintes:
esp[3des,sha]
esp[3des,md5]
esp[des,sha]
esp[des,md5]
Se o parâmetro -t for omitido, o modo de transporte IPSec será usado.
No parâmetro -a, um ou mais métodos de autenticação são separados por espaços e seguem uma das formas abaixo:
preshare:"seqüência_de_chave_pré-compartilhada"
Kerberos
cert:"informações_sobre_CA"
O parâmetro seqüência_de_chave_pré-compartilhada especifica a seqüência de caracteres da chave pré-compartilhada. O parâmetro informações_sobre_CA especifica o nome distinto do certificado como é exibido no snap-in de diretivas de segurança IP, quando o certificado é selecionado como um método de autenticação para uma regra. Os parâmetros seqüência_de_chave_pré-compartilhada e informações_sobre_CA distinguem maiúsculas de minúsculas. O método pode ser abreviado usando a primeira letra: p, k ou c. Caso o parâmetro -a seja omitido, o método de autenticação padrão será Kerberos.

No parâmetro -1s, um ou mais métodos de segurança de troca de chaves são separados por espaços e definidos com o seguinte formato:
algoritmo_de_criptografia-algoritmo_de_hash-número_do_grupo

onde o algoritmo_de_criptografia pode ser des ou 3des; o algoritmo_de_hash pode ser md5 ou sha; e o número_do_grupo pode ser 1 para o grupo Low(1) Diffie-Hellman ou 2 para o grupo Medium(2) Diffie-Hellman. Se o parâmetro -1s for omitido, os métodos de segurança de troca de chaves serão 3des-sha-2, 3des-md5-2, des-sha-1 e des-md5-1.

No parâmetro -1k, você pode especificar quantas SAs de modo rápido (indicadas colocando-se um Q depois do número) ou quantos segundos (indicados colocando-se um S depois do número) são necessários para recriar chaves para a SA de modo principal. Para especificar os dois parâmetros de recriação de chaves, separe os dois números com uma barra (/). Por exemplo, para recriar as chaves da SA de modo principal a cada 10 SAs de modo rápido e a cada hora, digite:
10Q/3600S

Se o parâmetro -1k for omitido, os valores padrão para recriação de chaves do modo principal serão um número ilimitado de SAs de modo rápido e 480 minutos.

O sigilo total na transferência de chave mestra está desativado por padrão.
No parâmetro -1f, a sintaxe para especificar filtro de modo principal é a mesma do parâmetro -f, exceto que você não pode especificar filtros de permissão, filtros de bloqueio, portas e protocolos. Se o parâmetro -1f for omitido, os filtros de modo principal serão criados automaticamente com base nos filtros de modo rápido.
Se o parâmetro -1e for omitido, o tempo de validade das SAs lógicas será 300 segundos. Contudo, as SAs lógicas estarão desativadas, a menos que você inclua o parâmetro -soft.
A confirmação está disponível somente para o modo dinâmico.
Se nem o parâmetro -dialup nem o parâmetro -lan forem especificados, a regra se aplicará a todos os adaptadores.
Exemplos
Para criar uma regra que utilize o cabeçalho de autenticação (AH) com hash MD5 para todo o tráfego de saída e entrada no computador local, digite:

ipseccmd -f 0+* -n ah[md5]

Para criar uma regra de encapsulamento do tráfego de 10.2.1.1 e 10.2.1.13 usando o ponto de extremidade de encapsulamento 10.2.1.13, com o modo de encapsulamento AH usando o algoritmo de hash SHA1, com sigilo total na transferência de chave mestra e com uma solicitação de confirmação da regra antes de criá-la, digite:

ipseccmd -f 10.2.1.1=10.2.1.13 -t 10.2.1.13 -n ah[sha] -1p -c

Para criar uma regra no computador chamado servcorp1 para todo o tráfego entre os computadores servcorp1 e servcorp2, usando a combinação de AH e carga de segurança de encapsulamento (ESP), com autenticação de chave pré-compartilhada, digite:

ipseccmd \\servcorp1 -f servcorp2+servcorp1 -n ah[md5]+esp[des,sha] -a p:"corpauth"

modo estático do ipseccmd

O modo estático do Ipseccmd pode ser usado para criar diretivas nomeadas e regras nomeadas. O modo estático também pode ser usado para modificar diretivas e regras existentes, contanto que elas tenham sido originalmente criadas com o Ipseccmd. A sintaxe para o modo estático combina a sintaxe do modo dinâmico com os parâmetros que ativam seu funcionamento no nível de diretiva.

Sintaxe
ipseccmd parâmetros_de_modo_dinâmico -w tipo[:local] -p nome_da_diretiva[:intervalo_de_pesquisa] -r nome_da_regra [{-x | -y}] [-o]

