Configurar definições de IPSec
O protocolo Internet Protocol Security (IPSec ou IPsec) é um conjunto de protocolos destinado a codificar dados transmitidos através de uma rede, incluindo redes de Internet. Enquanto o TLS codifica apenas os dados utilizados numa aplicação específica (por exemplo, um browser ou uma aplicação de correio eletrónico), o protocolo IPSec codifica a totalidade dos pacotes IP ou as cargas de pacotes IP, proporcionando um sistema de segurança mais versátil. O protocolo IPSec da máquina funciona em modo de transporte, em que as cargas de pacotes IP são codificadas. Com esta função, a máquina pode estabelecer ligação diretamente a um computador que se encontre na mesma rede privada virtual (VPN). Verifique os requisitos do sistema (Funções de gestão) e defina a configuração necessária no computador antes de configurar a máquina.
|
|
Utilizar IPSec com um filtro de endereços IPAs definições de filtro de endereços IP são aplicadas antes das políticas de IPSec. Especificar endereços IP para definições de firewall
|
Configurar definições de IPSec
Antes de utilizar IPSec para comunicação codificada, é necessário registar políticas de segurança. Uma política de segurança é constituída pelos grupos de definições descritos abaixo. Depois de registar as políticas, especifique a ordem pela qual devem ser aplicadas.
Seletor
O item Seletor define as condições de aplicação da comunicação através de IPSec por parte dos pacotes IP. É possível selecionar condições como, por exemplo, endereços IP e números de porta da máquina, e os dispositivos para comunicação.
IKE
O item IKE configura o IKEv1 que é utilizado para o protocolo de troca de chave. Tenha em atenção que as instruções variam consoante o método de autenticação selecionado.
[Método de Chave Pré-Compartilhada]
Este método de autenticação utiliza uma palavra-chave comum, a Chave partilhada, para a comunicação entre a máquina e outros dispositivos. Ative a função TLS para a UI Remota antes de especificar este método de autenticação (Configurar a chave e certificado para TLS).
Este método de autenticação utiliza uma palavra-chave comum, a Chave partilhada, para a comunicação entre a máquina e outros dispositivos. Ative a função TLS para a UI Remota antes de especificar este método de autenticação (Configurar a chave e certificado para TLS).
[Método de Assinatura Digital]
A máquina e os outros dispositivos autenticam-se mutuamente através da verificação das respetivas assinaturas digitais. Crie ou instale o conjunto de chave e certificado previamente (Registar a chave e certificado para comunicação de rede).
A máquina e os outros dispositivos autenticam-se mutuamente através da verificação das respetivas assinaturas digitais. Crie ou instale o conjunto de chave e certificado previamente (Registar a chave e certificado para comunicação de rede).
AH/ESP
Especifique as definições de AH/ESP, que é adicionado aos pacotes durante a comunicação através de IPSec. É possível utilizar AH e ESP simultaneamente. Também pode selecionar se pretende ou não ativar a função PFS para reforçar a segurança.
|
|
|
Para obter mais informações sobre as operações básicas que é necessário efetuar ao configurar a máquina a partir da UI Remota, consulte Configurar opções dos menus a partir da UI Remota.
|
1
Inicie a UI Remota e inicie sessão no Modo do Administrador de Sistema. Iniciar a UI Remota
2
Clique em [Configurações/Registro] na página do portal. Ecrã da UI Remota
3
Selecione [Configurações de Rede] 
[Configurações IPSec].
[Configurações IPSec].4
Clique em [Editar].
5
Selecione a caixa de verificação [Usar IPSec] e clique em [OK].
Se pretender que a máquina receba apenas pacotes que correspondam a uma das políticas de segurança definidas nos passos abaixo, desmarque a caixa de verificação [Receber Pacotes de Não Política].
6
Clique em [Registrar Nova Política].
