Configurando as definições IPSec
O Protocolo de segurança da internet (IPSec ou IPsec) é uma suíte de protocolos para codificar dados transportados em uma rede, incluindo as redes de internet. Enquanto o TLS codifica somente dados usados em um aplicativo específico, como um navegador da web ou um aplicativo de e-mails, o IPSec codifica pacotes IP completos ou as cargas úteis de pacotes IP, oferecendo um sistema de segurança mais versátil. O IPSec da máquina funciona em modo transporte, no qual as cargas úteis de pacotes IP são codificadas. Com este recurso, a máquina pode se conectar diretamente a um computador que esteja na mesma rede virtual privada (VPN). Verifique os requisitos do sistema e defina as configurações necessárias no computador antes de configurar a máquina.
|
|
Usando o IPSec com o filtro de endereço IPAs configurações de filtragem de endereço IP são aplicadas antes das políticas IPSec. Especificando endereços IP para configurações de firewall
|
Configurando as definições IPSec
Antes de usar IPSec para a comunicação codificada IPSec, você precisa registrar políticas de segurança (SP). Uma política de segurança consiste de grupos de definições descritas abaixo. Após registrar políticas, especifique a ordem na qual elas são aplicadas.
Seletor
O seletor define as condições para pacotes IP aplicarem a comunicação IPSec. Condições selecionáveis incluem endereço IP e números de porta da máquina e os dispositivos com os quais se comunicar.
IKE
IKE configura o IKEv1 usado para o protocolo de troca de chave. Observe que as instruções variam dependendo do método de autenticação selecionável.
[Método de Chave Pré-Compartilhada (Pre-Shared Key Method)]
Este método de autenticação usa uma palavra-chave comum, denominada Chave Compartilhada, para a comunicação entre a máquina e outros dispositivos. Ative o TLS para a Interface Remota antes de especificar este método de autenticação (Configurando a chave e o certificado para TLS).
Este método de autenticação usa uma palavra-chave comum, denominada Chave Compartilhada, para a comunicação entre a máquina e outros dispositivos. Ative o TLS para a Interface Remota antes de especificar este método de autenticação (Configurando a chave e o certificado para TLS).
[Método de Assinatura Digital (Digital Signature Method)]
A máquina e outros dispositivos autenticam um o outro verificando mutuamente suas assinaturas digitais. Gere ou instale a chave e o certificado de chaves de antemão (Registrando a chave e certificado para a comunicação de rede).
A máquina e outros dispositivos autenticam um o outro verificando mutuamente suas assinaturas digitais. Gere ou instale a chave e o certificado de chaves de antemão (Registrando a chave e certificado para a comunicação de rede).
AH/ESP
Especifique as configurações para AH/ESP, adicionado aos pacotes durante a comunicação IPSec. AH e ESP podem ser usados ao mesmo tempo. Você pode selecionar também se deseja ativar ou não o PFS para uma segurança mais firme.
|
|
|
Para mais informações sobre as operações básicas a serem executadas ao configurar a máquina a partir da Interface Remota, consulte Configurando as opções de menu a partir da Interface Remota.
|
1
Inicie a Interface Remota e faça o logon no Modo do Gerente do Sistema. Iniciando a Interface Remota
2
Clique em [Configurações/Registro (Settings/Registration)] na página do Portal. Tela da Interface Remota
3
Selecione [Configurações de Rede (Network Settings)] 
[Configurações IPSec (IPSec Settings)].
[Configurações IPSec (IPSec Settings)].4
Clique em [Editar (Edit)].
5
Marque a caixa de seleção [Usar IPSec (Use IPSec)] e clique em [OK (OK)].
Se você deseja que a máquina receba somente pacotes compatíveis com uma das políticas de segurança definidas por você nas etapas abaixo, limpe a caixa de seleção [Receber Pacotes de Não Política (Receive Non-Policy Packets)].
6
Clique em [Registrar Nova Política (Register New Policy)].
7
Especifique as definições da política.
|
1
|
Na caixa de texto [Nome da Política (Policy Name)], insira os caracteres alfanuméricos para um nome usado para identificar a política.
|
|
2
|
Marque a caixa de seleção [Ativar Política (Enable Policy)].
|
8
Especifique as definições do seletor.
[Endereço Local (Local Address)]
Clique no botão de rádio para o tipo de endereço IP da máquina para aplicar a política.
