Definindo as configurações IPSec

Usando IPSec, você pode evitar que terceiros interceptem ou alterem os pacotes IP transportados na rede IP. Como IPSec adiciona funções de segurança a um IP, um conjunto básico de protocolos usado para a Internet, ele pode fornecer uma segurança independente das aplicações ou da configuração de rede. Para realizar uma comunicação IPSec com essa máquina, você deve configurar as definições, como os parâmetros da aplicação e o algoritmo para a autenticação e a criptografia. Privilégios de Administrador são necessários para configurar essas definições.

Ativando o IPSec

Registrando uma Política


Modo de comunicação Esta máquina somente suporta modo de transporte para comunicação IPSec. Como resultado, autenticação e criptografia somente são aplicadas às porções de dados de pacotes IP. Protocolo de troca de chave Esta máquina suporta Internet Key Exchange versão 1 (IKEv1) para chaves de troca baseadas no Internet Security Association and Key Management Protocol (ISAKMP). Para o método de autenticação, configure o método de chave pré-compartilhada ou o método de assinatura digital. Ao configurar o método de chave pré-compartilhada, você precisa antes decidir uma senha (chave pré-compartilhada), que é usada entre a máquina e o ponto de comunicação IPSec. Quando configurar o método de assinatura digital, use um certificado CA e uma chave de formato e certificado PKCS#12 para realizar autenticação mútua entre a máquina e o ponto de comunicação IPSec. Para obter mais informações sobre o registro de novos certificados CA ou chaves/certificados, consulte Registrando uma chave e um certificado de comunicação de rede. Observe que SNTP deve ser configurado para a máquina antes de usar este método. Criando configurações de SNTP

Modo de comunicação

Esta máquina somente suporta modo de transporte para comunicação IPSec. Como resultado, autenticação e criptografia somente são aplicadas às porções de dados de pacotes IP.

Protocolo de troca de chave

Esta máquina suporta Internet Key Exchange versão 1 (IKEv1) para chaves de troca baseadas no Internet Security Association and Key Management Protocol (ISAKMP). Para o método de autenticação, configure o método de chave pré-compartilhada ou o método de assinatura digital.

Ao configurar o método de chave pré-compartilhada, você precisa antes decidir uma senha (chave pré-compartilhada), que é usada entre a máquina e o ponto de comunicação IPSec.

Quando configurar o método de assinatura digital, use um certificado CA e uma chave de formato e certificado PKCS#12 para realizar autenticação mútua entre a máquina e o ponto de comunicação IPSec. Para obter mais informações sobre o registro de novos certificados CA ou chaves/certificados, consulte Registrando uma chave e um certificado de comunicação de rede. Observe que SNTP deve ser configurado para a máquina antes de usar este método. Criando configurações de SNTP


Independentemente da definição de [Formatar método codificação p/FIPS 140-2] para a comunicação IPSec, um módulo de criptografia que já obteve a certificação FIPS140-2 será usado. Para tornar a comunicação IPSec compatível com FIPS 140-2, você deve definir o comprimento de chave de DH e RSA para comunicação IPSec como 2048 bits ou mais no ambiente de rede ao qual a máquina pertence. Somente o comprimento da chave para DH pode ser especificado a partir da máquina. Observe ao configurar seu ambiente, pois não há configurações para RSA na máquina. Você pode registrar até 10 políticas de segurança.

Independentemente da definição de [Formatar método codificação p/FIPS 140-2] para a comunicação IPSec, um módulo de criptografia que já obteve a certificação FIPS140-2 será usado.

Para tornar a comunicação IPSec compatível com FIPS 140-2, você deve definir o comprimento de chave de DH e RSA para comunicação IPSec como 2048 bits ou mais no ambiente de rede ao qual a máquina pertence.

Somente o comprimento da chave para DH pode ser especificado a partir da máquina.

Observe ao configurar seu ambiente, pois não há configurações para RSA na máquina.

Você pode registrar até 10 políticas de segurança.

Ativando o IPSec

Inicie a IU remota. Iniciando a IU Remota

Clique em [Programações/Grav.] na página do portal. Tela da UI Remota

Clique em [Programações de rede]

[Programações IPSec].

Selecione [Utilizar IPSec] e clique em [OK].

Para receber apenas pacotes que correspondem à política de segurança, selecione [Rejeitar] para [Receber pacotes sem políticas].

Registrando uma Política

Inicie a IU remota. Iniciando a IU Remota

Clique em [Programações/Grav.] na página do portal. Tela da UI Remota

Clique em [Programações de rede]

[Lista de políticas IPSec].

