Configurações IPSec
IPSEc é um protocolo que assegura a segurança de pacotes IP enviados e recebidos através de uma rede IP, protegendo-os de ameaças como roubo, modificação ou imitação. O protocolo IPSec é aplicado a pacotes TCP, UDP (User Datagram Protocol) e ICMP (Internet Control Message Protocol). O motivo da superioridade do protocolo IPSec relativamente a outros protocolos de segurança deve-se ao facto de acrescentar funções de segurança a IP, o protocolo básico da Internet e, por isso, não depender do software da aplicação nem da configuração de rede.
Esta secção descreve o procedimento para a criação de uma política de segurança para programar comunicações IPSec, utilizando o painel de controlo da máquina. Uma política de segurança grava as programações de IPSec, tais como os pacotes a processar com IPSec, e o algoritmo a utilizar para autenticação e codificação. Uma ligação lógica estabelecida para tráfego através da condução de negociações de acordo com uma política de segurança IPSec tem o nome de IPSec SA (Security Association).
As funções do protocolo IPSec utilizadas pela máquina são as seguintes:
Modo de Comunicação
Uma vez que o protocolo IPSec da máquina apenas suporta o modo de transporte, a autenticação e a codificação apenas são aplicadas à parte dos dados dos pacotes IP.
Método de autenticação e codificação
É necessário programar pelo menos um dos seguintes métodos para a máquina. Não pode programar ambos os métodos em simultâneo.
AH (Authentication Header)
Um protocolo para certificação da autenticação através da deteção de modificações aos dados comunicados, incluindo o cabeçalho do IP. Os dados comunicados não são codificados.
ESP (Encapsulating Security Payload)
Um protocolo que assegura confidencialidade através de codificação, certificando a integridade e a autenticação exclusivamente da parte da carga dos dados comunicados.
Protocolo de troca de chave
Suporta IKEv1 (Internet Key Exchange versão 1) para troca de chaves com base no protocolo ISAKMP (Internet Security Association and Key Management Protocol). O protocolo IKE inclui duas fases: criação da SA utilizada para IKE (IKE SA) e criação da SA utilizada para IPSec (IPSec SA).
Para programar a autenticação com o método de chave pré-partilhada, é necessário decidir uma chave pré-partilhada previamente, que consiste numa palavra-chave utilizada para ambas as máquinas para envio e receção de dados. Utilize o painel de controlo da máquina para programar a mesma chave pré-partilhada como destino das comunicações IPSec e efetue a autenticação com o método de chave pré-partilhada.
Para selecionar a autenticação com uma assinatura digital, é necessário gravar um certificado AC (certificado X.509) para autenticação bilateral do destino IPSec. Para obter informações sobre a instalação do ficheiro do certificado AC utilizando a UI remota, consulte
"Instalar um ficheiro de certificado AC". Para obter instruções sobre como gravar o ficheiro do certificado AC instalado, consulte
"Gravar/Editar um ficheiro de certificado AC".Os tipos de par de chaves e certificado que podem ser utilizados para autenticação com o método de assinatura digital são indicados abaixo.
Algoritmo RSA (Rivest Shamir Adleman)
Par de chaves de formato PKCS#12
Para obter mais informações sobre a gravação ou a edição de uma política de segurança, consulte o manual do imagePRESS Server.
IMPORTANTE |
As seguintes restrições aplicam-se se pretender gravar várias políticas de segurança ao programar o modo principal e o método de autenticação de chave pré-partilhada no ecrã Programações IKE. Chave de método de chave pré-partilhada: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, todas as chaves partilhadas dessa política de segurança são idênticas (o mesmo não se aplica quando especifica um único endereço). Prioridade: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, a prioridade dessa política de segurança é inferior a políticas de segurança com um único endereço especificado. |