Configurando as definições IPSec
A segurança de protocolo da internet (IPSec ou IPSec) é uma suite de protocolos para codificar dados transportados em uma rede, incluindo as redes de internet. Enquanto o TLS codifica somente dados usados em um aplicativo específico, como um navegador da web ou um aplicativo de e-mails, o IPSec codifica pacotes IP completos ou as cargas úteis de pacotes IP, oferecendo um sistema de segurança versátil. O IPSec da máquina funciona em modo transporte, no qual as cargas úteis de pacotes IP são codificados. Com este recurso, a máquina pode se conectar diretamente a um computador que esteja na mesma rede virtual privada (VPN). Verifique os requisitos do sistema e defina as configurações necessárias no computador antes de configurar a máquina.
Requerimentos do sistema
IPSec suportada pela máquina conforme a RFC2401, RFC2402, RFC2406, e RFC4305.
|
Sistema operacional
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Modo conexão
|
Modo transporte
|
|
|
Protocolo de troca de chave
|
IKEv1 (modo principal)
|
|
|
Método de autenticação
|
Chave pré-configurada
Assinatura digital
|
|
|
Algoritmo Hash
(e comprimento de chave) |
HMAC-SHA1-96
HMAC-SHA2 (256 bits ou 384 bits)
|
|
|
Algoritmo de codificação
(e comprimento de chave) |
3DES-CBC
AES-CBC (128 bits, 192 bits, ou 256 bits)
|
|
|
Grupo/Algoritmo de troca de chave (e comprimento de chave)
|
Diffie-Hellman (DH)
Grupo 1 (768 bits)
Grupo 2 (1.024 bits)
Grupo 14 (2.048 bits)
|
|
|
ESP
|
Algoritmo Hash
|
HMAC-SHA1-96
|
|
Algoritmo de codificação
(e comprimento de chave) |
3DES-CBC
AES-CBC (128 bits, 192 bits, ou 256 bits)
|
|
|
Algoritmo Hash/Algoritmo de codificação (e comprimento de chave)
|
AES-GCM (128 bits, 192 bits, ou 256 bits)
|
|
|
AH
|
Algoritmo Hash
|
HMAC-SHA1-96
|
|
NOTA
|
Restrições funcionais IPSecIPSec suporta comunicação para um endereço unicast (ou um dispositivo único).
A máquina não pode usar IPSec e DHCPv6 ao mesmo tempo.
IPSec não está disponível em redes nas quais NAT ou máscara IP estejam implementadas.
Usando o IPSec com o filtro de endereço IPAs configurações de filtro de endereço IP são aplicadas antes das políticas IPSec.
|
Configurando as definições IPSec
Antes de usar IPSec para a comunicação codificada IPSec, você precisa registrar políticas de segurança (SP). Uma política de segurança consiste de grupos de definições descritas abaixo. Até 10 políticas podem ser registradas. Após registrar políticas, especifique a ordem na qual elas são aplicadas.
Seletor
O seletor define as condições para pacotes IP aplicarem a comunicação IPSec. Condições selecionáveis incluem endereço IP e números de porta da máquina e os dispositivos com os quais se comunicar.
IKE
IKE configura o IKEv1 usado para o protocolo de troca de chave. Observe que as instruções variam dependendo do método de autenticação selecionável.
[Método de Chave Pré-Compartilhada:]
Uma chave com até 24 caracteres alfanuméricos pode ser compartilhada com outros dispositivos. Ative TLS para a IU remota antes de especificar o método de autenticação (Ativando a comunicação codificada TLS para a IU remota).
Uma chave com até 24 caracteres alfanuméricos pode ser compartilhada com outros dispositivos. Ative TLS para a IU remota antes de especificar o método de autenticação (Ativando a comunicação codificada TLS para a IU remota).
[Método de Assinatura Digital:]
A máquina e outros dispositivos autenticam um o outro verificando mutuamente suas assinaturas digitais. Gere ou instale o par de chaves de antemão (Configurando as definições para pares de chave e certificados digitais).
A máquina e outros dispositivos autenticam um o outro verificando mutuamente suas assinaturas digitais. Gere ou instale o par de chaves de antemão (Configurando as definições para pares de chave e certificados digitais).
