Configurando as definições IPSec
O Protocolo de segurança da internet (IPSec ou IPsec) é uma suíte de protocolos para codificar dados transportados em uma rede, incluindo as redes de internet. Enquanto o TLS codifica somente dados usados em um aplicativo específico, como um navegador da web ou um aplicativo de e-mails, o IPSec codifica pacotes IP completos ou as cargas úteis de pacotes IP, oferecendo um sistema de segurança mais versátil. O IPSec da máquina funciona em modo transporte, no qual as cargas úteis de pacotes IP são codificadas. Com este recurso, a máquina pode se conectar diretamente a um computador que esteja na mesma rede virtual privada (VPN). Verifique os requisitos do sistema (Funções de gerenciamento) e defina as configurações necessárias no computador antes de configurar a máquina.
|
Usando o IPSec com o filtro de endereço IPAs configurações de filtragem de endereço IP são aplicadas antes das políticas IPSec. Especificando endereços IP para configurações de firewall |
Configurando as definições IPSec
Antes de usar IPSec para a comunicação codificada IPSec, você precisa registrar políticas de segurança (SP). Uma política de segurança consiste de grupos de definições descritas abaixo. Após registrar políticas, especifique a ordem na qual elas são aplicadas.
Seletor
O seletor define as condições para pacotes IP aplicarem a comunicação IPSec. Condições selecionáveis incluem endereço IP e números de porta da máquina e os dispositivos com os quais se comunicar.
IKE
IKE configura o IKEv1 usado para o protocolo de troca de chave. Observe que as instruções variam dependendo do método de autenticação selecionável.
[Método de Chave Pré-Compartilhada]
Este método de autenticação usa uma palavra-chave comum, denominada Chave Compartilhada, para a comunicação entre a máquina e outros dispositivos. Ative o TLS para a Interface Remota antes de especificar este método de autenticação (Configurando a chave e o certificado para TLS).
Este método de autenticação usa uma palavra-chave comum, denominada Chave Compartilhada, para a comunicação entre a máquina e outros dispositivos. Ative o TLS para a Interface Remota antes de especificar este método de autenticação (Configurando a chave e o certificado para TLS).
[Método de Assinatura Digital]
A máquina e outros dispositivos autenticam um o outro verificando mutuamente suas assinaturas digitais. Gere ou instale a chave e o certificado de chaves de antemão (Registrando a chave e certificado para a comunicação de rede).
A máquina e outros dispositivos autenticam um o outro verificando mutuamente suas assinaturas digitais. Gere ou instale a chave e o certificado de chaves de antemão (Registrando a chave e certificado para a comunicação de rede).
AH/ESP
Especifique as configurações para AH/ESP, adicionado aos pacotes durante a comunicação IPSec. AH e ESP podem ser usados ao mesmo tempo. Você pode selecionar também se deseja ativar ou não o PFS para uma segurança mais firme.
|
Para mais informações sobre as operações básicas a serem executadas ao configurar a máquina a partir da Interface Remota, consulte Configurando as opções de menu a partir da Interface Remota. |
1
Inicie a Interface Remota e faça o logon no modo do Gerente do Sistema. Iniciando a Interface Remota
2
Clique em [Configurações/Registro] na página do Portal. Tela da Interface Remota
3
Selecione [Configurações de Rede] 
[Configurações IPSec].
[Configurações IPSec].4
Clique em [Editar].
5
Marque a caixa de seleção [Usar IPSec] e clique em [OK].
Se você deseja que a máquina receba somente pacotes compatíveis com uma das políticas de segurança definidas por você nas etapas abaixo, limpe a caixa de seleção [Receber Pacotes de Não Política].
6
Clique em [Registrar Nova Política].
7
Especifique as definições da política.
1 | Na caixa de texto [Nome da Política], insira os caracteres alfanuméricos para um nome usado para identificar a política. |
2 | Marque a caixa de seleção [Ativar Política]. |
8
Especifique as definições do seletor.
[Endereço Local]
Clique no botão de rádio para o tipo de endereço IP da máquina para aplicar a política.
Clique no botão de rádio para o tipo de endereço IP da máquina para aplicar a política.
[Todos os Endereços IP] | Selecione para usar IPSec para todos os pacotes IP. |
[Endereço IPv4] | Selecione para usar IPSec para todos os pacotes IP enviados para e a partir do endereço IPv4 da máquina. |
[Endereço IPv6] | Selecione para usar IPSec para todos os pacote IP enviados para e a partir do endereço IPv6 da máquina. |
[Endereço Remoto]
Clique no botão de rádio para o tipo de endereço IP de outros dispositivos para aplicar a política.
Clique no botão de rádio para o tipo de endereço IP de outros dispositivos para aplicar a política.
