Configurar programações IPSec

Se utilizar o IPSec, pode evitar que terceiros intercetem ou adulterem pacotes IP transportados através da rede IP. Uma vez que adiciona funções de segurança ao IP, um conjunto de protocolos básicos utilizados para a Internet, o IPSec pode fornecer uma segurança independente das aplicações ou da configuração da rede. Para realizar comunicação IPSec com esta máquina, tem de configurar programações como os parâmetros da aplicação e o algoritmo de codificação e autenticação. É necessário ter privilégios de administrador para configurar estas programações.

Ativar IPSec

Gravar uma política


Modo de comunicação Esta máquina apenas suporta o modo de transporte para a comunicação IPSec. Como resultado, a autenticação e a codificação são aplicadas somente às partes de dados dos pacotes IP. Protocolo de troca de chave Esta máquina suporta Internet Key Exchange versão 1 (IKEv1) para a troca de chaves com base no Internet Security Association and Key Management Protocol (ISAKMP). Para o método de autenticação, programe o método de chave pré-partilhada ou o método de assinatura digital. Ao programar o método de chave pré-partilhada, é necessário decidir previamente uma frase-passe (chave pré-partilhada) que será utilizada entre a máquina e o par de comunicação IPSec. Ao programar o método de assinatura digital, utilize um certificado da CA e uma chave e certificado de formato PKCS#12 para realizar a autenticação mútua entre a máquina e o par de comunicação IPSec. Para obter mais informações sobre como gravar novos certificados da CA ou chaves/certificados, consulte Gravar a chave e certificado para comunicação de rede. Note que o SNTP tem de ser configurado para a máquina antes de utilizar este método. Especificar as programações de SNTP

Modo de comunicação

Esta máquina apenas suporta o modo de transporte para a comunicação IPSec. Como resultado, a autenticação e a codificação são aplicadas somente às partes de dados dos pacotes IP.

Protocolo de troca de chave

Esta máquina suporta Internet Key Exchange versão 1 (IKEv1) para a troca de chaves com base no Internet Security Association and Key Management Protocol (ISAKMP). Para o método de autenticação, programe o método de chave pré-partilhada ou o método de assinatura digital.

Ao programar o método de chave pré-partilhada, é necessário decidir previamente uma frase-passe (chave pré-partilhada) que será utilizada entre a máquina e o par de comunicação IPSec.

Ao programar o método de assinatura digital, utilize um certificado da CA e uma chave e certificado de formato PKCS#12 para realizar a autenticação mútua entre a máquina e o par de comunicação IPSec. Para obter mais informações sobre como gravar novos certificados da CA ou chaves/certificados, consulte Gravar a chave e certificado para comunicação de rede. Note que o SNTP tem de ser configurado para a máquina antes de utilizar este método. Especificar as programações de SNTP


Independentemente da programação de [Formatar método codificação p/FIPS 140-2] da comunicação IPSec, será utilizado um módulo de encriptação que já tenha obtido certificação FIPS140-2. Para fazer com que a comunicação IPSec respeite as FIPS 140-2, é necessário definir o comprimento da chave de DH e RSA para comunicação IPSec como 2048 bits ou superior no ambiente de rede a que a máquina pertence. Só é possível especificar o comprimento da chave de DH a partir da máquina. Preste atenção ao configurar o ambiente, uma vez que não existem programações de RSA na máquina. Pode gravar até 10 políticas de grupo.

Independentemente da programação de [Formatar método codificação p/FIPS 140-2] da comunicação IPSec, será utilizado um módulo de encriptação que já tenha obtido certificação FIPS140-2.

Para fazer com que a comunicação IPSec respeite as FIPS 140-2, é necessário definir o comprimento da chave de DH e RSA para comunicação IPSec como 2048 bits ou superior no ambiente de rede a que a máquina pertence.

Só é possível especificar o comprimento da chave de DH a partir da máquina.

Preste atenção ao configurar o ambiente, uma vez que não existem programações de RSA na máquina.

Pode gravar até 10 políticas de grupo.

Ativar IPSec

Inicie a UI remota. Iniciar a Remote UI (UI Remota)

Clique em [Programações/Grav.] na página do portal. Ecrã da Remote UI (UI Remota)

Clique em [Programações de rede]

[Programações IPSec].

Selecione [Utilizar IPSec] e clique em [OK].

Para só receber pacotes que correspondam à política de segurança, selecione [Rejeitar] para [Receber pacotes sem políticas].