AH/ESP
Especifique as configurações para AH/ESP, adicionado aos pacotes durante a comunicação IPSec. AH e ESP podem ser usados ao mesmo tempo. Você pode selecionar também se deseja ativar ou não o PFS para uma segurança mais firme.
1
Inicie a IU remota e faça o logon no modo Gerente Sistema. Iniciando a IU remota
2
Clique em [Configurações/Registro].
3
Clique em [Configurações de Segurança] 
[Configurações IPSec].
[Configurações IPSec].
4
Clique em [Editar...].
5
Marque a caixa de seleção [Usar IPSec] e clique em [OK].
Se você deseja que a máquina receba somente pacotes compatíveis com uma das políticas de segurança definidas por você nas etapas abaixo, limpe a caixa de seleção [Receber Pacotes de Não Política].
6
Clique em [Registrar Nova Política...].
7
Especifique as definições da política.
|
1
|
Na caixa de texto [Nome da Política], insira até 24 caracteres alfanuméricos para um nome usado para identificar a política.
|
|
2
|
Marque a caixa de seleção [Ativar Política].
 |
8
Especifique as definições do seletor.
[Endereço Local:]
Clique no botão de rádio para o tipo de endereço IP da máquina para aplicar a política.
Clique no botão de rádio para o tipo de endereço IP da máquina para aplicar a política.
|
[Todos os Endereços IP]
|
Selecione para usar IPSec para todos os pacotes IP.
|
|
[Endereço IPv4]
|
Selecione para usar IPSec para todos os pacotes IP enviados para e a partir do endereço IPv4 da máquina.
|
|
[Endereço IPv6]
|
Selecione para usar IPSec para todos os pacote IP enviados para e a partir do endereço IPv6 da máquina.
|
[Endereço Remoto:]
Clique no botão de rádio para o tipo de endereço IP de outros dispositivos para aplicar a política.
Clique no botão de rádio para o tipo de endereço IP de outros dispositivos para aplicar a política.
|
[Todos os Endereços IP]
|
Selecione para usar IPSec para todos os pacotes IP.
|
|
[Todos os Endereços IPv4]
|
Selecione para usar IPSec para todos os pacotes IP enviados para e a partir de endereços IPv4 de outros dispositivos.
|
|
[Todos os Endereços IPv6]
|
Selecione para usar IPSec para todos os pacotes IP enviados para e a partir de endereços IPv6 de outros dispositivos.
|
|
[Configurações Manuais de IPv4]
|
Selecione para especificar um endereço IPv4 único ou um intervalo de endereços IPv4 para aplicar o IPSec. insira o endereço IPv4 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente:].
|
|
[Configurações Manuais de IPv6]
|
Selecione para especificar um endereço IPv6 único ou um intervalo de endereços IPv6 para aplicar o IPSec. insira o endereço IPv6 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente:].
|
[Endereços a Serem Definidos Manualmente:]
Se [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] é selecionado para [Endereço Remoto:], insira o endereço IP para aplicar a política. Você pode também inserir um intervalo de endereços colocando um hífen entre os endereços.
Se [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] é selecionado para [Endereço Remoto:], insira o endereço IP para aplicar a política. Você pode também inserir um intervalo de endereços colocando um hífen entre os endereços.
NOTA:
Digitando endereços IP
Digitando endereços IP
|
Descrição
|
Exemplo
|
|
|
Digitando um único endereço
|
IPv4:
Delimite os número com pontos. |
192.168.0.10
|
|
IPv6:
Delimite os caracteres alfanuméricos com vírgulas. |
fe80::10
|
|
|
Especificando um intervalo de endereços
|
Insira um hífen entre os endereços.
|
192.168.0.10-192.168.0.20
|
|
Especificando um intervalo de endereços com um prefixo (somente IPv6)
|
Digite o endereço, seguido de uma barra e um número indicado o comprimento do prefixo.
|
fe80::1234/64
|
[Configurações de Sub-rede:]
Ao especificar manualmente o endereço IPv4, você pode expressar o intervalo usando a máscara de sub-rede. Insira a máscara de sub-rede usando pontos para delimitar os números (Exemplo: "255.255.255.240").
