Configurando as definições IPSec

Configurando as definições IPSec

A segurança de protocolo da internet (IPSec ou IPSec) é uma suíte de protocolos para codificar dados transportados em uma rede, incluindo as redes de internet. Enquanto o TLS codifica somente dados usados em um aplicativo específico, como um navegador da web ou um aplicativo de e-mails, o IPSec codifica pacotes IP completos ou as cargas úteis de pacotes IP, oferecendo um sistema de segurança versátil. O IPSec da máquina funciona em modo transporte, no qual as cargas úteis de pacotes IP são codificados. Com este recurso, a máquina pode se conectar diretamente a um computador que esteja na mesma rede virtual privada (VPN). Verifique os requisitos do sistema e defina as configurações necessárias no computador antes de configurar a máquina.
 
Requerimentos do sistema
Antes de configurar as definições de comunicação IPSec
Verifique as configurações de IPSec no sistema operacional com o qual a máquina irá se comunicar. Uma combinação incorreta de configurações de sistema operacional e configurações da máquina irá desativar a comunicação IPSec.
Restrições funcionais IPSec
IPSec suporta comunicação para um endereço unicast (ou um dispositivo único).
A máquina não pode usar IPSec e DHCPv6 ao mesmo tempo.
IPSec não está disponível em redes nas quais NAT ou máscara IP estejam implementadas.
Na fase1 de IKEv1, PFS não é suportado.
Usando o IPSec com o filtro de endereço IP
As configurações de IPSec são aplicadas antes das configurações de filtro de endereços IP, durante o recebimento de pacotes, enquanto as definições de endereço IP são aplicadas antes das configurações de IPSec durante a transmissão de pacotes. Especificando endereços IP para regras de firewall