Clique no botão de rádio para o tipo de endereço IP da máquina para aplicar a política.
|
[Todos os Endereços IP (All IP Addresses)]
|
Selecione para usar IPSec para todos os pacotes IP.
|
|
[Endereço IPv4 (IPv4 Address)]
|
Selecione para usar IPSec para todos os pacotes IP enviados para e a partir do endereço IPv4 da máquina.
|
|
[Endereço IPv6 (IPv6 Address)]
|
Selecione para usar IPSec para todos os pacote IP enviados para e a partir do endereço IPv6 da máquina.
|
[Endereço Remoto (Remote Address)]
Clique no botão de rádio para o tipo de endereço IP de outros dispositivos para aplicar a política.
Clique no botão de rádio para o tipo de endereço IP de outros dispositivos para aplicar a política.
|
[Todos os Endereços IP (All IP Addresses)]
|
Selecione para usar IPSec para todos os pacotes IP.
|
|
[Todos os Endereços IPv4 (All IPv4 Addresses)]
|
Selecione para usar IPSec para todos os pacotes IP enviados para e a partir de endereços IPv4 de outros dispositivos.
|
|
[Todos os Endereços IPv6 (All IPv6 Addresses)]
|
Selecione para usar IPSec para todos os pacotes IP enviados para e a partir de endereços IPv6 de outros dispositivos.
|
|
[Configurações Manuais de IPv4 (IPv4 Manual Settings)]
|
Selecione para especificar um endereço IPv4 único ou um intervalo de endereços IPv4 para aplicar o IPSec. insira o endereço IPv4 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente (Addresses to Set Manually)].
|
|
[Configurações Manuais de IPv6 (IPv6 Manual Settings)]
|
Selecione para especificar um endereço IPv6 único ou um intervalo de endereços IPv6 para aplicar o IPSec. insira o endereço IPv6 (ou o intervalo) na caixa de texto [Endereços a Serem Definidos Manualmente (Addresses to Set Manually)].
|
[Endereços a Serem Definidos Manualmente (Addresses to Set Manually)]
Se [Configurações Manuais de IPv4 (IPv4 Manual Settings)] ou [Configurações Manuais de IPv6 (IPv6 Manual Settings)] é selecionado para [Endereço Remoto (Remote Address)], insira o endereço IP para aplicar a política. Você pode também inserir um intervalo de endereços colocando um hífen entre os endereços.
Se [Configurações Manuais de IPv4 (IPv4 Manual Settings)] ou [Configurações Manuais de IPv6 (IPv6 Manual Settings)] é selecionado para [Endereço Remoto (Remote Address)], insira o endereço IP para aplicar a política. Você pode também inserir um intervalo de endereços colocando um hífen entre os endereços.
Inserindo um endereço IP
|
Descrição
|
Exemplo
|
|
|
Digitando um único endereço
|
IPv4:
Delimite os número com pontos. |
192.168.0.10
|
|
IPv6:
Delimite os caracteres alfanuméricos com vírgulas. |
fe80::10
|
|
|
Especificando um intervalo de endereços
|
Insira um hífen entre os endereços.
|
192.168.0.10-192.168.0.20
|
[Configurações de Sub-rede (Subnet Settings)]
Ao especificar manualmente o endereço IPv4, você pode expressar o intervalo usando a máscara de sub-rede. Insira a máscara de sub-rede usando pontos para delimitar os números (exemplo: "255.255.255.240").
Ao especificar manualmente o endereço IPv4, você pode expressar o intervalo usando a máscara de sub-rede. Insira a máscara de sub-rede usando pontos para delimitar os números (exemplo: "255.255.255.240").
[Comprimento do Prefixo (Prefix Length)]
A especificação manual do intervalo de endereços IPv6 também permite especificar o intervalo usando prefixos. Digite um intervalo entre 0 e 128 como o comprimento do prefixo.
A especificação manual do intervalo de endereços IPv6 também permite especificar o intervalo usando prefixos. Digite um intervalo entre 0 e 128 como o comprimento do prefixo.
[Porta Local (Local Port)]/[Porta Remota (Remote Port)]
Se você deseja criar políticas separadas para cada protocolo, como HTTP ou WSD, insira o número da porta apropriada para o protocolo para determinar o uso ou não do IPSec.