Gravar uma política

Inicie a UI remota. Iniciar a Remote UI (UI Remota)

Clique em [Programações/Grav.] na página do portal. Ecrã da Remote UI (UI Remota)

Clique em [Programações de rede]

[Lista de políticas IPSec].

Clique em [Gravar nova política de IPSec].

Programe uma política.

[Nome da política]

Introduza um nome para identificar a política.

[Ativ./desat. política]

Selecione [Ligado] para ativar a política gravada.

[Permitir só 256 bits como Comprimento chave AES]

Selecione esta caixa de verificação para restringir o comprimento da chave do método de codificação AED a 256 bit e cumprir os standards de autenticação CC.

Configure os parâmetros da aplicação IPSec.

Clique em [Programações do seletor].

Especifique o endereço IP ao qual pretende aplicar a política IPSec.

Especifique o endereço IP desta máquina em [Endereço local] e especifique o endereço IP do par de comunicação em [Endereço remoto].

[Todos os ender. IP]	O IPSec é aplicado a todos os pacotes IP enviados e recebidos.
[Endereço IPv4]	O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv4 desta máquina.
[Endereço IPv6]	O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv6 desta máquina.
[Todos os ender. IPv4]	O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv4 do par de comunicação.
[Todos os ender. IPv6]	O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv6 do par de comunicação.
[Progr. man. IPv4]	Especifique o endereço IPv4 ao qual pretende aplicar o IPSec. Selecione [Único endereço] para introduzir um endereço IPv4 individual. Selecione [Vários endereços] para especificar um intervalo de endereços IPv4. Introduza um endereço separado para [Primeiro endereço] e [Último endereço]. Selecione [Program. de subrede] para especificar um intervalo de endereços IPv4 utilizando uma máscara de sub-rede. Introduza valores separados para [Primeiro endereço] e [Program. de subrede].
[Progr. man. IPv6]	Especifique o endereço IPv6 ao qual pretende aplicar o IPSec. Selecione [Único endereço] para introduzir um endereço IPv6 individual. Selecione [Vários endereços] para especificar um intervalo de endereços IPv6. Introduza um endereço separado para [Primeiro endereço] e [Último endereço]. Selecione [Endereço do prefixo] para especificar um intervalo de endereços IPv6 utilizando um prefixo. Introduza valores separados para [Primeiro endereço] e [Comprim. prefixo].

Especifique a porta à qual pretende aplicar o IPSec.

Selecione [Especificar por número de porta] para utilizar números de portas quando especificar as portas às quais o IPSec se aplica. Selecione [Todas as portas] para aplicar o IPSec a todos os números de porta. Para aplicar o IPSec a um determinado número de porta [Porta única] e introduza o número da porta. Especifique a porta desta máquina em[Porta local] e especifique a porta do par de comunicação em [Porta remota].

Para especifique a porta à qual pretende aplicar o IPSec por nome do serviço, selecione [Especificar por nome de serviço] e selecione os serviços a usar.

Clique em [OK].

Configure as programações de autenticação e codificação.

Clique em [Programações IKE].

Configure as programações necessárias.

[Modo IKE]

Selecione o modo de operação do protocolo Key Exchange. A segurança é reforçada se selecionar [Principal] porque é codificada a sessão do IKE propriamente dita, mas a velocidade da sessão é mais lenta do que com [Agressivo], o qual não codifica toda a sessão.

[Validade]

Configure o período de expiração da IKE SA gerada.

[Método de autenticação]

Selecione um dos métodos de autenticação descritos abaixo.

[Método chave pré-partilh.]	Programe a mesma frase-passe (chave pré-partilhada) que está programada para o par de comunicação. Selecione [Progs. chave partilhada], introduza a sequência de caracteres a usar como chave partilhada e selecione [OK].
[Método de Assinatura Digital]	Programe a chave e certificado a utilizar para autenticação mútua com o par de comunicação. Clique em [Chave e certificado] e clique em [Utilizar] para a chave a usar.

[Algoritmo autenticação/codificação]

Selecione [Auto] ou [Progs manuais] para programar a especificação do algoritmo de autenticação e codificação para o IKE fase 1. Se selecionar [Auto] será programado automaticamente um algoritmo que pode ser utilizado tanto por esta máquina como pelo par de comunicação. Se pretender especificar um determinado algoritmo, selecione [Progs manuais] e configure as programações abaixo.

[Autenticação]	Selecione o algoritmo de cardinal.
[Codificação]	Selecione o algoritmo de codificação.
[Grupo DH]	Selecione o grupo para o método de troca de chave Diffie-Hellman para programar a força da chave.

