|
Modo de comunicaçãoEsta máquina apenas suporta o modo de transporte para a comunicação IPSec. Como resultado, a autenticação e a codificação são aplicadas somente às partes de dados dos pacotes IP.
Protocolo de troca de chaveEsta máquina suporta Internet Key Exchange versão 1 (IKEv1) para a troca de chaves com base no Internet Security Association and Key Management Protocol (ISAKMP). Para o método de autenticação, programe o método de chave pré-partilhada ou o método de assinatura digital.
Ao programar o método de chave pré-partilhada, é necessário decidir previamente uma frase-passe (chave pré-partilhada) que será utilizada entre a máquina e o par de comunicação IPSec.
Ao programar o método de assinatura digital, utilize um certificado da CA e uma chave e certificado de formato PKCS#12 para realizar a autenticação mútua entre a máquina e o par de comunicação IPSec. Para obter mais informações sobre como gravar novos certificados da CA ou chaves/certificados, consulte Gravar a chave e certificado para comunicação de rede. Note que o SNTP tem de ser configurado para a máquina antes de utilizar este método. Especificar as programações de SNTP
|
|
Independentemente da programação de <Formatar método codificação p/FIPS 140-2> para comunicação IPSec, será utilizado um módulo de codificação que já tenha obtido certificação FIPS140-2.
Para fazer com que a comunicação IPSec respeite as FIPS 140-2, é necessário definir o comprimento da chave de DH e RSA para comunicação IPSec como 2048 bits ou superior no ambiente de rede a que a máquina pertence.
Só é possível especificar o comprimento da chave de DH a partir da máquina.
Preste atenção ao configurar o ambiente, uma vez que não existem programações de RSA na máquina.
Pode gravar até 10 políticas de grupo.
|
1
|
Carregue em <Programações do seletor>.
|
||||||||||||||
2
|
Especifique o endereço IP ao qual pretende aplicar a política IPSec.
Especifique o endereço IP desta máquina em <Endereço local> e especifique o endereço IP do par de comunicação em <Endereço remoto>.
|
||||||||||||||
3
|
Especifique a porta à qual pretende aplicar o IPSec.
Carregue em <Especificar por número de porta> para utilizar números de portas quando especificar as portas às quais o IPSec se aplica. Selecione <Todas as portas> para aplicar o IPSec a todos os números de porta. Para aplicar o IPSec a um determinado número de porta, carregue em <Porta única> e introduza o número da porta. Depois de especificar as portas, carregue em <OK>. Especifique a porta desta máquina em <Porta local> e especifique a porta do par de comunicação em <Porta remota>.
Carregue em <Especificar por nome de serviço> para utilizar nomes de serviço quando especificar as portas às quais o IPSec se aplica. Selecione o serviço na lista, carregue em <Serviço lig./desligado> para o programar para <Ligado> e carregue em <OK>.
|
||||||||||||||
4
|
Carregue em <OK>.
|
1
|
Carregue em <Programações IKE>.
|
||||||||||
2
|
Configure as programações necessárias.
<Modo IKE>
Selecione o modo de operação do protocolo Key Exchange. Quando o modo de operação estiver configurado em <Principal>, a segurança é elevada porque a própria sessão IKE é encriptada, mas uma maior exigência é colocada sobre a comunicação em comparação com <Agressivo>, que não efetua encriptação.
<Validade>
Configure o período de expiração da IKE SA gerada.
<Método de autenticação>
Selecione um dos métodos de autenticação descritos abaixo.
<Algoritmo autenticação/codificação>
Selecione <Auto> ou <Progs manuais> para programar como especificar o algoritmo de autenticação e codificação para o IKE fase 1. Se selecionar <Auto>, é programado automaticamente um algoritmo que pode ser utilizado tanto por esta máquina como pelo par de comunicação. Se pretender especificar um determinado algoritmo, selecione <Progs manuais> e configure as programações abaixo.
|
||||||||||
3
|
Carregue em <OK>.
|
|
Quando <Modo IKE> está programado para <Principal> no ecrã <Programações IKE> e <Método de autenticação> está programado para <Método chave pré-partilh.>, as restrições seguintes aplicam-se ao gravar várias políticas de segurança.
Chave de método de chave pré-partilhada: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, todas as chaves partilhadas dessa política de segurança são idênticas (o mesmo não se aplica quando especifica um único endereço).
Prioridade: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, a prioridade dessa política de segurança é inferior a políticas de segurança com um único endereço especificado.
|
1
|
Carregue em <Programações de rede IPSec>.
|
||||||
2
|
Configure as programações necessárias.
<Validade>
Configure o período de expiração da IPSec SA gerada. Não se esqueça de programar <Hora> ou <Formato>. Se definir ambos, a configuração com o valor que é alcançado primeiro é a aplicada.
<PFS>
Se programar a função Perfect Forward Secrecy (PFS) para <Ligado>, o segredo da chave de codificação é aumentado, mas a velocidade de comunicação é mais lenta. Além disso, a função PFS deve estar ativada no dispositivo par de comunicação.
<Algoritmo autenticação/codificação>
Selecione <Auto> ou <Progs manuais> para programar como especificar o algoritmo de autenticação e codificação para o IKE fase 2. Se selecionar <Auto>, o algoritmo de autenticação e codificação ESP é programado automaticamente. Se pretender especificar um determinado método de autenticação, carregue em <Progs manuais> e selecione um dos métodos de autenticação abaixo.
|
||||||
3
|
Carregue em <OK> <OK>.
|
|
Gestão das políticas IPSecÉ possível editar políticas no ecrã apresentado no passo 3.
Para editar os detalhes de uma política, selecione a política na lista e carregue em <Editar>.
Para desativar uma política, selecione a política na lista e carregue em <Ativ./desat. política>.
Para apagar uma política, selecione a política na lista e carregue em <Apagar> <Sim>.
|