Utilizar o IPSec
Utilize o protocolo IPSec (IP Security) para impedir escutas e manipulação de pacotes IP enviados e recebidos através de uma rede IP. A codificação é efetuada ao nível do protocolo IP para garantir a segurança sem depender de uma aplicação ou configuração da rede.
Condições aplicáveis e modos suportados pelo protocolo IPSec
Pacotes aos quais o IPSec não se aplica
Pacotes que especificam um endereço de loopback, multicast ou difusão
Pacotes IKE enviados a partir da porta UDP 500
Pacotes de solicitação de vizinho e anúncio de vizinho ICMPv6
Modo de operação do protocolo de troca de chaves (modo IKE)
O modo IKE suportado pela máquina é apenas o modo principal utilizado para codificar pacotes. O modo agressivo de não codificação não é suportado.
Modo de comunicação
O modo de comunicação suportado pela máquina é apenas o modo de transporte, que codifica apenas o componente e exclui o cabeçalho IP. O modo de túnel, que codifica todo o pacote IP, não é suportado.
Utilizar IPSec em conjunto com filtragem de endereços IP
As definições de filtro de endereços IP são aplicadas primeiro. Configurar a firewall
Configuração da política de IPSec
Para utilizar a comunicação IPSec na máquina, tem de criar uma política de IPSec que inclua os algoritmos e intervalos aplicáveis para a autenticação e a codificação. A política é composta principalmente pelos seguintes itens.
Seletor
Especifique os pacotes IP que aplicam a comunicação IPSec. Além de especificar o endereço IP da máquina e dos dispositivos de comunicação, também pode especificar os respetivos números de portas.
IKE
O protocolo de troca de chaves suporta Internet Key Exchange versão 1 (IKEv1). Para o método de autenticação, selecione o método de chave pré-partilhada ou o método de assinatura digital.
Método de chave pré-partilhada
Este método de autenticação utiliza uma palavra-chave comum, a chave partilhada, para a comunicação entre a máquina e outros dispositivos.
Este método de autenticação utiliza uma palavra-chave comum, a chave partilhada, para a comunicação entre a máquina e outros dispositivos.
Método de assinatura digital
A máquina e os outros dispositivos autenticam-se mutuamente através da verificação das respetivas assinaturas digitais.
A máquina e os outros dispositivos autenticam-se mutuamente através da verificação das respetivas assinaturas digitais.
ESP/AH
Especifique as definições para ESP/AH, que é o protocolo utilizado para a comunicação IPSec. É possível utilizar AH e ESP simultaneamente. Utilize a função PFS (Perfect Forward Secrecy) para assegurar um maior nível de segurança.
Definir o IPSec
Ative a utilização do IPSec e, em seguida, crie e registe a política de IPSec. Caso tenham sido criadas várias políticas, especifique a ordem pela qual devem ser aplicadas.
Esta secção descreve como configurar as definições com a Interface Remota a partir de um computador.
No painel de controlo, selecione [Menu] no ecrã [Início] e, em seguida, selecione [Preferências] para configurar as definições. No entanto, o painel de controlo só pode ser utilizado para ativar ou desativar o IPSec. [Usar IPSec]
São necessários privilégios de administrador. A máquina tem de ser reiniciada para aplicar as definições.
No painel de controlo, selecione [Menu] no ecrã [Início] e, em seguida, selecione [Preferências] para configurar as definições. No entanto, o painel de controlo só pode ser utilizado para ativar ou desativar o IPSec. [Usar IPSec]
São necessários privilégios de administrador. A máquina tem de ser reiniciada para aplicar as definições.
|
Preparativos necessários
|
|
Ligue a máquina diretamente a um computador que se encontre na mesma rede privada virtual (VPN) da máquina. Confirme as condições de operação e termine as definições no computador previamente. IPSec
Prepare o seguinte de acordo com o método de autenticação IKE:
Se utilizar o método de chave pré-partilhada, ative o TLS para a comunicação através da IU remota. Utilizar o TLS
Se utilizar o método de assinatura digital, prepare a chave e o certificado a utilizar. Gerir e verificar uma chave e certificado
Se utilizar a função PFS, verifique se está ativada no dispositivo de comunicação.
|
1
Inicie sessão na Interface Remota no Modo de Administrador. Iniciar a interface remota
2
Na página do portal da IU remota, clique em [Configurações/Registro]. Página do portal da IU remota
3
Clique em [Configurações de Rede] 
[Configurações IPSec] [Editar].
[Configurações IPSec] [Editar].Aparece o ecrã [Editar Configurações de IPSec].
4
Selecione a caixa de verificação [Usar IPSec] e clique em [OK].
Para receber apenas pacotes que cumprem os requisitos da política, desmarque a caixa de verificação [Receber Pacotes de Não Política].
5
Clique em [Registrar Nova Política].
Aparece o ecrã [Registrar Nova Política de IPSec].
6
Em [Configurações de Política], introduza o nome da política e selecione a caixa de verificação [Ativar Política].
Para o nome da política, introduza um nome que identifique a política, utilizando carateres alfanuméricos de byte único.
7
Em [Configurações de Seletor], defina o seletor.