Clique em [Gravar nova política de IPSec].

Defina uma política.

[Nome da política]

Insira um nome para identificar a política.

[Ativ./desat. política]

Selecione [Ligado] para ativar a política registrada.

[Permitir só 256 bits como Comprimento chave AES]

Marque essa caixa de seleção para restringir o comprimento de chave do método de criptografia AES a 256 bits e atender os padrões de autenticação CC.

Configure os parâmetros de aplicação IPSec.

Clique em [Programações do seletor].

Especifique o endereço IP ao qual aplicar a política IPSec.

Especifique o endereço IP da máquina em [Endereço local] e especifique o endereço IP do ponto de comunicação em [Endereço remoto].

[Todos os ender. IP]	IPSec é aplicado a todos os pacotes IP enviados e recebidos.
[Endereço IPv4]	IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv4 desta máquina.
[Endereço IPv6]	IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv6 desta máquina.
[Todos os ender. IPv4]	IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv4 do ponto de comunicação.
[Todos os ender. IPv6]	IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv6 do ponto de comunicação.
[Progr. man. IPv4]	Especifique o endereço IPv4 ao qual aplicar o IPSec. Selecione [Único endereço] para inserir um endereço IPv4 individual. Selecione [Vários endereços] para especificar um intervalo de endereços IPv4. Insira um endereço separado para [Primeiro endereço] e [Último endereço]. Selecione [Program. de subrede] para especificar um intervalo de endereços IPv4 usando uma máscara de sub-rede. Insira valores separados para [Primeiro endereço] e [Program. de subrede].
[Progr. man. IPv6]	Especifique o endereço IPv6 ao qual aplicar o IPSec. Selecione [Único endereço] para inserir um endereço IPv6 individual. Selecione [Vários endereços] para especificar um intervalo de endereços IPv6. Insira um endereço separado para [Primeiro endereço] e [Último endereço]. Selecione [Endereço do prefixo] para especificar um intervalo de endereços IPv6 usando um prefixo. Insira valores separados para [Primeiro endereço] e [Comprim. prefixo].

Especifique a porta à qual aplicar o IPSec.

Selecione [Especificar por número de porta] para usar números da porta ao especificar as portas às quais o IPSec se aplica. Selecione [Todas as portas] para aplicar o IPSec a todos os números de porta. Para aplicar o IPSec a um número de porta específico, pressione [Porta única] e insira o número da porta. Especifique a porta da máquina em [Porta local] e especifique a porta do ponto de comunicação em [Porta remota].

Para especificar as portas a aplicar o IPSec pelo nome do serviço, selecione [Especificar por nome de serviço] e escolha os serviços a usar.

Clique em [OK].

Defina as configurações de autenticação e criptografia.

Clique em [Programações IKE].

Defina as configurações necessárias.

[Modo IKE]

Selecione o modo de operação para o protocolo de troca de chaves. A segurança aumenta se você seleciona [Principal] porque a própria sessão IKE é criptografada, mas a velocidade da sessão é menor comparando com [Agressivo], que não criptografa a sessão inteira.

[Validade]

Defina o período de vencimento do IKE SA gerado.

[Método de autenticação]

Selecione um dos métodos de autenticação descritos abaixo.

[Método chave pré-partilh.]	Defina a mesma senha (chave pré-compartilhada) que foi configurada para o ponto de comunicação. Selecione [Progs. chave partilhada], insira a sequência de caracteres a usar como a chave compartilhada e selecione [OK].
[Método de Assinatura Digital]	Defina a chave e o certificado a usar para a autenticação mútua com o ponto de comunicação. Clique em [Chave e certificado] e [Utilizar] para a chave a usar.

[Algoritmo autenticação/codificação]

Selecione [Auto] ou [Progs manuais] para definir como especificar a autenticação e o algoritmo de criptografia para IKE fase 1. Se você selecionar [Auto], um algoritmo que pode ser usado por essa máquina e pelo ponto de comunicação será definido automaticamente. Se quiser especificar certo algoritmo, selecione [Progs manuais] e configure as definições abaixo.

[Autenticação]	Selecione o algoritmo hash.
[Codificação]	Selecione o algoritmo de codificação.
[Grupo DH]	Selecione o grupo para o método de troca de chave Diffie-Hellman para configurar a força da chave.

Clique em [OK].