Clique em [OK].


Quando [Modo IKE] estiver programado como [Principal] no ecrã [IKE] e [Método de autenticação] como [Método chave pré-partilh.], as restrições seguintes serão aplicadas ao gravar várias políticas de segurança. Chave de método de chave pré-partilhada: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, todas as chaves partilhadas dessa política de segurança são idênticas (o mesmo não se aplica quando especifica um único endereço). Prioridade: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, a prioridade dessa política de segurança é inferior a políticas de segurança com um único endereço especificado.

Quando [Modo IKE] estiver programado como [Principal] no ecrã [IKE] e [Método de autenticação] como [Método chave pré-partilh.], as restrições seguintes serão aplicadas ao gravar várias políticas de segurança.

Chave de método de chave pré-partilhada: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, todas as chaves partilhadas dessa política de segurança são idênticas (o mesmo não se aplica quando especifica um único endereço).

Prioridade: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, a prioridade dessa política de segurança é inferior a políticas de segurança com um único endereço especificado.

Configure as programações da comunicação IPSec.

Clique em [Progs. de rede IPSec].

Configure as programações necessárias.

[Validade]

Configure o período de expiração da IPSec SA gerada. Não se esqueça de programar [Hora] ou [Formato]. Se definir ambos, a configuração com o valor que é alcançado primeiro é a aplicada.

[PFS]

Se selecionar [Usar PFS], o sigilo da chave de codificação será aumentado, mas a velocidade de comunicação será mais lenta. Além disso, a função de sigilo perfeito de encaminhamento (PFS) deve estar ativada no dispositivo par de comunicação.

[Algoritmo autenticação/codificação]

Selecione [Auto] ou [Progs manuais] para programar a especificação do algoritmo de autenticação e codificação para o IKE fase 2. Se selecionar [Auto], o algoritmo de autenticação e codificação ESP será programado automaticamente. Se pretender especificar um determinado método de autenticação, selecione [Progs manuais] e selecione um dos métodos de autenticação abaixo.

[ESP]	A autenticação e a codificação são realizadas. Selecione o algoritmo de [Autenticação ESP] e [Codificação ESP]. Selecione [NULO] se não pretender programar o algoritmo de codificação ou autenticação.
[ESP (AES-GCM)]	A AES-GCM é utilizada como o algoritmo ESP e a autenticação e codificação são realizadas.
[AH (SHA1)]	A autenticação é realizada, mas os dados não são codificados. SHA1 é utilizado como o algoritmo.

Clique em [OK].

Ativa as políticas gravadas e verifica a ordem de prioridade.

As políticas são aplicadas na ordem em que são apresentadas, começando pelo topo. Se pretender alterar a ordem de prioridade, selecione uma política na lista e clique em [Aumentar prioridade] ou em [Diminuir prioridade].


Gestão das políticas IPSec É possível editar políticas no ecrã apresentado no passo 4. Para editar os detalhes duma política, clique no nome da política na lista. Para desativar a política, clique no nome da política na lista selecione [Desligado] para [Ativ./desat. política] clique em [OK]. Para apagar uma política, selecione-a na lista clique em [Apagar] [OK]. Utilizar o painel de controlo Também pode ativar ou desativar a comunicação IPSec a partir de <Definições> no ecrã <Início>. <Definições IPSec> Importação em lote/Exportação em lote Esta programação pode ser importada/exportada com modelos que suportem a importação em lote desta programação. Importar/exportar dados de programações Esta programação está incluída em [Informações Básicas de Configurações/Registro] ao exportar em lote. Importar/exportar todas as programações

Gestão das políticas IPSec

É possível editar políticas no ecrã apresentado no passo 4.

Para editar os detalhes duma política, clique no nome da política na lista.

Para desativar a política, clique no nome da política na lista

selecione [Desligado] para [Ativ./desat. política]

clique em [OK].

Para apagar uma política, selecione-a na lista

clique em [Apagar]

[OK].

Utilizar o painel de controlo

Também pode ativar ou desativar a comunicação IPSec a partir de <Definições> no ecrã <Início>. <Definições IPSec>

Importação em lote/Exportação em lote

Esta programação pode ser importada/exportada com modelos que suportem a importação em lote desta programação. Importar/exportar dados de programações

Esta programação está incluída em [Informações Básicas de Configurações/Registro] ao exportar em lote. Importar/exportar todas as programações