7
Especifique as definições de política.
|
1
|
Na caixa de texto [Nome da Política], introduza carateres alfanuméricos para um nome utilizado para identificar a política.
|
|
2
|
Selecione a caixa de verificação [Ativar Política].
|
8
Especifique as definições de seletor.
[Endereço Local]
Clique no botão de opção correspondente ao tipo de endereço IP da máquina para aplicar a política.
Clique no botão de opção correspondente ao tipo de endereço IP da máquina para aplicar a política.
|
[Todos os Endereços IP]
|
Selecione esta opção para utilizar IPSec para todos os pacotes.
|
|
[Endereço IPv4]
|
Selecione esta opção para utilizar IPSec para todos os pacotes IP que sejam enviados para ou a partir do endereço IPv4 da máquina.
|
|
[Endereço IPv6]
|
Selecione esta opção para utilizar IPSec para todos os pacotes IP que sejam enviados para ou a partir do endereço IPv6 da máquina.
|
[Endereço Remoto]
Clique no botão de opção correspondente ao tipo de endereço IP dos outros dispositivos para aplicar a política.
Clique no botão de opção correspondente ao tipo de endereço IP dos outros dispositivos para aplicar a política.
|
[Todos os Endereços IP]
|
Selecione esta opção para utilizar IPSec para todos os pacotes.
|
|
[Todos os Endereços IPv4]
|
Selecione esta opção para utilizar IPSec para todos os pacotes IP que sejam enviados para ou a partir de endereços IPv4 de outros dispositivos.
|
|
[Todos os Endereços IPv6]
|
Selecione esta opção para utilizar IPSec para todos os pacotes IP que sejam enviados para ou a partir de endereços IPv6 de outros dispositivos.
|
|
[Configurações Manuais de IPv4]
|
Selecione esta opção para especificar um endereço IPv4 individual ou um intervalo de endereços IPv4 para aplicar o IPSec. Introduza o endereço IPv4 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente].
|
|
[Configurações Manuais de IPv6]
|
Selecione esta opção para especificar um endereço IPv6 individual ou um intervalo de endereços IPv6 para aplicar o IPSec. Introduza o endereço IPv6 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente].
|
[Endereços a Serem Definidos Manualmente]
Se selecionar [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] para [Endereço Remoto], introduza o endereço IP para aplicar a política. Também pode introduzir um intervalo de endereços inserindo um hífen entre os endereços.
Se selecionar [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] para [Endereço Remoto], introduza o endereço IP para aplicar a política. Também pode introduzir um intervalo de endereços inserindo um hífen entre os endereços.
Introduzir endereços IP
|
Descrição
|
Exemplo
|
|
|
Introduzir um endereço IP individual
|
IPv4:
Delimite os números com pontos. |
192.168.0.10
|
|
IPv6:
Delimite os carateres alfanuméricos com dois pontos duplos. |
fe80::10
|
|
|
Especificar um intervalo de endereços
|
Insira um hífen entre os endereços.
|
192.168.0.10-192.168.0.20
|
[Configurações de Sub-rede]
Quando especificar um endereço IPv4 manualmente, pode indicar o intervalo utilizando uma máscara de sub-rede. Introduza a máscara de sub-rede utilizando pontos para delimitar os números (exemplo: "255.255.255.240").
Quando especificar um endereço IPv4 manualmente, pode indicar o intervalo utilizando uma máscara de sub-rede. Introduza a máscara de sub-rede utilizando pontos para delimitar os números (exemplo: "255.255.255.240").
[Comprimento do Prefixo]
Especificar o intervalo de endereços IPv6 manualmente também permite especificar o intervalo utilizando prefixos. Introduza um intervalo entre 0 e 128 como comprimento de prefixo.
Especificar o intervalo de endereços IPv6 manualmente também permite especificar o intervalo utilizando prefixos. Introduza um intervalo entre 0 e 128 como comprimento de prefixo.
[Porta Local]/[Porta Remota]
Se pretender criar políticas separadas para cada protocolo, como HTTP ou WSD, clique no botão de opção [Porta Única] e introduza o número da porta apropriado para o protocolo para determinar se deve ou não utilizar IPSec.