Quando a opção [Modo IKE] está definida para [Principal] na tela [IKE] e a opção [Método de autenticação] está definida para [Método chave pré-partilh.], as seguintes restrições se aplicam ao registrar várias políticas de segurança. Chave de método de chave pré-compartilhada: ao especificar múltiplos endereços IP remotos aos quais a política de segurança será aplicada, todas as chaves compartilhadas para essa política de segurança serão iguais (isso não se aplica quando um único endereço é especificado). Prioridade: ao especificar múltiplos endereços IP remotos aos quais a política de segurança será aplicada, a prioridade dessa política de segurança ficará abaixo de políticas de segurança com apenas um endereço especificado.

Quando a opção [Modo IKE] está definida para [Principal] na tela [IKE] e a opção [Método de autenticação] está definida para [Método chave pré-partilh.], as seguintes restrições se aplicam ao registrar várias políticas de segurança.

Chave de método de chave pré-compartilhada: ao especificar múltiplos endereços IP remotos aos quais a política de segurança será aplicada, todas as chaves compartilhadas para essa política de segurança serão iguais (isso não se aplica quando um único endereço é especificado).

Prioridade: ao especificar múltiplos endereços IP remotos aos quais a política de segurança será aplicada, a prioridade dessa política de segurança ficará abaixo de políticas de segurança com apenas um endereço especificado.

Defina as configurações de comunicação IPSec.

Clique em [Progs. de rede IPSec].

Defina as configurações necessárias.

[Validade]

Defina o período de expiração do IPSec SA gerado. Defina [Hora] ou [Formato]. Se ambos forem definidos, a definição com o valor a ser atingido primeiro será aplicada.

[PFS]

Se você selecionar [Usar PFS], o sigilo da chave de criptografia será aumentado, mas a velocidade de comunicação será menor. Além disso, a função Perfect Forward Secrecy (PFS) deve ser ativada no dispositivo do ponto de comunicação.

[Algoritmo autenticação/codificação]

Selecione [Auto] ou [Progs manuais] para definir como especificar a autenticação e o algoritmo de criptografia para IKE fase 2. Se você selecionar [Auto], a autenticação e o algoritmo de criptografia ESP serão definidos automaticamente. Se quiser especificar certo método de autenticação, selecione [Progs manuais] e escolha um dos métodos de autenticação abaixo.

[ESP]	A autenticação e a criptografia são executadas. Selecione o algoritmo para [Autenticação ESP] e [Codificação ESP]. Selecione [NULO] se não deseja definir a autenticação ou o algoritmo criptografia.
[ESP (AES-GCM)]	AES-GCM é usado como o algoritmo ESP e autenticação e criptografia são executadas.
[AH (SHA1)]	Autenticação é executada, mas dados não são criptografados. SHA1 é usado como o algoritmo.

Clique em [OK].

Ative as políticas registradas e verifique a ordem de prioridade.

As políticas são aplicadas na ordem em que são listadas, começando no topo. Se você quiser alterar a ordem de prioridade, selecione uma política na lista e pressione [Aumentar prioridade] ou [Diminuir prioridade].


Gerenciando políticas IPSec Você pode editar políticas na tela exibida na etapa 4. Para editar os detalhes de uma política, clique no nome da política na lista. Para desativar uma política, clique no nome da política na lista selecione [Desligado] para [Ativ./desat. política], clique em [OK]. Para excluir uma política, selecione a política na lista clique em [Apagar] [OK]. Usando o painel de controle Você também pode ativar ou desativar a comunicação IPSec a partir de <Definições> na tela <Início>. <Definições IPSec> Importação/exportação em lote Esta configuração pode ser importada/exportada com modelos que suportam a importação em lotes dessa configuração. Importando/exportando os dados de configurações Essa configuração pode ser incluída em [Informações Básicas de Configurações/Registro] quando exportar lotes. Importando/exportando todas as configurações

Gerenciando políticas IPSec

Você pode editar políticas na tela exibida na etapa 4.

Para editar os detalhes de uma política, clique no nome da política na lista.

Para desativar uma política, clique no nome da política na lista

selecione [Desligado] para [Ativ./desat. política],

clique em [OK].

Para excluir uma política, selecione a política na lista

clique em [Apagar]

[OK].

Usando o painel de controle

Você também pode ativar ou desativar a comunicação IPSec a partir de <Definições> na tela <Início>. <Definições IPSec>

Importação/exportação em lote

Esta configuração pode ser importada/exportada com modelos que suportam a importação em lotes dessa configuração. Importando/exportando os dados de configurações

Essa configuração pode ser incluída em [Informações Básicas de Configurações/Registro] quando exportar lotes. Importando/exportando todas as configurações