Configurar definições de IPSec
O protocolo Internet Protocol Security (IPSec ou IPsec) é um conjunto de protocolos destinado a codificar dados transmitidos através de uma rede, incluindo redes de Internet. Enquanto o TLS codifica apenas os dados utilizados numa aplicação específica (por exemplo, um browser ou uma aplicação de correio eletrónico), o protocolo IPSec codifica a totalidade dos pacotes IP ou as cargas de pacotes IP, proporcionando um sistema de segurança mais versátil. O protocolo IPSec da máquina funciona em modo de transporte, em que as cargas de pacotes IP são codificadas. Com esta função, a máquina pode estabelecer ligação diretamente a um computador que se encontre na mesma rede privada virtual (VPN). Verifique os requisitos do sistema e defina a configuração necessária no computador antes de configurar a máquina.
Requisitos do sistema
O protocolo IPSec compatível com a máquina encontra-se em conformidade com RFC2401, RFC2402, RFC2406 e RFC4305.
|
Sistema operativo
|
Windows Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Modo de ligação
|
Modo de transporte
|
|
|
Protocolo de troca de chave
|
IKEv1 (modo principal)
|
|
|
Método de autenticação
|
Chave pré-partilhada
Assinatura digital
|
|
|
Algoritmo hash
(e comprimento da chave) |
HMAC-SHA1-96
HMAC-SHA2 (256 bits ou 384 bits)
|
|
|
Algoritmo de codificação
(e comprimento da chave) |
3DES-CBC
AES-CBC (128 bits, 192 bits ou 256 bits)
|
|
|
Algoritmo de troca de chave/grupo (e comprimento da chave)
|
Diffie-Hellman (DH)
Grupo 1 (768 bits)
Grupo 2 (1024 bits)
Grupo 14 (2048 bits)
|
|
|
ESP
|
Algoritmo hash
|
HMAC-SHA1-96
|
|
Algoritmo de codificação
(e comprimento da chave) |
3DES-CBC
AES-CBC (128 bits, 192 bits ou 256 bits)
|
|
|
Algoritmo hash/algoritmo de codificação (e comprimento da chave)
|
AES-GCM (128 bits, 192 bits ou 256 bits)
|
|
|
AH
|
Algoritmo hash
|
HMAC-SHA1-96
|
 |
Restrições funcionais do IPSecO IPSec é compatível com comunicação para um endereço unicast (ou dispositivo individual).
A máquina não pode utilizar IPSec e DHCPv6 simultaneamente.
O IPSec não está disponível em redes com implementação de disfarce de NAT ou IP.
Utilizar IPSec com um filtro de endereços IPAs definições de filtro de endereços IP são aplicadas antes das políticas de IPSec.
|
Configurar definições de IPSec
Antes de utilizar IPSec para comunicação codificada, é necessário registar políticas de segurança. Uma política de segurança é constituída pelos grupos de definições descritos abaixo. É possível registar até 10 políticas. Depois de registar as políticas, especifique a ordem pela qual devem ser aplicadas.
Seletor
O item Seletor define as condições de aplicação da comunicação através de IPSec por parte dos pacotes IP. É possível selecionar condições como, por exemplo, endereços IP e números de porta da máquina, e os dispositivos para comunicação.
IKE
O item IKE configura o IKEv1 que é utilizado para o protocolo de troca de chave. Tenha em atenção que as instruções variam consoante o método de autenticação selecionado.
[Método de Chave Pré-Compartilhada]
É possível partilhar uma chave com até 24 carateres alfanuméricos com os outros equipamentos. Ative TLS para a IU remota antes de especificar este método de autentificação (Ativar a comunicação codificada através de TLS para a IU remota).
É possível partilhar uma chave com até 24 carateres alfanuméricos com os outros equipamentos. Ative TLS para a IU remota antes de especificar este método de autentificação (Ativar a comunicação codificada através de TLS para a IU remota).
[Método de Assinatura Digital]
A máquina e os outros dispositivos autenticam-se mutuamente através da verificação das respetivas assinaturas digitais. Crie ou instale o par de chaves previamente (Utilizar pares de chaves e certificados digitais emitidos por uma AC).
A máquina e os outros dispositivos autenticam-se mutuamente através da verificação das respetivas assinaturas digitais. Crie ou instale o par de chaves previamente (Utilizar pares de chaves e certificados digitais emitidos por uma AC).