[Todos os Endereços IP] | Selecione para usar IPSec para todos os pacotes IP. |
[Todos os Endereços IPv4] | Selecione para usar IPSec para todos os pacotes IP enviados para e a partir de endereços IPv4 de outros dispositivos. |
[Todos os Endereços IPv6] | Selecione para usar IPSec para todos os pacotes IP enviados para e a partir de endereços IPv6 de outros dispositivos. |
[Configurações Manuais de IPv4] | Selecione para especificar um endereço IPv4 único ou um intervalo de endereços IPv4 para aplicar o IPSec. insira o endereço IPv4 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente]. |
[Configurações Manuais de IPv6] | Selecione para especificar um endereço IPv6 único ou um intervalo de endereços IPv6 para aplicar o IPSec. insira o endereço IPv6 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente]. |
[Endereços a Serem Definidos Manualmente]
Se [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] é selecionado para [Endereço Remoto], insira o endereço IP para aplicar a política. Você pode também inserir um intervalo de endereços colocando um hífen entre os endereços.
Se [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] é selecionado para [Endereço Remoto], insira o endereço IP para aplicar a política. Você pode também inserir um intervalo de endereços colocando um hífen entre os endereços.
Inserindo um endereço IP
Descrição | Exemplo | |
Digitando um único endereço | IPv4: Delimite os número com pontos. | 192.168.0.10 |
IPv6: Delimite os caracteres alfanuméricos com vírgulas. | fe80::10 | |
Especificando um intervalo de endereços | Insira um hífen entre os endereços. | 192.168.0.10-192.168.0.20 |
[Configurações de Sub-rede]
Ao especificar manualmente o endereço IPv4, você pode expressar o intervalo usando a máscara de sub-rede. Insira a máscara de sub-rede usando pontos para delimitar os números (exemplo: "255.255.255.240").
Ao especificar manualmente o endereço IPv4, você pode expressar o intervalo usando a máscara de sub-rede. Insira a máscara de sub-rede usando pontos para delimitar os números (exemplo: "255.255.255.240").
[Comprimento do Prefixo]
A especificação manual do intervalo de endereços IPv6 também permite especificar o intervalo usando prefixos. Digite um intervalo entre 0 e 128 como o comprimento do prefixo.
A especificação manual do intervalo de endereços IPv6 também permite especificar o intervalo usando prefixos. Digite um intervalo entre 0 e 128 como o comprimento do prefixo.
[Porta Local]/[Porta Remota]
Se desejar criar políticas separadas para cada protocolo, como HTTP ou WSD, clique no botão de opção [Porta Única] e insira o número de porta adequado para o protocolo para determinar se o IPSec deve ou não ser usado.
Se desejar criar políticas separadas para cada protocolo, como HTTP ou WSD, clique no botão de opção [Porta Única] e insira o número de porta adequado para o protocolo para determinar se o IPSec deve ou não ser usado.
O IPSec não é aplicado aos seguintes pacotes
Pacotes de transmissão, Loopback e multicast
Pacotes IKE (usando UDP na porta 500)
Pacotes de notificação do vizinho e solicitação do vizinho ICMPv6
9
Especifique as definições IKE.
[Modo IKE]
O modo usado para o protocolo de troca de chave é exibido. A máquina suporta o modo principal, não o modo agressivo.
O modo usado para o protocolo de troca de chave é exibido. A máquina suporta o modo principal, não o modo agressivo.
[Método de Autenticação]
Selecione [Método de Chave Pré-Compartilhada] ou [Método de Assinatura Digital] para o método usado ao autenticar a máquina. Você precisa ativar o TLS para a Interface Remota antes de selecionar [Método de Chave Pré-Compartilhada]. Você precisa gerar ou instalar uma chave e certificado antes de selecionar [Método de Assinatura Digital]. Configurando a chave e o certificado para TLS
Selecione [Método de Chave Pré-Compartilhada] ou [Método de Assinatura Digital] para o método usado ao autenticar a máquina. Você precisa ativar o TLS para a Interface Remota antes de selecionar [Método de Chave Pré-Compartilhada]. Você precisa gerar ou instalar uma chave e certificado antes de selecionar [Método de Assinatura Digital]. Configurando a chave e o certificado para TLS
[Válido para]
Especifique a duração para IKE SA (ISAKMP SA). Insira o tempo em minutos.
Especifique a duração para IKE SA (ISAKMP SA). Insira o tempo em minutos.
[Autenticação]/[Criptografia]/[Grupo DH]
Selecione um algoritmo da lista suspensa. Cada algoritmo é usado na troca de chave.
Selecione um algoritmo da lista suspensa. Cada algoritmo é usado na troca de chave.