Se pretender criar políticas separadas para cada protocolo, como HTTP ou WSD, clique no botão de opção [Porta Única] e introduza o número da porta apropriado para o protocolo para determinar se deve ou não utilizar IPSec.
O IPSec não é aplicado aos seguintes pacotes
Pacotes de loopback, multicast e difusão
Pacotes de IKE (que utilizam UDP na porta 500)
Pacotes de solicitação de vizinho e anúncio de vizinho ICMPv6
9
Especifique as definições de IKE.
[Modo IKE]
É apresentado o modo utilizado para o protocolo de troca de chave. A máquina é compatível com o modo principal, não com o modo agressivo.
É apresentado o modo utilizado para o protocolo de troca de chave. A máquina é compatível com o modo principal, não com o modo agressivo.
[Método de Autenticação]
Selecione [Método de Chave Pré-Compartilhada] ou [Método de Assinatura Digital] para o método utilizado na autenticação da máquina. É necessário ativar a função TLS para a UI Remota antes de selecionar [Método de Chave Pré-Compartilhada]. É necessário criar ou instalar o conjunto de chave e certificado antes de selecionar [Método de Assinatura Digital]. Configurar a chave e certificado para TLS
Selecione [Método de Chave Pré-Compartilhada] ou [Método de Assinatura Digital] para o método utilizado na autenticação da máquina. É necessário ativar a função TLS para a UI Remota antes de selecionar [Método de Chave Pré-Compartilhada]. É necessário criar ou instalar o conjunto de chave e certificado antes de selecionar [Método de Assinatura Digital]. Configurar a chave e certificado para TLS
[Válido para]
Especifique o tempo de duração de uma sessão para IKE SA (ISAKMP SA). Introduza o tempo em minutos.
Especifique o tempo de duração de uma sessão para IKE SA (ISAKMP SA). Introduza o tempo em minutos.
[Autenticação]/[Criptografia]/[Grupo DH]
Selecione um algoritmo na lista pendente. Cada algoritmo é utilizado na troca de chave.
Selecione um algoritmo na lista pendente. Cada algoritmo é utilizado na troca de chave.
|
[Autenticação]
|
Selecione o algoritmo de cardinal.
|
|
[Criptografia]
|
Selecione o algoritmo de codificação.
|
|
[Grupo DH]
|
Selecione o grupo Diffie-Hellman, que determina a força da chave.
|
Autenticar uma máquina utilizando uma chave pré-partilhada
|
1
|
Clique no botão de opção [Método de Chave Pré-Compartilhada] para [Método de Autenticação] e clique em [Configurações de Chave Compartilhada].
|
|
2
|
Introduza carateres alfanuméricos para a chave pré-partilhada e clique em [OK].
|
|
3
|
Especifique as definições [Válido para] e [Autenticação]/[Criptografia]/[Grupo DH].
|
Autenticar uma máquina utilizando o método de assinatura digital
|
1
|
Clique no botão de opção [Método de Assinatura Digital] para [Método de Autenticação] e clique em [Chave e Certificado].
|
|
2
|
Clique em [Registrar Chave Padrão] à direita da chave e do certificado que pretende utilizar.
Ver os detalhes de um certificado
Pode verificar os detalhes do certificado ou confirmar o certificado clicando na ligação de texto correspondente por baixo de [Nome da Chave] ou no ícone de certificado.
|
|
3
|
Especifique as definições [Válido para] e [Autenticação]/[Criptografia]/[Grupo DH].
|
10
Especifique as definições de rede de IPSec.
[Usar PFS]
Selecione a caixa de verificação para ativar a função de sigilo perfeito de encaminhamento (PFS) para chaves de sessões de IPSec. A ativação da função PFS reforça a segurança enquanto aumenta a carga sobre a comunicação. Certifique-se de que a função PFS também está ativada para os outros dispositivos.
