Configurando as definições IPSec

O Protocolo de segurança da internet (IPSec ou IPsec) é uma suíte de protocolos para codificar dados transportados em uma rede, incluindo as redes de internet. Enquanto o TLS codifica somente dados usados em um aplicativo específico, como um navegador da web ou um aplicativo de e-mails, o IPSec codifica pacotes IP completos ou as cargas úteis de pacotes IP, oferecendo um sistema de segurança mais versátil. O IPSec da máquina funciona em modo transporte, no qual as cargas úteis de pacotes IP são codificadas. Com este recurso, a máquina pode se conectar diretamente a um computador que esteja na mesma rede virtual privada (VPN). Verifique os requisitos do sistema (Funções de gerenciamento) e defina as configurações necessárias no computador antes de configurar a máquina.
Usando o IPSec com o filtro de endereço IP
As configurações de filtragem de endereço IP são aplicadas antes das políticas IPSec. Especificando endereços IP para configurações de firewall

Configurando as definições IPSec

Antes de usar IPSec para a comunicação codificada IPSec, você precisa registrar políticas de segurança (SP). Uma política de segurança consiste de grupos de definições descritas abaixo. Após registrar políticas, especifique a ordem na qual elas são aplicadas.
Seletor
O seletor define as condições para pacotes IP aplicarem a comunicação IPSec. Condições selecionáveis incluem endereço IP e números de porta da máquina e os dispositivos com os quais se comunicar.
IKE
IKE configura o IKEv1 usado para o protocolo de troca de chave. Observe que as instruções variam dependendo do método de autenticação selecionável.
[Método de Chave Pré-Compartilhada]
Este método de autenticação usa uma palavra-chave comum, denominada Chave Compartilhada, para a comunicação entre a máquina e outros dispositivos. Ative o TLS para a Interface Remota antes de especificar este método de autenticação (Configurando a chave e o certificado para TLS).
[Método de Assinatura Digital]
A máquina e outros dispositivos autenticam um o outro verificando mutuamente suas assinaturas digitais. Gere ou instale a chave e o certificado de chaves de antemão (Registrando a chave e certificado para a comunicação de rede).
AH/ESP
Especifique as configurações para AH/ESP, adicionado aos pacotes durante a comunicação IPSec. AH e ESP podem ser usados ao mesmo tempo. Você pode selecionar também se deseja ativar ou não o PFS para uma segurança mais firme.
 