[Autenticação] | Selecione o algoritmo hash. |
[Criptografia] | Selecione o algoritmo de codificação. |
[Grupo DH] | Selecione o grupo Diffie-Hellman, que determina a força da chave. |
Autenticando uma máquina usando uma chave pré-compartilhada
1 | Clique no botão de opção [Método de Chave Pré-Compartilhada] para [Método de Autenticação] e depois clique em [Configurações de Chave Compartilhada]. |
2 | Insira os caracteres alfanuméricos para a chave pré-compartilhada e clique em [OK]. |
3 | Especifique as configurações [Válido para] e [Autenticação]/[Criptografia]/[Grupo DH]. |
Autenticando uma máquina usando o método de assinatura digital
1 | Clique no botão de opção [Método de Assinatura Digital] para [Método de Autenticação] e depois clique em [Chave e Certificado]. |
2 | Clique em [Registrar Chave Padrão] à direita da chave e certificado que você deseja usar. Visualizando detalhes de um certificado Você pode conferir detalhes do certificado ou verificar o certificado clicando no link de texto correspondente sob [Nome da Chave], ou no ícone do certificado. |
3 | Especifique as configurações [Válido para] e [Autenticação]/[Criptografia]/[Grupo DH]. |
10
Especifique as definições de rede IPSec.
[Usar PFS]
Selecione a caixa de verificação para ativar o Perfect Forward Secrecy (PFS) para as chaves de sessões IPSec. Ativar o PFS aumenta a segurança ao aumentar a carga na comunicação. Certifique-se que o PFS também esteja ativado para outros dispositivos.
Selecione a caixa de verificação para ativar o Perfect Forward Secrecy (PFS) para as chaves de sessões IPSec. Ativar o PFS aumenta a segurança ao aumentar a carga na comunicação. Certifique-se que o PFS também esteja ativado para outros dispositivos.
[Especificar por Hora]/[Especificar por Tamanho]
Defina as condições para finalizar a sessão para IPSec SA. IPSec SA é usado como um túnel de comunicação. Selecione uma das caixas de verificação ou ambas conforme necessário. Se ambas as caixas de verificação, a sessão SA é finalizada quando uma das condições for satisfeita.
Defina as condições para finalizar a sessão para IPSec SA. IPSec SA é usado como um túnel de comunicação. Selecione uma das caixas de verificação ou ambas conforme necessário. Se ambas as caixas de verificação, a sessão SA é finalizada quando uma das condições for satisfeita.
[Especificar por Hora] | Insira um tempo em minutos para especificar a duração da sessão. |
[Especificar por Tamanho] | Insira um tamanho em megabytes para especificar o quanto pode ser transportado em uma sessão. |
[Selecionar Algoritmo]
Selecione a(s) caixa(s) de seleção [ESP], [ESP (AES-GCM)], ou [AH (SHA1)] dependendo do cabeçalho IPSec e do algoritmo usado. AES-GCM é um algoritmo tanto para autenticação como para codificação. Se [ESP] for selecionado, selecione também algoritmos para autenticação e codificação nas listas [Autenticação ESP] e [Criptografia ESP].
Selecione a(s) caixa(s) de seleção [ESP], [ESP (AES-GCM)], ou [AH (SHA1)] dependendo do cabeçalho IPSec e do algoritmo usado. AES-GCM é um algoritmo tanto para autenticação como para codificação. Se [ESP] for selecionado, selecione também algoritmos para autenticação e codificação nas listas [Autenticação ESP] e [Criptografia ESP].
[Autenticação ESP] | Para ativar a autenticação ESP, selecione [SHA1] para o algoritmo hash. Selecione [Não Usar] se você deseja desativar a autenticação ESP. |
[Criptografia ESP] | Selecione o algoritmo de codificação para ESP. Você pode selecionar [NULO] se não quiser especificar o algoritmo ou selecionar [Não Usar] se não quiser desativar a codificação ESP. |
[Modo de Conexão]
O modo de conexão de IPSec é exibido. A máquina suporta o modo transporte, no qual as cargas úteis dos pacotes IP são codificadas. Modo túnel, no qual os pacotes IP completos (cabeçalhos e cargas úteis são) são encapsulados, não está disponível.
O modo de conexão de IPSec é exibido. A máquina suporta o modo transporte, no qual as cargas úteis dos pacotes IP são codificadas. Modo túnel, no qual os pacotes IP completos (cabeçalhos e cargas úteis são) são encapsulados, não está disponível.
11
Clique em [OK].
Se você não precisar registrar uma política de segurança adicional, retorne para a etapa 6.
12
Organize a ordem das políticas relacionadas sob [Políticas de IPSec Registradas].
As políticas são aplicadas da posição mais alta para a posição mais baixa. Clique em [Para cima] ou [Para baixo] para mover a política para cima ou para baixo na ordem.
Editando uma política
Clique no link de texto correspondente sob o [Nome da Política] para ver a tela de edição.
Excluindo uma política
Clique em [Excluir] à direita do nome da política que você deseja excluir e clique em [OK].
e clique em [OK].13
Reinicie a máquina. Reinicie a máquina
|
Usando o painel de operaçõesTambém é possível ativar ou desativar a comunicação IPSec no <Menu> da tela Início. <Usar IPSec> |