Selecione a caixa de verificação para ativar a função de sigilo perfeito de encaminhamento (PFS) para chaves de sessões de IPSec. A ativação da função PFS reforça a segurança enquanto aumenta a carga sobre a comunicação. Certifique-se de que a função PFS também está ativada para os outros dispositivos.
[Especificar por Hora]/[Especificar por Tamanho]
Defina as condições de encerramento de uma sessão para SA de IPSec. A SA de IPSec é utilizada como um túnel de comunicação. Selecione uma das caixas de verificação ou ambas as caixas conforme necessário. Se selecionar as duas caixas de verificação, a sessão de SA de IPSec é encerrada quando qualquer uma das condições for cumprida.
Defina as condições de encerramento de uma sessão para SA de IPSec. A SA de IPSec é utilizada como um túnel de comunicação. Selecione uma das caixas de verificação ou ambas as caixas conforme necessário. Se selecionar as duas caixas de verificação, a sessão de SA de IPSec é encerrada quando qualquer uma das condições for cumprida.
|
[Especificar por Hora]
|
Introduza um período de tempo em minutos para especificar a duração de uma sessão.
|
|
[Especificar por Tamanho]
|
Introduza um tamanho em megabytes para especificar o volume de dados que pode ser transportado numa sessão.
|
[Selecionar Algoritmo]
Selecione a(s) caixa(s) de verificação [ESP], [ESP (AES-GCM)] ou [AH (SHA1)], consoante o cabeçalho de IPSec e o algoritmo utilizados. AES-GCM é um algoritmo utilizado para autenticação e codificação. Se selecionar [ESP], selecione também os algoritmos de autenticação e codificação nas listas pendentes [Autenticação ESP] e [Criptografia ESP].
Selecione a(s) caixa(s) de verificação [ESP], [ESP (AES-GCM)] ou [AH (SHA1)], consoante o cabeçalho de IPSec e o algoritmo utilizados. AES-GCM é um algoritmo utilizado para autenticação e codificação. Se selecionar [ESP], selecione também os algoritmos de autenticação e codificação nas listas pendentes [Autenticação ESP] e [Criptografia ESP].
|
[Autenticação ESP]
|
Para ativar a autenticação ESP, selecione [SHA1] para o algoritmo de cardinal. Selecione [Não Usar] se pretender desativar a autenticação ESP.
|
|
[Criptografia ESP]
|
Selecione o algoritmo de codificação para ESP. Pode selecionar [NULO] se não pretender especificar o algoritmo ou pode selecionar [Não Usar] se pretender desativar a codificação ESP.
|
[Modo de Conexão]
É apresentado o modo de ligação de IPSec. A máquina é compatível com o modo de transporte, no qual as cargas de pacotes IP são codificadas. O modo de túnel, que abrange a totalidade dos pacotes IP (cabeçalhos e cargas), não está disponível.
É apresentado o modo de ligação de IPSec. A máquina é compatível com o modo de transporte, no qual as cargas de pacotes IP são codificadas. O modo de túnel, que abrange a totalidade dos pacotes IP (cabeçalhos e cargas), não está disponível.
11
Clique em [OK].
Se precisar de registar uma política de segurança adicional, volte ao passo 6.
12
Ordene as políticas listadas abaixo de [Políticas de IPSec Registradas].
As políticas são aplicadas começando pela que se encontra na posição mais elevada até à que se encontra na posição mais baixa. Clique em [Para cima] ou [Para baixo] para mover uma política para cima ou para baixo na lista ordenada.
Editar uma política
Clique na ligação de texto correspondente por baixo de [Nome da Política] para aceder ao ecrã de edição.
Apagar uma política
Clique em [Excluir] à direita do nome da política que pretende apagar clique em [OK].
clique em [OK].13
Reinicie a máquina. Reiniciar a máquina
|
|
Utilizar o painel de controloTambém pode ativar ou desativar a comunicação IPSec a partir de <Menu> no ecrã Início. <Usar IPSec>
|