[Configurações de Endereço Local]
Selecione o tipo de endereço IP da máquina ao qual a política se aplica.
Para aplicar IPSec a todos os pacotes IP, selecione [Todos os Endereços IP].
Para aplicar IPSec aos pacotes IP enviados e recebidos com um endereço IPv4 ou IPv6, selecione [Endereço IPv4] ou [Endereço IPv6].
[Configurações de Endereço Remoto]
Selecione o tipo de endereço IP do dispositivo de comunicação ao qual a política se aplica.
Para aplicar IPSec a todos os pacotes IP, selecione [Todos os Endereços IP].
Para aplicar IPSec aos pacotes IP enviados e recebidos com um endereço IPv4 ou IPv6, selecione [Todos os Endereços IPv4] ou [Todos os Endereços IPv6].
Para especificar um endereço IPv4 ou IPv6 ao qual o IPSec se aplica, selecione [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6].
[Endereços a Serem Definidos Manualmente]
Quando a opção [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] está selecionada, introduza o endereço IP. Pode ainda especificar um intervalo de endereços IP através de um hífen (-).
Exemplo de introdução:
Um endereço IPv4
192.168.0.10
192.168.0.10
Um endereço IPv6
fe80::10
fe80::10
Especificação do intervalo
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Configurações de Sub-rede]
Quando a opção [Configurações Manuais de IPv4] está selecionada, pode utilizar uma máscara de sub-rede para especificar o intervalo de endereços IPv4.
Exemplo de introdução:
255.255.255.240
255.255.255.240
[Comprimento do Prefixo]
Quando a opção [Configurações Manuais de IPv6] está selecionada, pode utilizar um comprimento de prefixo para especificar o intervalo dos endereços IPv6. Introduza o comprimento de prefixo num intervalo de 0 a 128.
[Configurações de Porta]
Defina a porta à qual se aplica o IPSec em [Porta Local] na máquina e [Porta Remota] no dispositivo de comunicação.
Para aplicar IPSec a todos os números de porta, selecione [Todas as Portas].
Para aplicar IPSec a um protocolo específico, como HTTP ou WSD, selecione [Porta Única] e introduza o número da porta do protocolo.
8
Em [Configurações de IKE], defina IKE.
[Modo IKE]
A máquina só é compatível com o modo principal.
[Método de Autenticação]
Selecione o método de autenticação da máquina.
Quando a opção [Método de Chave Pré-Compartilhada] está selecionada, clique em [Configurações de Chave Compartilhada] introduza a cadeia a utilizar como chave partilhada utilizando carateres alfanuméricos de byte único clique em [OK].
introduza a cadeia a utilizar como chave partilhada utilizando carateres alfanuméricos de byte único clique em [OK].Quando a opção [Método de Assinatura Digital] está selecionada, clique em [Chave e Certificado] [Registrar Chave Padrão] à direita da chave e do certificado a utilizar.
[Registrar Chave Padrão] à direita da chave e do certificado a utilizar.
[Validade]
Introduza o período válido de IKE SA (ISAKMP SA) a utilizar como caminho de comunicação de controlo em minutos.
[Algoritmo de Autenticação/Criptografia]
Selecione ao algoritmo a utilizar para a troca de chaves.
9
Em [Configurações de Rede IPSec], configure as definições de rede de IPSec.
[Usar PFS]
Selecione esta caixa de verificação para configurar a função PFS para a chave de sessão.
[Validade]
Especifique o período válido de IPSec SA a utilizar como caminho de comunicação de dados por hora, tamanho ou ambos.
Quando a caixa de verificação [Especificar por Hora] está selecionada, introduza o período válido em minutos.
Quando a caixa de verificação [Especificar por Tamanho] está selecionada, introduza o período válido em megabytes.
Quando estão ambas selecionadas, aplica-se o item cujo valor especificado seja atingido primeiro.
[Algoritmo de Autenticação/Criptografia]
Selecione esta caixa de verificação de acordo com o cabeçalho IPSec (ESP e AH) a utilizar e o seu algoritmo.
[Autenticação ESP]
Quando a opção [ESP] está selecionada, selecione o algoritmo de autenticação. Para efetuar a autenticação ESP, selecione [SHA1]. Caso contrário, selecione [Não Usar].
[Criptografia ESP]
Quando a opção [ESP] está selecionada, selecione o algoritmo de codificação. Se não pretender especificar o algoritmo, selecione [NULO]. Para desativar a codificação, selecione [Não Usar].
[Modo de Conexão]
A máquina só suporta o modo de transporte.
10
Clique em [OK].
A política recém-registada é adicionada a [Políticas de IPSec Registradas] no ecrã [Configurações IPSec].
Quando estão registadas várias políticas
Clique em [Para cima] ou [Para baixo] à direita do nome da política para definir a prioridade. As políticas de nível superior têm prioridade na aplicação à comunicação IPSec.
11
Reinicie a máquina. Reiniciar a máquina
As definições são aplicadas.
|
Editar políticas registadasPara editar as informações registadas, clique no nome da política que pretende editar em [Políticas de IPSec Registradas] no ecrã [Configurações IPSec].
|