Registrando políticas de segurança

Para usar o IPSec para comunicação criptografada, você precisa cadastrar as políticas de segurança (SP) antes de ativar as configurações de IPSec (Ativando a comunicação IPSec). Uma política de segurança é composta pelos grupos de definições descritas abaixo. Até 10 políticas podem ser registradas. Você pode registrar várias políticas de acordo com a combinação do endereço IP e o número da porta. Depois de registrar políticas, especifique a ordem em que elas são aplicadas.
Seletor
O seletor define as condições para pacotes IP aplicarem a comunicação IPSec. Condições selecionáveis incluem endereço IP e números de porta da máquina e os dispositivos com os quais se comunicar.
IKE
IKE configura o IKEv1 usado para o protocolo de troca de chave. Observe que as instruções variam dependendo do método de autenticação selecionável.
[Método de Chave Pré-Compartilhada]
Uma chave composta por até 24 caracteres alfanuméricos pode ser compartilhada com outros dispositivos. Ative TLS para a Interface Remota com antecedência (Usar TLS para comunicação criptografada).
[Método de Assinatura Digital]
A máquina e os outros dispositivos autenticam um ao outro por meio da verificação mútua de suas assinaturas digitais. Tenha um par de chaves pronto para usar (Usando pares de chave e certificados digitais emitidos por uma CA).
Configurando protocolos e opções
Especifique as configurações para ESP/AH, que são adicionados aos pacotes durante a comunicação IPSec. ESP e AH não podem ser usados simultaneamente. Você pode selecionar também se deseja ativar ou não o PFS para mais segurança.
1
Inicie a Interface Remota e faça o logon no modo Administrador. Iniciando a Interface Remota
2
Clique em [Configurações/Registro].
3
Clique em [Segurança]  [Configurações IPSec].
4
Clique em [Lista Políticas IPSec].
5
Clique em [Registrar Política de IPSec].
6
Digite um nome de política em [Nome da Política] e marque a caixa de seleção [Ativar Política].
[Nome da Política]
Insira até 24 caracteres alfanuméricos para um nome que é usado para identificar a política.
[Ativar Política]
Marque a caixa de seleção para ativar a política. Quando não estiver utilizando a política, desmarque a caixa de seleção.
7
Especifique as definições do seletor.
[Endereço Local]
Selecione na lista a seguir o tipo de endereço IP da máquina para aplicar a política.
[Todos os Endereços IP]
Selecione para usar IPSec para todos os pacotes IP.
[Endereço IPv4]
Selecione para usar IPSec para todos os pacotes IP enviados para e a partir do endereço IPv4 da máquina.
[Endereço IPv6]
Selecione para usar IPSec para todos os pacote IP enviados para e a partir do endereço IPv6 da máquina.
[Configurações Manuais de IPv4]
Selecione para especificar um endereço IPv4 único ou um intervalo de endereços IPv4 para aplicar o IPSec. insira o endereço IPv4 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente].
[Configurações Manuais de IPv6]
Selecione para especificar um endereço IPv6 único ou um intervalo de endereços IPv6 para aplicar o IPSec. insira o endereço IPv6 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente].
[Endereços a Serem Definidos Manualmente]
Se [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] está selecionado para [Endereço Local], digite o endereço IP para aplicar a política.
[Configurações de Sub-rede]
Ao especificar manualmente o endereço IPv4, você pode expressar o intervalo usando a máscara de sub-rede. Digite a máscara de sub-rede usando pontos para delimitar os números (exemplo: "255.255.255.240").
[Endereço Remoto]
Selecione o tipo de endereço IP de outros dispositivos para aplicar a política a partir da lista abaixo.
[Todos os Endereços IP]
Selecione para usar IPSec para todos os pacotes IP.
[Todos os Endereços IPv4]
Selecione para usar IPSec para todos os pacote IP enviados de e para um endereço IPv4.
[Todos os Endereços IPv6]
Selecione para usar IPSec para todos os pacote IP enviados de e para um endereço IPv6.
[Configurações Manuais de IPv4]
Selecione para especificar um endereço IPv4 único ou um intervalo de endereços IPv4 para aplicar o IPSec. insira o endereço IPv4 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente].
[Configurações Manuais de IPv6]
Selecione para especificar um endereço IPv6 único ou um intervalo de endereços IPv6 para aplicar o IPSec. insira o endereço IPv6 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente].
[Endereços a Serem Definidos Manualmente]
Se [Configurações Manuais de IPv4] ou [Configurações Manuais de IPv6] está selecionado para [Endereço Remoto], digite o endereço IP para aplicar a política.
[Configurações de Sub-rede]
Ao especificar manualmente o endereço IPv4, você pode expressar o intervalo usando a máscara de sub-rede. Digite a máscara de sub-rede usando pontos para delimitar os números (exemplo: "255.255.255.240").
[Porta Local]/[Porta Remota]
Se você deseja criar políticas separadas para cada protocolo, como HTTP ou SMTP, insira o número da porta apropriada para o protocolo para determinar o uso ou não do IPSec.
IPSec não é aplicada aos pacotes que têm um endereço de multicast ou broadcast especificado.
8
Especifique as definições IKE.
[Modo IKE]
O modo utilizado para o protocolo de troca de chaves é exibido. Normalmente, selecione o modo principal.
Selecione o modo agressivo quando o endereço IP não é fixo. Observe que a segurança é menor no modo agressivo do que no modo principal.
[Método AUTH]
Selecione [Método de Chave Pré-Compartilhada] ou [Método de Assinatura Digital] para o método utilizado na autenticação da máquina.