AH/ESP
Especifique as definições de AH/ESP, que é adicionado aos pacotes durante a comunicação através de IPSec. É possível utilizar AH e ESP simultaneamente. Também pode selecionar se pretende ou não ativar a função PFS para reforçar a segurança.
1
Inicie a UI Remota e inicie sessão no Modo do Administrador de Sistema.Iniciar a UI Remota
2
Clique em [Configurações/Registro].
3
Clique em [Configurações de Segurança] 
[Configurações IPSec].
[Configurações IPSec].
4
Clique em [Editar].
5
Selecione a caixa de verificação [Usar IPSec] e clique em [OK].
Se pretender que a máquina receba apenas pacotes que correspondam a uma das políticas de segurança definidas nos passos abaixo, desmarque a caixa de verificação [Receber Pacotes de Não Política].
6
Clique em [Registrar Nova Política].
7
Especifique as definições de política.
|
1
|
Na caixa de texto [Nome da Política], introduza até 24 carateres alfanuméricos para um nome utilizado para identificar a política.
|
|
2
|
Selecione a caixa de verificação [Ativar Política].
 |
8
Especifique as definições de seletor.
[Endereço Local]
Clique no botão de opção correspondente ao tipo de endereço IP da máquina para aplicar a política.
Clique no botão de opção correspondente ao tipo de endereço IP da máquina para aplicar a política.
|
[Todos os Endereços IP]
|
Selecione esta opção para utilizar IPSec para todos os pacotes.
|
|
[Endereço IPv4]
|
Selecione esta opção para utilizar IPSec para todos os pacotes IP que sejam enviados para ou a partir do endereço IPv4 da máquina.
|
|
[Endereço IPv6]
|
Selecione esta opção para utilizar IPSec para todos os pacotes IP que sejam enviados para ou a partir do endereço IPv6 da máquina.
|
[Endereço Remoto]
Clique no botão de opção correspondente ao tipo de endereço IP dos outros dispositivos para aplicar a política.
Clique no botão de opção correspondente ao tipo de endereço IP dos outros dispositivos para aplicar a política.
|
[Todos os Endereços IP]
|
Selecione esta opção para utilizar IPSec para todos os pacotes.
|
|
[Todos os Endereços IPv4]
|
Selecione esta opção para utilizar IPSec para todos os pacotes IP que sejam enviados para ou a partir de endereços IPv4 de outros dispositivos.
|
|
[Todos os Endereços IPv6]
|
Selecione esta opção para utilizar IPSec para todos os pacotes IP que sejam enviados para ou a partir de endereços IPv6 de outros dispositivos.
|
|
[Configurações Manuais de IPv4]
|
Selecione esta opção para especificar um endereço IPv4 individual ou um intervalo de endereços IPv4 para aplicar o IPSec. Introduza o endereço IPv4 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente].
|
|
[Configurações Manuais de IPv6]
|
Selecione esta opção para especificar um endereço IPv6 individual ou um intervalo de endereços IPv6 para aplicar o IPSec. Introduza o endereço IPv6 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente].
|
[Endereços a Serem Definidos Manualmente]
Se selecionar [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] para [Endereço Remoto], introduza o endereço IP para aplicar a política. Também pode introduzir um intervalo de endereços inserindo um hífen entre os endereços.
Se selecionar [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] para [Endereço Remoto], introduza o endereço IP para aplicar a política. Também pode introduzir um intervalo de endereços inserindo um hífen entre os endereços.
Introduzir endereços IP
|
Descrição
|
Exemplo
|
|
|
Introduzir um endereço IP individual
|
IPv4:
Delimite os números com pontos. |
192.168.0.10
|
|
IPv6:
Delimite os carateres alfanuméricos com dois pontos duplos. |
fe80::10
|
|
|
Especificar um intervalo de endereços
|
Insira um hífen entre os endereços.
|
192.168.0.10-192.168.0.20
|
[Configurações de Sub-rede]
Quando especificar um endereço IPv4 manualmente, pode indicar o intervalo utilizando uma máscara de sub-rede. Introduza a máscara de sub-rede utilizando pontos para delimitar os números (exemplo: "255.255.255.240").
Quando especificar um endereço IPv4 manualmente, pode indicar o intervalo utilizando uma máscara de sub-rede. Introduza a máscara de sub-rede utilizando pontos para delimitar os números (exemplo: "255.255.255.240").