Se você deseja criar políticas separadas para cada protocolo, como HTTP ou WSD, insira o número da porta apropriada para o protocolo para determinar o uso ou não do IPSec.
O IPSec não é aplicado aos seguintes pacotes
Pacotes de transmissão, Loopback e multicast
Pacotes IKE (usando UDP na porta 500)
Pacotes de notificação do vizinho e solicitação do vizinho ICMPv6
9
Especifique as definições IKE.
[Modo IKE (IKE Mode)]
O modo usado para o protocolo de troca de chave é exibido. A máquina suporta o modo principal, não o modo agressivo.
O modo usado para o protocolo de troca de chave é exibido. A máquina suporta o modo principal, não o modo agressivo.
[Método de Autenticação (Authentication Method)]
Selecione [Método de Chave Pré-Compartilhada (Pre-Shared Key Method)] ou [Método de Assinatura Digital (Digital Signature Method)] para o método usado ao autenticar a máquina. Você precisa ativar o TLS para a Interface Remota antes de selecionar [Método de Chave Pré-Compartilhada (Pre-Shared Key Method)]. Você precisa gerar ou instalar uma chave e certificado antes de selecionar [Método de Assinatura Digital (Digital Signature Method)]. Configurando a chave e o certificado para TLS
Selecione [Método de Chave Pré-Compartilhada (Pre-Shared Key Method)] ou [Método de Assinatura Digital (Digital Signature Method)] para o método usado ao autenticar a máquina. Você precisa ativar o TLS para a Interface Remota antes de selecionar [Método de Chave Pré-Compartilhada (Pre-Shared Key Method)]. Você precisa gerar ou instalar uma chave e certificado antes de selecionar [Método de Assinatura Digital (Digital Signature Method)]. Configurando a chave e o certificado para TLS
[Válido para (Valid for)]
Especifique a duração para IKE SA (ISAKMP SA). Insira o tempo em minutos.
Especifique a duração para IKE SA (ISAKMP SA). Insira o tempo em minutos.
[Autenticação (Authentication)]/[Criptografia (Encryption)]/[Grupo DH (DH Group)]
Selecione um algoritmo da lista suspensa. Cada algoritmo é usado na troca de chave.
Selecione um algoritmo da lista suspensa. Cada algoritmo é usado na troca de chave.
|
[Autenticação (Authentication)]
|
Selecione o algoritmo hash.
|
|
[Criptografia (Encryption)]
|
Selecione o algoritmo de codificação.
|
|
[Grupo DH (DH Group)]
|
Selecione o grupo Diffie-Hellman, que determina a força da chave.
|
Autenticando uma máquina usando uma chave pré-compartilhada
|
1
|
Clique no botão de opção [Método de Chave Pré-Compartilhada (Pre-Shared Key Method)] para [Método de Autenticação (Authentication Method)] e depois clique em [Configurações de Chave Compartilhada (Shared Key Settings)].
|
|
2
|
Insira os caracteres alfanuméricos para a chave pré-compartilhada e clique em [OK (OK)].
|
|
3
|
Especifique as configurações [Válido para (Valid for)] e [Autenticação (Authentication)]/[Criptografia (Encryption)]/[Grupo DH (DH Group)].
|
Autenticando uma máquina usando o método de assinatura digital
|
1
|
Clique no botão de opção [Método de Assinatura Digital (Digital Signature Method)] para [Método de Autenticação (Authentication Method)] e depois clique em [Chave e Certificado (Key and Certificate)].
|
|
2
|
Clique em [Registrar Chave Padrão (Register Default Key)] à direita da chave e certificado que você deseja usar.
Visualizando detalhes de um certificado
Você pode conferir detalhes do certificado ou verificar o certificado clicando no link de texto correspondente sob [Nome da Chave (Key Name)], ou no ícone do certificado.
|
|
3
|
Especifique as configurações [Válido para (Valid for)] e [Autenticação (Authentication)]/[Criptografia (Encryption)]/[Grupo DH (DH Group)].
|
10
Especifique as definições de rede IPSec.
[Usar PFS (Use PFS)]
Selecione a caixa de verificação para ativar o Perfect Forward Secrecy (PFS) para as chaves de sessões IPSec. Ativar o PFS aumenta a segurança ao aumentar a carga na comunicação. Certifique-se que o PFS também esteja ativado para outros dispositivos.