Ao especificar manualmente o endereço IPv4, você pode expressar o intervalo usando a máscara de sub-rede. Insira a máscara de sub-rede usando pontos para delimitar os números (Exemplo: "255.255.255.240").
[Comprimento do Prefixo:]
Ao especificar manualmente o IPv6, você pode definir o comprimento do prefixo.
Ao especificar manualmente o IPv6, você pode definir o comprimento do prefixo.
[Porta Local:]/[Porta Remota:]
Se você deseja criar políticas separadas para cada protocolo, como HTTP ou SMTP, insira o número da porta apropriada para o protocolo para determinar o uso ou não do IPSec.
Se você deseja criar políticas separadas para cada protocolo, como HTTP ou SMTP, insira o número da porta apropriada para o protocolo para determinar o uso ou não do IPSec.
IMPORTANTE:
IPSec não é aplicado aos seguintes pacotes
IPSec não é aplicado aos seguintes pacotes
Pacotes de transmissão, Loopback e multicast
Pacotes IKE (usando UDP na porta 500)
Pacotes de notificação do vizinho e solicitação do vizinho ICMPv6
9
Especifique as definições IKE.
[Modo IKE:]
O modo usado para o protocolo de troca de chave é exibido. A máquina suporta o modo principal, não o modo agressivo.
O modo usado para o protocolo de troca de chave é exibido. A máquina suporta o modo principal, não o modo agressivo.
[Método de Autenticação:]
Selecione [Método de Chave Pré-Compartilhada:] ou [Método de Assinatura Digital:] para o método usado ao autenticar a máquina. Você precisa ativar o TLS para a IU remota antes de selecionar [Método de Chave Pré-Compartilhada:] (Ativando a comunicação codificada TLS para a IU remota). Você precisa gerar ou instalar um par de chaves antes de selecionar [Método de Assinatura Digital:] (Configurando as definições para pares de chave e certificados digitais).
Selecione [Método de Chave Pré-Compartilhada:] ou [Método de Assinatura Digital:] para o método usado ao autenticar a máquina. Você precisa ativar o TLS para a IU remota antes de selecionar [Método de Chave Pré-Compartilhada:] (Ativando a comunicação codificada TLS para a IU remota). Você precisa gerar ou instalar um par de chaves antes de selecionar [Método de Assinatura Digital:] (Configurando as definições para pares de chave e certificados digitais).
[Válido para:]
Especifique a duração para IKE SA (ISAKMP SA). Insira o tempo em minutos.
Especifique a duração para IKE SA (ISAKMP SA). Insira o tempo em minutos.
[Autenticação:]/[Criptografia:]/[Grupo DH:]
Selecione um algoritmo da lista suspensa. Cada algoritmo é usado na troca de chave.
Selecione um algoritmo da lista suspensa. Cada algoritmo é usado na troca de chave.
|
[Autenticação:]
|
Selecione o algoritmo hash.
|
|
[Criptografia:]
|
Selecione o algoritmo de codificação.
|
|
[Grupo DH:]
|
Selecione o grupo Diffie-Hellman, que determina a força da chave.
|
Usando uma chave pré-determinada para a autenticação
|
1
|
Clique no botão de opção [Método de Chave Pré-Compartilhada:] para [Método de Autenticação:] e depois clique em [Configurações de Chave Compartilhada...].
|
|
2
|
Insira até 24 caracteres alfanuméricos para a chave pré-compartilhada e clique em [OK].
 |
|
3
|
Especifique as configurações [Válido para:] e [Autenticação:]/[Criptografia:]/[Grupo DH:].
|
Usando um par de chave e certificados CA pré-instalados para a autenticação
|
1
|
Clique no botão de opção [Método de Assinatura Digital:] para [Método de Autenticação:] e depois clique em [Chave e Certificado...].
|
|
2
|
Clique em [Registrar Chave Padrão] à direita de um par de chaves que você deseja usar.
 NOTA:
Visualizando detalhes de um par de chaves ou certificado Você pode conferir detalhes do certificado ou verificar o certificado clicando no link de texto correspondente sob [Nome da Chave], ou no ícone do certificado. Verificando os pares de chaves e certificados digitais
|
|
3
|
Especifique as configurações [Válido para:] e [Autenticação:]/[Criptografia:]/[Grupo DH:].
|
10
Especifique as definições de rede IPSec.