[Comprimento do Prefixo]
Ao especificar o intervalo de endereços IPv6 manualmente, também é possível fazê-lo utilizando prefixos. Introduza um intervalo entre 0 e 128 como comprimento de prefixo.
Ao especificar o intervalo de endereços IPv6 manualmente, também é possível fazê-lo utilizando prefixos. Introduza um intervalo entre 0 e 128 como comprimento de prefixo.
[Porta Local]/[Porta Remota]
Se pretender criar políticas separadas para cada protocolo (por exemplo, HTTP ou RAW), introduza o número de porta adequado para o protocolo determinar se deve utilizar IPSec.
Se pretender criar políticas separadas para cada protocolo (por exemplo, HTTP ou RAW), introduza o número de porta adequado para o protocolo determinar se deve utilizar IPSec.
O IPSec não é aplicado aos seguintes pacotes
Pacotes de loopback, multicast e difusão
Pacotes de IKE (que utilizam UDP na porta 500)
Pacotes de solicitação de vizinho e anúncio de vizinho ICMPv6
9
Especifique as definições de IKE.
[Modo IKE]
É apresentado o modo utilizado para o protocolo de troca de chave. A máquina é compatível com o modo principal, não com o modo agressivo.
É apresentado o modo utilizado para o protocolo de troca de chave. A máquina é compatível com o modo principal, não com o modo agressivo.
[Método de Autenticação]
Selecione [Método de Chave Pré-Compartilhada] ou [Método de Assinatura Digital] para o método utilizado ao autenticar a máquina. Tem de ativar TLS para a IU remota antes de selecionar [Método de Chave Pré-Compartilhada] (Ativar a comunicação codificada através de TLS para a IU remota). em de gerar ou instalar um par de chaves antes de selecionar [Método de Assinatura Digital] (Configurar definições para pares de chaves e certificados digitais).
Selecione [Método de Chave Pré-Compartilhada] ou [Método de Assinatura Digital] para o método utilizado ao autenticar a máquina. Tem de ativar TLS para a IU remota antes de selecionar [Método de Chave Pré-Compartilhada] (Ativar a comunicação codificada através de TLS para a IU remota). em de gerar ou instalar um par de chaves antes de selecionar [Método de Assinatura Digital] (Configurar definições para pares de chaves e certificados digitais).
[Válido para]
Especifique o tempo de duração de uma sessão para IKE SA (ISAKMP SA). Introduza o tempo em minutos.
Especifique o tempo de duração de uma sessão para IKE SA (ISAKMP SA). Introduza o tempo em minutos.
[Autenticação]/[Criptografia]/[Grupo DH]
Selecione um algoritmo na lista pendente. Cada algoritmo é utilizado na troca de chave.
Selecione um algoritmo na lista pendente. Cada algoritmo é utilizado na troca de chave.
|
[Autenticação]
|
Selecione o algoritmo hash.
|
|
[Criptografia]
|
Selecione o algoritmo de codificação.
|
|
[Grupo DH]
|
Selecione o grupo Diffie-Hellman, que determina a força da chave.
|
Utilizar uma chave pré-partilhada para autenticação
|
1
|
Clique no botão de opção [Método de Chave Pré-Compartilhada] para [Método de Autenticação] e clique em [Configurações de Chave Compartilhada].
|
|
2
|
Introduza até 24 carateres alfanuméricos para a chave pré-partilhada e clique em [OK].
 |
|
3
|
Especifique as definições [Válido para] e [Autenticação]/[Criptografia]/[Grupo DH].
|
Utilizar um par de chaves e certificados AC pré-instalados para autenticação
|
1
|
Clique no botão de opção [Método de Assinatura Digital] para [Método de Autenticação] e clique em [Chave e Certificado].
|
|
2
|
Clique em [Registrar Chave Padrão] à direita de um par de chaves que pretenda utilizar.
 Ver os detalhes de um par de chaves ou certificado
Pode verificar os detalhes do certificado ou confirmar o certificado clicando na ligação de texto correspondente por baixo de [Nome da Chave] ou no ícone de certificado. Verificar pares de chaves e certificados digitais
|
|
3
|
Especifique as definições [Válido para] e [Autenticação]/[Criptografia]/[Grupo DH].
|
10
Especifique as definições de rede de IPSec.