Para mais informações sobre as operações básicas a serem executadas ao configurar a máquina a partir da Interface Remota, consulte Configurando as opções de menu a partir da Interface Remota.
1
Inicie a Interface Remota e faça login no modo Administrador Sistema. Iniciando a Interface Remota
2
Clique em [Configurações/Registro] na página do Portal. Tela da Interface Remota
3
Selecione [Configurações de Rede] [Configurações IPSec].
4
Clique em [Editar].
5
Marque a caixa de seleção [Usar IPSec] e clique em [OK].
Se você deseja que a máquina receba somente pacotes compatíveis com uma das políticas de segurança definidas por você nas etapas abaixo, limpe a caixa de seleção [Receber Pacotes de Não Política].
6
Clique em [Registrar Nova Política].
7
Especifique as definições da política.
1
Na caixa de texto [Nome da Política], insira os caracteres alfanuméricos para um nome usado para identificar a política.
2
Marque a caixa de seleção [Ativar Política].
8
Especifique as definições do seletor.
[Endereço Local]
Clique no botão de rádio para o tipo de endereço IP da máquina para aplicar a política.
[Todos os Endereços IP]
Selecione para usar IPSec para todos os pacotes IP.
[Endereço IPv4]
Selecione para usar IPSec para todos os pacotes IP enviados para e a partir do endereço IPv4 da máquina.
[Endereço IPv6]
Selecione para usar IPSec para todos os pacote IP enviados para e a partir do endereço IPv6 da máquina.
[Endereço Remoto]
Clique no botão de rádio para o tipo de endereço IP de outros dispositivos para aplicar a política.
[Todos os Endereços IP]
Selecione para usar IPSec para todos os pacotes IP.
[Todos os Endereços IPv4]
Selecione para usar IPSec para todos os pacotes IP enviados para e a partir de endereços IPv4 de outros dispositivos.
[Todos os Endereços IPv6]
Selecione para usar IPSec para todos os pacotes IP enviados para e a partir de endereços IPv6 de outros dispositivos.
[Configurações Manuais de IPv4]
Selecione para especificar um endereço IPv4 único ou um intervalo de endereços IPv4 para aplicar o IPSec. insira o endereço IPv4 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente].
[Configurações Manuais de IPv6]
Selecione para especificar um endereço IPv6 único ou um intervalo de endereços IPv6 para aplicar o IPSec. insira o endereço IPv6 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente].
[Endereços a Serem Definidos Manualmente]
Se [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] é selecionado para [Endereço Remoto], insira o endereço IP para aplicar a política. Você pode também inserir um intervalo de endereços colocando um hífen entre os endereços.
Inserindo um endereço IP
Descrição
Exemplo
Digitando um único endereço
IPv4:
Delimite os número com pontos.
192.168.0.10
IPv6:
Delimite os caracteres alfanuméricos com vírgulas.
fe80::10
Especificando um intervalo de endereços
Insira um hífen entre os endereços.
192.168.0.10-192.168.0.20
[Configurações de Sub-rede]
Ao especificar manualmente o endereço IPv4, você pode expressar o intervalo usando a máscara de sub-rede. Insira a máscara de sub-rede usando pontos para delimitar os números (exemplo: "255.255.255.240").
[Comprimento do Prefixo]
A especificação manual do intervalo de endereços IPv6 também permite especificar o intervalo usando prefixos. Digite um intervalo entre 0 e 128 como o comprimento do prefixo.
[Porta Local]/[Porta Remota]
Se você deseja criar políticas separadas para cada protocolo, como HTTP ou WSD, clique no botão de seleção [Porta Única] e insira o número da porta apropriada para o protocolo para determinar o uso ou não do IPSec.
O IPSec não é aplicado aos seguintes pacotes
Pacotes de transmissão, Loopback e multicast
Pacotes IKE (usando UDP na porta 500)
Pacotes de notificação do vizinho e solicitação do vizinho ICMPv6
9
Especifique as definições IKE.
[Modo IKE]
O modo usado para o protocolo de troca de chave é exibido. A máquina suporta o modo principal, não o modo agressivo.
[Método de Autenticação]
Selecione [Método de Chave Pré-Compartilhada] ou [Método de Assinatura Digital] para o método usado ao autenticar a máquina. Você precisa ativar o TLS para a Interface Remota antes de selecionar [Método de Chave Pré-Compartilhada]. Você precisa gerar ou instalar uma chave e certificado antes de selecionar [Método de Assinatura Digital]. Configurando a chave e o certificado para TLS
[Válido para]
Especifique a duração para IKE SA (ISAKMP SA). Insira o tempo em minutos.
[Autenticação]/[Criptografia]/[Grupo DH]
Selecione um algoritmo da lista suspensa. Cada algoritmo é usado na troca de chave.
[Autenticação]
Selecione o algoritmo hash.
[Criptografia]
Selecione o algoritmo de codificação.
[Grupo DH]
Selecione o grupo Diffie-Hellman, que determina a força da chave.
Autenticando uma máquina usando uma chave pré-compartilhada
1
Clique no botão de opção [Método de Chave Pré-Compartilhada] para [Método de Autenticação] e depois clique em [Configurações de Chave Compartilhada].
2
Insira os caracteres alfanuméricos para a chave pré-compartilhada e clique em [OK].
3
Especifique as configurações [Válido para] e [Autenticação]/[Criptografia]/[Grupo DH].
Autenticando uma máquina usando o método de assinatura digital
1
Clique no botão de opção [Método de Assinatura Digital] para [Método de Autenticação] e depois clique em [Chave e Certificado].
2
Clique em [Registrar Chave Padrão] à direita da chave e certificado que você deseja usar.
Visualizando detalhes de um certificado
Você pode conferir detalhes do certificado ou verificar o certificado clicando no link de texto correspondente sob [Nome da Chave], ou no ícone do certificado.
3
Especifique as configurações [Válido para] e [Autenticação]/[Criptografia]/[Grupo DH].
10
Especifique as definições de rede IPSec.
[Usar PFS]
Selecione a caixa de verificação para ativar o Perfect Forward Secrecy (PFS) para as chaves de sessões IPSec. Ativar o PFS aumenta a segurança ao aumentar a carga na comunicação. Certifique-se que o PFS também esteja ativado para outros dispositivos.
[Especificar por Hora]/[Especificar por Tamanho]
Defina as condições para finalizar a sessão para IPSec SA. IPSec SA é usado como um túnel de comunicação. Selecione uma das caixas de verificação ou ambas conforme necessário. Se ambas as caixas de verificação, a sessão SA é finalizada quando uma das condições for satisfeita.
[Especificar por Hora]
Insira um tempo em minutos para especificar a duração da sessão.
[Especificar por Tamanho]
Insira um tamanho em megabytes para especificar o quanto pode ser transportado em uma sessão.
[Selecionar Algoritmo]
Selecione a(s) caixa(s) de seleção [ESP], [ESP (AES-GCM)], ou [AH (SHA1)] dependendo do cabeçalho IPSec e do algoritmo usado. AES-GCM é um algoritmo tanto para autenticação como para codificação. Se [ESP] for selecionado, selecione também algoritmos para autenticação e codificação nas listas [Autenticação ESP] e [Criptografia ESP].
[Autenticação ESP]
Para ativar a autenticação ESP, selecione [SHA1] para o algoritmo hash. Selecione [Não Usar] se você deseja desativar a autenticação ESP.
[Criptografia ESP]
Selecione o algoritmo de codificação para ESP. Você pode selecionar [NULO] se não quiser especificar o algoritmo ou selecionar [Não Usar] se não quiser desativar a codificação ESP.
[Modo de Conexão]
O modo de conexão de IPSec é exibido. A máquina suporta o modo transporte, no qual as cargas úteis dos pacotes IP são codificadas. Modo túnel, no qual os pacotes IP completos (cabeçalhos e cargas úteis são) são encapsulados, não está disponível.
11
Clique em [OK].
Se você não precisar registrar uma política de segurança adicional, retorne para a etapa 6.
12
Organize a ordem das políticas relacionadas sob [Políticas de IPSec Registradas].
As políticas são aplicadas da posição mais alta para a posição mais baixa. Clique em [Para cima] ou [Para baixo] para mover a política para cima ou para baixo na ordem.
Editando uma política
Clique no link de texto correspondente sob o [Nome da Política] para ver a tela de edição.
Excluindo uma política
Clique em [Excluir] à direita do nome da política que você deseja excluir  e clique em [OK].
 
13
Reinicie a máquina. Reiniciar a máquina
Usando o painel de operações
Também é possível ativar ou desativar a comunicação IPSec no <Menu> da tela Início. <Usar IPSec>
528U-04K