[Usar PFS]
Selecione a caixa de verificação para ativar o Perfect Forward Secrecy (PFS) para as chaves de sessões IPSec. Ativar o PFS aumenta a segurança ao aumentar a carga na comunicação. Certifique-se que o PFS também esteja ativado para outros dispositivos.
Selecione a caixa de verificação para ativar o Perfect Forward Secrecy (PFS) para as chaves de sessões IPSec. Ativar o PFS aumenta a segurança ao aumentar a carga na comunicação. Certifique-se que o PFS também esteja ativado para outros dispositivos.
[Especificar por Hora]/[Especificar por Tamanho]
Defina as condições para finalizar a sessão para IPSec SA. IPSec SA é usado como um túnel de comunicação. Selecione uma das caixas de verificação ou ambas conforme necessário. Se ambas as caixas de verificação, a sessão SA é finalizada quando uma das condições for satisfeita.
Defina as condições para finalizar a sessão para IPSec SA. IPSec SA é usado como um túnel de comunicação. Selecione uma das caixas de verificação ou ambas conforme necessário. Se ambas as caixas de verificação, a sessão SA é finalizada quando uma das condições for satisfeita.
|
[Especificar por Hora]
|
Insira um tempo em minutos para especificar a duração da sessão.
|
|
[Especificar por Tamanho]
|
Insira um tamanho em megabytes para especificar o quanto pode ser transportado em uma sessão.
|
[Selecionar Algoritmo:]
Selecione a(s) caixa(s) de seleção [ESP], [ESP (AES-GCM)], ou [AH (SHA1)] dependendo do cabeçalho IPSec e do algoritmo usado. AES-GCM é um algoritmo tanto para autenticação como para codificação. Se [ESP] for selecionado, selecione também algoritmos para autenticação e codificação nas listas [Autenticação ESP:] e [Criptografia ESP:].
Selecione a(s) caixa(s) de seleção [ESP], [ESP (AES-GCM)], ou [AH (SHA1)] dependendo do cabeçalho IPSec e do algoritmo usado. AES-GCM é um algoritmo tanto para autenticação como para codificação. Se [ESP] for selecionado, selecione também algoritmos para autenticação e codificação nas listas [Autenticação ESP:] e [Criptografia ESP:].
|
[Autenticação ESP:]
|
Para ativar a autenticação ESP, selecione [SHA1] para o algoritmo hash. Selecione [Não Usar] se você deseja desativar a autenticação ESP.
|
|
[Criptografia ESP:]
|
Selecione o algoritmo de codificação para ESP. Você pode selecionar [NULO] se não quiser especificar o algoritmo ou selecionar [Não Usar] se não quiser desativar a codificação ESP.
|
[Modo de Conexão]
O modo de conexão de IPSec é exibido. A máquina suporta o modo transporte, no qual as cargas úteis dos pacotes IP são codificadas. Modo túnel, no qual os pacotes IP completos (cabeçalhos e cargas úteis são) são encapsulados, não está disponível.
O modo de conexão de IPSec é exibido. A máquina suporta o modo transporte, no qual as cargas úteis dos pacotes IP são codificadas. Modo túnel, no qual os pacotes IP completos (cabeçalhos e cargas úteis são) são encapsulados, não está disponível.
11
Clique em [OK].
Se você não precisar registrar uma política de segurança adicional, retorne para a etapa 6.
12
Organize a ordem das políticas relacionadas sob [Políticas de IPSec Registradas].
As políticas são aplicadas da posição mais alta para a posição mais baixa. Clique em [Para cima] ou [Para baixo] para mover a política para cima ou para baixo na ordem.
OBSERVAÇÃO:
Para editar uma política
Clique no link de texto correspondente em [Nome da Política] para a tela de edição.
Para editar uma política
Clique no link de texto correspondente em [Nome da Política] para a tela de edição.
Excluindo uma política
Clique em [Excluir] à direita do nome da política que você deseja excluir e clique em [OK].
e clique em [OK].13
Reinicie a máquina.
DESLIGUE a máquina, espere pelo menos 10 segundos e LIGUE-A novamente.