[Usar PFS]
Selecione a caixa de verificação para ativar a função de sigilo perfeito de encaminhamento (PFS) para chaves de sessões de IPSec. A ativação da função PFS reforça a segurança enquanto aumenta a carga sobre a comunicação. Certifique-se de que a função PFS também está ativada para os outros dispositivos.
Selecione a caixa de verificação para ativar a função de sigilo perfeito de encaminhamento (PFS) para chaves de sessões de IPSec. A ativação da função PFS reforça a segurança enquanto aumenta a carga sobre a comunicação. Certifique-se de que a função PFS também está ativada para os outros dispositivos.
[Especificar por Hora]/[Especificar por Tamanho]
Defina as condições de encerramento de uma sessão para SA de IPSec. A SA de IPSec é utilizada como um túnel de comunicação. Selecione uma das caixas de verificação ou ambas as caixas conforme necessário. Se selecionar as duas caixas de verificação, a sessão de SA de IPSec é encerrada quando qualquer uma das condições for cumprida.
Defina as condições de encerramento de uma sessão para SA de IPSec. A SA de IPSec é utilizada como um túnel de comunicação. Selecione uma das caixas de verificação ou ambas as caixas conforme necessário. Se selecionar as duas caixas de verificação, a sessão de SA de IPSec é encerrada quando qualquer uma das condições for cumprida.
|
[Especificar por Hora]
|
Introduza um período de tempo em minutos para especificar a duração de uma sessão.
|
|
[Especificar por Tamanho]
|
Introduza um tamanho em megabytes para especificar o volume de dados que pode ser transportado numa sessão.
|
[Selecionar Algoritmo]
Selecione a(s) caixa(s) de verificação [ESP], [ESP (AES-GCM)] ou [AH (SHA1)] consoante o cabeçalho de IPSec e o algoritmo utilizados. AES-GCM é um algoritmo utilizado para autenticação e codificação. Se selecionar [ESP], selecione também os algoritmos de autenticação e codificação nas listas pendentes [Autenticação ESP] e [Criptografia ESP].
Selecione a(s) caixa(s) de verificação [ESP], [ESP (AES-GCM)] ou [AH (SHA1)] consoante o cabeçalho de IPSec e o algoritmo utilizados. AES-GCM é um algoritmo utilizado para autenticação e codificação. Se selecionar [ESP], selecione também os algoritmos de autenticação e codificação nas listas pendentes [Autenticação ESP] e [Criptografia ESP].
|
[Autenticação ESP]
|
Para ativar a autenticação ESP, selecione [SHA1] para o algoritmo hash. Selecione [Não Usar] se pretender desativar a autenticação ESP.
|
|
[Criptografia ESP]
|
Selecione o algoritmo de codificação para ESP. Pode selecionar [NULO] se não pretender especificar o algoritmo ou pode selecionar [Não Usar] se pretender desativar a codificação ESP.
|
[Modo de Conexão]
É apresentado o modo de ligação de IPSec. A máquina é compatível com o modo de transporte, no qual as cargas de pacotes IP são codificadas. O modo de túnel, que abrange a totalidade dos pacotes IP (cabeçalhos e cargas), não está disponível.
É apresentado o modo de ligação de IPSec. A máquina é compatível com o modo de transporte, no qual as cargas de pacotes IP são codificadas. O modo de túnel, que abrange a totalidade dos pacotes IP (cabeçalhos e cargas), não está disponível.
11
Clique em [OK].
Se precisar de registar uma política de segurança adicional, volte ao passo 6.
12
Ordene as políticas listadas por baixo de [Políticas de IPSec Registradas].
As políticas são aplicadas começando pela que se encontra na posição mais elevada até à que se encontra na posição mais baixa. Clique em [Para cima] ou [Para baixo] para mover uma política para cima ou para baixo na lista ordenada.
Editar uma política
Clique na ligação de texto correspondente por baixo de [Nome da Política] para aceder ao ecrã de edição.
Apagar uma política
Clique em [Excluir] à direita do nome da política que pretende apagar clique em [OK].
clique em [OK].13
Reinicie a máquina.
Desligue a máquina, aguarde pelo menos 10 segundos e volte a ligá-la.
|
|
Utilizar o painel de controloPode ativar ou desativar a comunicação através de IPSec premindo
 no painel de controlo. Usar IPSec |