Quando o modo agressivo é selecionado em [Modo IKE], a configuração [Método de Chave Pré-Compartilhada] não criptografa a chave compartilhada.
[Algoritmo de Autenticação/Criptografia]
Para definir automaticamente o algoritmo que é usado para a troca de chaves, marque a caixa de seleção [Automático]. Se você marcar a caixa de seleção, o algoritmo é definido como mostrado abaixo.
[Autenticação]
[SHA1 e MD5]
[Criptografia]
[3DES-CBC e AES-CBC]
[Grupo DH]
[Grupo 2 (1024)]
Para definir manualmente o algoritmo, desmarque a caixa de seleção e escolha do algoritmo.
[Autenticação]
Selecione o algoritmo hash.
[Criptografia]
Selecione o algoritmo de codificação.
[Grupo DH]
Selecione o grupo Diffie-Hellman, que determina a força da chave.
Usando [Método de Chave Pré-Compartilhada] para a autenticação
1
Selecione [Método de Chave Pré-Compartilhada] para [Método AUTH] e clique em [Configurações de Chave Compartilhada].
2
Insira até 24 caracteres alfanuméricos para a chave pré-compartilhada e clique em [OK].
Usando [Método de Assinatura Digital] para a autenticação
1
Selecione [Método de Assinatura Digital] para [Método AUTH] e clique [Chave e Certificado].
2
Selecione o par de chaves que deseja usar e clique em [Configurações de Chave Padrão].
Visualizando detalhes de um par de chaves ou certificado
Você pode conferir detalhes do certificado ou verificar o certificado clicando no link de texto correspondente sob [Nome da Chave], ou no ícone do certificado. Verificando os pares de chaves e certificados digitais
9
Especifique as definições de rede IPSec.
[Usar PFS]
Selecione a caixa de verificação para ativar o Perfect Forward Secrecy (PFS) para as chaves de sessões IPSec. Ativar o PFS aumenta a segurança ao aumentar a carga na comunicação. Certifique-se que o PFS também está ativado para outros dispositivos. Quando não estiver usando o PFS, desmarque a caixa de seleção.
[Validade]
Especifique por quanto tempo SA é usado como túnel de comunicação. Marque a caixa de seleção [Especificar por Hora] ou [Especificar por Tamanho] ou ambas as caixas, conforme necessário. Se ambas as caixas de seleção estão marcadas, a sessão IPSec SA é encerrada quando uma das condições for satisfeita.
[Especificar por Hora]
Insira o tempo em minutos para especificar a duração de uma sessão. O tempo inserido é aplicado a IPSec SA e IKE SA.
[Especificar por Tamanho]
Insira um tamanho em megabytes para especificar o quanto de dados pode ser transportado em uma sessão. O tamanho inserido é aplicado somente a IPSec SA.
Se você marcou a caixa de seleção [Especificar por Tamanho] apenas
A validade IKE SA não pode ser especificada pelo tamanho, de modo que o valor inicial (480 minutos) de [Especificar por Hora] é aplicado.
[Algoritmo de Autenticação/Criptografia]
Selecione o protocolo e algoritmo a ser utilizado para a comunicação IPSec.
Configurando a conexão automaticamente
Selecione [Automático].
[Autenticação ESP]
ESP está ativado e o algoritmo de autenticação está definido como [SHA1 e MD5].
[Criptografia ESP]
ESP está ativado e o algoritmo de criptografia está definido como [3DES-CBC e AES-CBC].
Usando ESP
Escolha [ESP] e selecione o algoritmo de autenticação e algoritmo de criptografia.
[Autenticação ESP]
Selecione o algoritmo de hash a ser usado para a autenticação ESP.
[Criptografia ESP]
Selecione o algoritmo de criptografia para ESP.
Usando o AH
Escolha [AH] e selecione o algoritmo de hash a ser usado para a autenticação AH de [Autenticação AH].
[Modo de Conexão]
O modo de conexão de IPSec é exibido. A máquina suporta o modo transporte, no qual as cargas úteis dos pacotes IP são codificadas. Modo túnel, no qual os pacotes IP completos (cabeçalhos e cargas úteis são) são encapsulados, não está disponível.
10
Clique em [OK].
Se você não precisar registrar uma política de segurança adicional, retorne para a etapa 5.
11
Organize a ordem das políticas relacionadas sob [Lista Políticas IPSec].
As políticas são aplicadas da posição mais alta para a posição mais baixa. Clique em [Elevar Prioridade] ou [Reduzir Prioridade] para mover a política para cima ou para baixo na ordem.
Editando uma política
Você pode clicar no link de texto em [Nome da Política] para editar as configurações.
Excluindo uma política
Clique em [Excluir] à direita da política que deseja excluir.
12
Execute uma reinicialização forçada.
Clique em [Controle do Dispositivo], selecione [Reinicialização Forçada] e clique em [Executar].
As configurações são ativadas depois que a reinicialização forçada é executada.

Ativando a comunicação IPSec

Após concluir o registro das políticas de segurança, ative a comunicação IPSec.
1
Inicie a Interface Remota e faça o logon no modo Administrador. Iniciando a Interface Remota
2
Clique em [Configurações/Registro].
3
Clique em [Segurança]  [Configurações IPSec].
4
Clique em [Editar].
5
Marque a caixa de seleção [Usar IPSec] e clique em [OK].
[Usar IPSec]
Ao utilizar IPSec na máquina, marque a caixa de seleção. Quando não estiver usando, desmarque a caixa de seleção.
[Permitir Receber Pacotes de Não Política]
Se você marcou a caixa de seleção ao usar IPSec, os pacotes que não estão disponíveis para as políticas registradas também são enviados/recebidos. Para desativar o envio/recebimento de pacotes que não estão disponíveis para as políticas, desmarque a caixa de seleção.
6
Execute uma reinicialização forçada.
Clique em [Controle do Dispositivo], selecione [Reinicialização Forçada] e clique em [Executar].
As configurações estão ativadas depois que a reinicialização forçada é executada.
Usando o painel de operações
Você também pode ativar ou desativar a comunicação IPSec no menu de configuração do painel de operação. IPSec
1CF8-04J