Selecione a caixa de verificação para ativar o Perfect Forward Secrecy (PFS) para as chaves de sessões IPSec. Ativar o PFS aumenta a segurança ao aumentar a carga na comunicação. Certifique-se que o PFS também esteja ativado para outros dispositivos.
[Especificar por Hora (Specify by Time)]/[Especificar por Tamanho (Specify by Size)]
Defina as condições para finalizar a sessão para IPSec SA. IPSec SA é usado como um túnel de comunicação. Selecione uma das caixas de verificação ou ambas conforme necessário. Se ambas as caixas de verificação, a sessão SA é finalizada quando uma das condições for satisfeita.
Defina as condições para finalizar a sessão para IPSec SA. IPSec SA é usado como um túnel de comunicação. Selecione uma das caixas de verificação ou ambas conforme necessário. Se ambas as caixas de verificação, a sessão SA é finalizada quando uma das condições for satisfeita.
|
[Especificar por Hora (Specify by Time)]
|
Insira um tempo em minutos para especificar a duração da sessão.
|
|
[Especificar por Tamanho (Specify by Size)]
|
Insira um tamanho em megabytes para especificar o quanto pode ser transportado em uma sessão.
|
[Selecionar Algoritmo (Select Algorithm)]
Selecione a(s) caixa(s) de seleção [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))], ou [AH (SHA1) (AH (SHA1))] dependendo do cabeçalho IPSec e do algoritmo usado. AES-GCM é um algoritmo tanto para autenticação como para codificação. Se [ESP (ESP)] for selecionado, selecione também algoritmos para autenticação e codificação nas listas [Autenticação ESP (ESP Authentication)] e [Criptografia ESP (ESP Encryption)].
Selecione a(s) caixa(s) de seleção [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))], ou [AH (SHA1) (AH (SHA1))] dependendo do cabeçalho IPSec e do algoritmo usado. AES-GCM é um algoritmo tanto para autenticação como para codificação. Se [ESP (ESP)] for selecionado, selecione também algoritmos para autenticação e codificação nas listas [Autenticação ESP (ESP Authentication)] e [Criptografia ESP (ESP Encryption)].
|
[Autenticação ESP (ESP Authentication)]
|
Para ativar a autenticação ESP, selecione [SHA1 (SHA1)] para o algoritmo hash. Selecione [Não Usar (Do Not Use)] se você deseja desativar a autenticação ESP.
|
|
[Criptografia ESP (ESP Encryption)]
|
Selecione o algoritmo de codificação para ESP. Você pode selecionar [NULO (NULL)] se não quiser especificar o algoritmo ou selecionar [Não Usar (Do Not Use)] se não quiser desativar a codificação ESP.
|
[Modo de Conexão (Connection Mode)]
O modo de conexão de IPSec é exibido. A máquina suporta o modo transporte, no qual as cargas úteis dos pacotes IP são codificadas. Modo túnel, no qual os pacotes IP completos (cabeçalhos e cargas úteis são) são encapsulados, não está disponível.
O modo de conexão de IPSec é exibido. A máquina suporta o modo transporte, no qual as cargas úteis dos pacotes IP são codificadas. Modo túnel, no qual os pacotes IP completos (cabeçalhos e cargas úteis são) são encapsulados, não está disponível.
11
Clique em [OK (OK)].
Se você não precisar registrar uma política de segurança adicional, retorne para a etapa 6.
12
Organize a ordem das políticas relacionadas sob [Políticas de IPSec Registradas (Registered IPSec Policies)].
As políticas são aplicadas da posição mais alta para a posição mais baixa. Clique em [Para cima (Up)] ou [Para baixo (Down)] para mover a política para cima ou para baixo na ordem.
Editando uma política
Clique no link de texto correspondente sob o [Nome da Política (Policy Name)] para ver a tela de edição.
Excluindo uma política
Clique em [Excluir (Delete)] à direita do nome da política que você deseja excluir e clique em [OK (OK)].
e clique em [OK (OK)].13
Reinicie a máquina.
Desligue a máquina, espere pelo menos 10 segundos e ligue-a novamente.
|
|
Usando o painel de operaçõesTambém é possível ativar ou desativar a comunicação IPSec no <Menu (Menu)> da tela Início (Home). <Usar IPSec (Use IPSec)>
|