Parâmetros
parâmetros_de_modo_dinâmico
Obrigatório. Especifica um conjunto de parâmetros de modo dinâmico para uma regra IPSec, como foi descrito anteriormente.
-w tipo[:local]
Obrigatório. Especifica que as diretivas e as regras são gravadas no Registro local, no Registro de um computador remoto ou em um domínio Active Directory.
-p nome_da_diretiva[:intervalo_de_pesquisa]
Obrigatório. Especifica o nome da diretiva e a freqüência, em minutos, com que são verificadas alterações na diretiva. Se nome_da_diretiva contiver espaços, delimite o texto com aspas (isto é, "nome da diretiva").
-r nome_da_regra
Obrigatório. Especifica o nome da regra. Se nome_da_regra contiver espaços, delimite o texto com aspas (isto é, "nome da regra").
[{-x | -y}]
Especifica se a diretiva de Registro local está atribuída. O parâmetro -x especifica que a diretiva de Registro local está atribuída. O parâmetro -y especifica que a diretiva de Registro local não está atribuída.
-o
Especifica que a regra ou diretiva deve ser excluída.
/?
Exibe ajuda no prompt de comando.
Comentários
No parâmetro -w, o tipo é reg para especificar o Registro do computador local ou de um computador remoto, ou é ds para especificar Active Directory.
Se você especificar reg para o parâmetro tipo mas não usar o parâmetro local, a regra será criada no Registro do computador local.
Se você especificar reg para o parâmetro tipo e especificar o nome de um computador remoto no parâmetro local, a regra será criada no Registro do computador remoto especificado.
Se você especificar ds para o parâmetro tipo mas não usar o parâmetro local, a regra será criada no domínio Active Directory do qual o computador local é um membro.
Se você especificar ds para o parâmetro tipo e especificar um domínio Active Directory para o parâmetro local, a regra será criada no domínio especificado.
No parâmetro -p, caso já exista uma diretiva com esse nome, a regra especificada será adicionada à diretiva. Caso contrário, será criada uma diretiva com o nome que você especificou. Se você especificar um número inteiro no parâmetro intervalo_de_pesquisa, o intervalo de pesquisa da diretiva será definido com esse número de minutos.
No parâmetro -r, caso já exista uma regra com esse nome, a regra será modificada para refletir os parâmetros especificados no comando. Por exemplo, se você incluir o parâmetro -f em uma regra existente, somente os filtros dessa regra serão substituídos. Se não existir uma regra com o nome especificado, será criada uma regra com esse nome.
No parâmetro -o, todos os aspectos da diretiva especificada serão excluídos. Não utilize esse parâmetro caso você tenha outras diretivas que apontem para os objetos da diretiva que você deseja excluir.
O uso do modo estático difere em um aspecto do uso do modo dinâmico. Usando o modo dinâmico, você indica filtros de permissão e de bloqueio em lista_de_filtros, que você identifica com o uso do parâmetro -f. Usando o modo estático, você indica filtros de permissão e bloqueio em lista_de_diretivas_de_negociação, que você identifica com o uso do parâmetro -n. Além dos parâmetros descritos para lista_de_diretivas_de_negociação no modo dinâmico, você pode usar também os parâmetros block, pass ou inpass no modo estático. A tabela a seguir lista esses parâmetros e uma descrição de seu comportamento.

Parâmetro Descrição
block As diretivas restantes de lista_de_diretivas_de_negociação são ignoradas, e todos os filtros tornam-se filtros de bloqueio.
pass As diretivas restantes de lista_de_diretivas_de_negociação são ignoradas, e todos os filtros tornam-se filtros de permissão.
inpass Filtros de entrada permitirão comunicação inicial sem segurança, mas as respostas terão segurança, com o uso de IPSec.

Exemplos
Para criar uma diretiva chamada Diretiva de Domínio Padrão com um intervalo de pesquisa de 30 minutos no domínio Active Directory do qual o computador local é membro, com uma regra chamada Servidores com Segurança para o tráfego entre o computador local e os computadores chamados ServidorComSegurança1 e ServidorComSegurança2, usando o método Kerberos e o de autenticação de chave pré-compartilhada, digite:

ipseccmd -f 0+ServidorComSegurança1 0+ServidorComSegurança2 -a k p:"corpauth" -w ds -p "Diretiva de Domínio Padrão":30 -r "Servidores com Segurança"

Para criar e atribuir uma diretiva local chamada Minha Para Todos, com uma regra chamada Segurança no Meu Tráfego, usando um filtro espelhado de qualquer tráfego para o computador local, usando uma chave de pré-compartilhamento como o método de autenticação, digite:

ipseccmd -f 0+* -a p:"localauth" -w reg -p "Minha Para Todos" -r "Segurança no Meu Tráfego" -x

modo de consulta do ipseccmd

O modo de consulta do Ipseccmd pode ser usado para exibir dados do banco de dados de diretivas de segurança IPSec.

Sintaxe
ipseccmd [\\nome_do_computador] show {{[filters] | [policies] | [auth] | [stats] | [sas]} | all}

Parâmetros
\\nome_do_computador
Especifica, pelo nome, o computador remoto cujos dados você deseja exibir.
show
Obrigatório. Indica que o Ipseccmd deve ser executado no modo de consulta.
filters
Exibe os filtros de modo principal e modo rápido.
policies
Exibe as diretivas de modo principal e modo rápido.
auth
Exibe os métodos de autenticação de modo principal.
stats
Exibe estatísticas sobre Internet Key Exchange (IKE) e IPSec.
sas
Exibe associações de segurança (SAs) de modo principal e modo rápido.
all
Exibe todos os tipos de dados acima.
/?
Exibe ajuda no prompt de comando.
Comentários
O Ipseccmd não pode ser usado para exibir dados IPSec em computadores que executem o Windows 2000.
Se você não usar o parâmetro nome_do_computador, serão exibidas informações sobre o computador local.
Caso utilize o parâmetro nome_do_computador, você deverá usá-lo antes de todos os outros parâmetros, e deverá possuir permissões de administrador no computador cujas informações deseja exibir.
Exemplos
Para exibir os filtros de modo principal e modo rápido e as diretivas do computador local, digite:

ipseccmd show filters policies

Para exibir todas as informações IPSec do computador remoto Servidor1, digite o seguinte comando:

ipseccmd \\Servidor1 show all