Usando IPSec
Use o protocolo de segurança IP (IPSec) para evitar interceptação e violação de pacotes IP enviados e recebidos em uma rede IP. Ele executa a criptografia no nível do protocolo IP para garantir a segurança sem depender de um aplicativo ou configuração de rede.
Condições aplicáveis e modos compatíveis do IPSec
Pacotes onde o IPSec não se aplica
Pacotes que especificam um endereço de loopback, multicast ou broadcast
Pacotes IKE enviados da porta UDP 500
Pacotes ICMPv6 de Neighbor Solicitation e Neighbor Advertisement
Modo de operação do protocolo de troca de chaves (modo IKE)
O modo IKE suportado pela máquina é o único modo principal usado para criptografar pacotes. O modo agressivo sem criptografia não é compatível.
Modo de comunicação
O modo de comunicação compatível com a máquina é apenas o modo de transporte, que criptografa apenas a parte excluindo o cabeçalho IP. O modo de túnel, que criptografa todo o pacote IP, não é compatível.
Usando o IPSec com filtragem de endereço IP
As configurações de filtragem de endereço IP são aplicadas primeiro. Configurando o firewall
Configuração da Política IPSec
Para realizar a comunicação IPSec na máquina, você precisa criar uma política IPSec que inclua o intervalo e algoritmos aplicáveis para autenticação e criptografia. A política é composta principalmente pelos seguintes itens.
Seletor
Especifique quais pacotes IP devem ser aplicados à comunicação IPSec. Além de especificar o endereço IP da máquina e dos dispositivos de comunicação, você também pode especificar seus números de porta.
IKE
O protocolo de troca de chaves oferece suporte ao Internet Key Exchange Versão 1 (IKEv1). Para o método de autenticação, selecione o método de chave pré-compartilhada ou o método de assinatura digital.
Método de chave pré-compartilhada:
Este método de autenticação usa uma palavra-chave, chamada Chave Compartilhada, para comunicação entre a máquina e outros dispositivos.
Este método de autenticação usa uma palavra-chave, chamada Chave Compartilhada, para comunicação entre a máquina e outros dispositivos.
Método de Assinatura Digital
A máquina e outros dispositivos se autenticam mutualmente verificando suas assinaturas digitais.
A máquina e outros dispositivos se autenticam mutualmente verificando suas assinaturas digitais.
ESP/AH
Especifique as configurações de ESP/AH, que é o protocolo usado para comunicação IPSec. ESP e AH podem ser usados ao mesmo tempo. Use Perfect Forward Secrecy (PFS) para uma segurança ainda maior.
Configurando o IPSec
Habilite o uso de IPSec e, em seguida, crie e registre a política IPSec. Se várias políticas foram criadas, especifique a ordem em que elas são aplicadas.
Esta seção descreve como definir as configurações usando a UI Remota a partir de um computador.
No painel de operação, selecione [Menu] na tela [Início] e então selecione [Preferências] para definir as configurações. Todavia, o painel de operação só pode ser usado para ativar ou desativar o IPSec. [Usar IPSec]
Requer privilégios de administrador. A máquina precisa ser reiniciada para aplicar as configurações.
No painel de operação, selecione [Menu] na tela [Início] e então selecione [Preferências] para definir as configurações. Todavia, o painel de operação só pode ser usado para ativar ou desativar o IPSec. [Usar IPSec]
Requer privilégios de administrador. A máquina precisa ser reiniciada para aplicar as configurações.
Preparativos necessários |
Conecte a máquina diretamente a um computador na mesma rede privada virtual (VPN) da máquina. Confirme as condições de operação e conclua as configurações no computador antecipadamente. IPSec Prepare o seguinte de acordo com o método de autenticação IKE: Ao usar o método de chave compartilhada, habilite o TLS para comunicação com a UI Remota. Usando TLS Ao usar o método de assinatura digital, prepare a chave e o certificado a serem usados. Gerenciar e verificar uma chave e certificado Ao usar o PFS, verifique se ele está habilitado no dispositivo de comunicação. |
1
Faça login na UI Remota no Modo de Gerente de Sistema. Iniciando a UI Remota
2
Na página do Portal da UI Remota clique em [Configurações/Registro]. Página do Portal da UI Remota
3
Clique em [Configurações de Rede] 
[Configurações IPSec] [Editar].
[Configurações IPSec] [Editar].A tela [Editar Configurações de IPSec] é exibida.
4
Marque a caixa de seleção [Usar IPSec] e clique em [OK].
Para receber apenas pacotes que atendam à política, desmarque a caixa de seleção [Receber Pacotes de Não Política].
5
Clique em [Registrar Nova Política].
A tela [Registrar Nova Política de IPSec] é exibida.
6
Em [Configurações de Política], digite o nome da política e marque a caixa de seleção [Ativar Política].
Para o nome da política, digite um nome para identificar a política usando caracteres alfanuméricos de byte único.
7
Em [Configurações de Seletor], defina o seletor.
[Configurações de Endereço Local]
Selecione o tipo de endereço IP da máquina à qual a política é aplicada.
Para aplicar o IPSec a todos os pacotes de IP, selecione [Todos os Endereços IP].
Para aplicar o IPSec a pacotes de IP enviados e recebidos usando um endereço IPv4 ou IPv6, selecione [Endereço IPv4] ou [Endereço IPv6].
[Configurações de Endereço Remoto]
Selecione o tipo de endereço IP do dispositivo em comunicação ao qual a política é aplicada.
Para aplicar o IPSec a todos os pacotes de IP, selecione [Todos os Endereços IP].
Para aplicar o IPSec a pacotes de IP enviados e recebidos usando um endereço IPv4 ou IPv6, selecione [Todos os Endereços IPv4] ou [Todos os Endereços IPv6].
Para especificar um endereço IPv4 ou IPv6 ao qual o IPSec é aplicado, selecione [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6].
[Endereços a Serem Definidos Manualmente]
Quando [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] está selecionado, digite o endereço IP. Você também pode especificar um intervalo de endereços IP usando um hífen (-).
Exemplo de entrada:
Um endereço IPv4
192.168.0.10
192.168.0.10
Um endereço IPv6
fe80::10
fe80::10
Especificação de intervalo
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Configurações de Sub-rede]
Quando [Configurações Manuais de IPv4] está selecionado, você pode usar uma máscara de sub-rede para especificar o intervalo de endereços IPv4.
Exemplo de entrada:
255.255.255.240
255.255.255.240
[Comprimento do Prefixo]
Quando [Configurações Manuais de IPv6] está selecionado, você pode usar um comprimento de prefixo para especificar o intervalo de endereços Ipv6. Digite o comprimento do prefixo com um intervalo de 0 a 128.
[Configurações de Porta]
Defina a porta à qual o IPSec é aplicado em [Porta Local] na máquina e em [Porta Remota] no dispositivo de comunicação.
Para aplicar o IPSec a todos os números de porta, selecione [Todas as Portas].
Para aplicar IPSec a um protocolo específico como HTTP ou WSD, selecione [Porta Única] e digite o número de porta do protocolo.
8
Em [Configurações de IKE], defina IKE.
[Modo IKE]
A máquina é compatível apenas o modo principal.
[Método de Autenticação]
Selecione o método de autenticação da máquina.
Quando [Método de Chave Pré-Compartilhada] está selecionado, clique em [Configurações de Chave Compartilhada] digite a cadeia de caracteres para usar como chave compartilhada usando caracteres alfanuméricos de byte único clique em [OK].
digite a cadeia de caracteres para usar como chave compartilhada usando caracteres alfanuméricos de byte único clique em [OK].Quando [Método de Assinatura Digital] está selecionado, clique em [Chave e Certificado] [Registrar Chave Padrão] à direita da chave e certificado a serem usados.
[Registrar Chave Padrão] à direita da chave e certificado a serem usados.[Validade]
Digite o período válido de IKE SA (ISAKMP SA) para usar como caminho de comunicação de controle em minutos.
[Algoritmo de Autenticação/Criptografia]
Selecione o algoritmo a ser usado para a troca de chaves.
9
Em [Configurações de Rede IPSec], defina as configurações de rede de IPSec.
[Usar PFS]
Marque esta caixa de seleção para configurar o PFS da chave da sessão.
[Validade]
Especifique o período válido de IPSec SA para usar como caminho de comunicação de dados por tempo, tamanho ou ambos.
Quando a caixa de seleção [Especificar por Hora] está marcada, digite o período válido em minutos.
Quando esta caixa de seleção [Especificar por Tamanho] está marcada, digite o período válido em megabytes.
Quando ambos são selecionados, o item cujo valor especificado é atingido primeiro é aplicado.
[Algoritmo de Autenticação/Criptografia]
Marque esta caixa de seleção de acordo com o cabeçalho IPSec (ESP e AH) a ser usado e seu algoritmo.
[Autenticação ESP]
Quando [ESP] está selecionado, selecione o algoritmo de autenticação. Para realizar a autenticação ESP, selecione [SHA1]. Caso contrário, selecione [Não Usar].
[Criptografia ESP]
Quando [ESP] está selecionado, selecione o algoritmo de criptografia. Se não quiser especificar o algoritmo, selecione [NULO]. Para desativar a criptografia, selecione [Não Usar].
[Modo de Conexão]
A máquina é compatível apenas o modo de transporte.
10
Clique em [OK].
A política recém-registrada é adicionada ao [Políticas de IPSec Registradas] na tela [Configurações IPSec].
Quando múltiplas políticas são registradas
Clique em [Para cima] ou [Para baixo] à direita do nome da política para definir a prioridade. Políticas de nível superior têm prioridade da aplicação na comunicação IPSec.
11
Reinicie a máquina. Reiniciando a máquina
As configurações são aplicadas.
 |
Editando políticas registradasPara editar as informações registradas, clique no nome da política que deseja editar em [Políticas de IPSec Registradas] na tela [Configurações IPSec]. |