Como configurar uma conexão L2TP/IPSec usando a autenticação de chave pré-compartilhada

Traduções deste artigo Traduções deste artigo
ID do artigo: 240262 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi publicado anteriormente em BR240262
Importante Este artigo contém informações sobre como modificar o Registro. Antes de modificá-lo, faça um backup e certifique-se de que saiba como restaurá-lo caso ocorra algum problema. Para obter informações sobre como fazer backup, restaurar e modificar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

INTRODUCTION

O Microsoft Windows 2000 cria automaticamente uma diretiva de protocolo IPSec usada com conexões L2TP/IPSec que exigem um certificado para a autenticação de IKE. A Microsoft oferece suporte a implementações VPN (rede virtual privada) entre gateways L2TP/IPSec, usando uma chave pré-compartilhada para a autenticação IKE. No entanto, a Microsoft não oferece suporte ao uso de uma chave pré-compartilhada para a autenticação IKE em conexões de cliente de L2TP/IPSec de acesso remoto. O Windows 2000 é compatível com a IKE RFC 2409 e permite que você implemente uma chave pré-compartilhada para a autenticação IKE nas conexões de cliente L2TP/IPSec de acesso remoto. No entanto, é aconselhável usar a implementação apenas para teste.

Para implementar o método de autenticação de chave pré-compartilhada a ser usado com uma conexão de L2TP/IPSec:
  • Você deve adicionar o valor do Registro ProhibitIpSec para os dois computadores de ponto de extremidade com o Windows 2000.
  • Você deve configurar manualmente uma diretiva IPSec antes que uma conexão L2TP/IPSec seja estabelecida entre dois computadores com o Windows 2000.
Este artigo descreve como configurar dois servidores de serviço de roteamento e acesso remoto com o Windows 2000 conectados por uma rede local para usar uma conexão L2TP/IPSec com a autenticação de chave pré-compartilhada. Também estão incluídas informações sobre como configurar uma diretiva IPSec para aceitar conexões usando várias chaves pré-compartilhadas ou autoridades de certificação.

Mais Informações

Aviso O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.
Para configurar dois servidores de serviço de roteamento e acesso remoto com o Windows 2000 conectados por uma LAN para usar uma conexão L2TP/IPSec com a autenticação de chave pré-compartilhada, é necessário adicionar o valor do Registro ProhibitIpSec aos dois computadores de ponto de extremidade com o Windows 2000 de uma conexão L2TP/IPSec para impedir que o filtro automático do tráfego L2TP/IPSec seja criado.

Quando o valor do Registro ProhibitIpSec é definido para 1, o computador com o Windows 2000 não cria o filtro automático que usa a autenticação CA. Em vez disso, ele verifica uma diretiva local ou IPSec do Active Directory.

Para adicionar o valor do Registro ProhibitIpSec ao computador com o Windows 2000, execute as seguintes etapas:
  1. Clique em Iniciar, em Executar, digite regedt32 e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. No menu Editar, clique em Adicionar valor.
  4. Na caixa Nome do valor, digite ProhibitIpSec.
  5. Na lista Tipo de dados, clique em REG_DWORD e em OK.
  6. Na caixa Dados, digite 1 e clique em OK.
  7. Encerre o Editor do Registro e reinicie o computador.

Como criar uma diretiva IPSec, a ser usada nas conexões L2TP/IPSec, usando uma chave pré-compartilhada

Observação O seguinte procedimento pressupõe que o valor do Registro ProhibitIpSec seja adicionado aos dois servidores de ponto de extremidade da empresa de serviço de roteamento e acesso remoto com o Windows 2000 e que os servidores foram reiniciados.
  1. Clique em Iniciar, em Executar, digite mmc e clique em OK.
  2. Clique em Console, em Adicionar/Remover Snap-in, em Adicionar, em Gerenciamento de diretivas de segurança IP, clique em Adicionar, em Concluir, em Fechar e em OK.
  3. Clique com o botão direito do mouse em Diretivas de segurança IP em computador local, clique em Criar diretiva de segurança IP e em Avançar.
  4. Na caixa de diálogo Nome da diretiva de segurança IP, digite o nome da diretiva de segurança IP na caixa Nome e clique em Avançar.
  5. Na caixa de diálogo Solicitações de comunicação segura, desmarque a caixa de seleção Ativar a regra de reposta padrão e clique em Avançar.
  6. Marque a caixa de seleção Editar propriedades e clique em Concluir.
  7. Na caixa de diálogo Propriedades da nova diretiva de segurança IP, clique em Adicionar na guia Regras e em Avançar.
  8. Na caixa de diálogo Ponto de extremidade do encapsulamento, clique em Esta regra não especifica um encapsulamento e em Avançar.
  9. Na caixa de diálogo Tipo de rede, clique em Todas as conexões de rede e em Avançar.
  10. Na caixa de diálogo Método de autenticação, clique em Usar esta seqüência para proteger a troca de chaves (chave pré-compartilhada), digite uma chave pré-compartilhada e clique em Avançar.
  11. Na caixa de diálogo Lista de filtros IP, clique em Adicionar, digite um nome para a lista de filtro IP na caixa Nome, clique em Adicionar e em Avançar.
  12. Na caixa de diálogo Origem do tráfego IP, clique em Um endereço IP específico na caixa Endereço de Origem, digite o endereço TCP/IP do servidor de serviço de roteamento e acesso remoto com o Windows 2000 na caixa Endereço IP e clique em Avançar.

    Observação O endereço de origem usado em todos os servidores de ponto de extremidade do serviço de roteamento e acesso remoto com o Windows 2000 devem corresponder. Por exemplo, caso o endereço de origem seja 1.1.1.1, será necessário usar 1.1.1.1 como sendo o endereço de origem em ambos os servidores de ponto de extremidade do serviço de roteamento e acesso remoto com o Windows 2000.
  13. Na caixa de diálogo Destino do tráfego IP, clique em Um endereço IP específico na caixa Endereço de Destino, digite o endereço TCP/IP do servidor de serviço de roteamento e acesso remoto com o Windows 2000 de destino e clique em Avançar.

    Observação O endereço de destino usado em todos os servidores de ponto de extremidade do serviço de roteamento e acesso remoto com o Windows 2000. Por exemplo, caso o endereço de destino seja 2.2.2.2, será necessário usar 2.2.2.2 como sendo um endereço de destino em ambos os servidores de ponto de extremidade do serviço de roteamento e acesso remoto com o Windows 2000.
  14. Na caixa de diálogo Tipo de protocolo IP, clique em UDP na caixa Selecione um tipo de protocolo, e clique em Avançar.
  15. Na caixa de diálogo Porta do protocolo IP, clique em Desta porta, digite 1701 na caixa Desta porta, clique em Para qualquer porta e em Avançar.
  16. Marque a caixa de seleção Editar propriedades, clique em Concluir e marque a caixa de seleção Espelhado. Também coincidir com pacotes que tenham os endereços de origem e de destino exatamente opostos na caixa de diálogo Propriedades de Filtro.
  17. Clique em OK e em Fechar.
  18. Na caixa de diálogo Lista de filtros IP, clique no filtro IP que você acabou de criar e clique em Avançar.
  19. Na caixa de diálogo Ação de filtro, clique em Adicionar e crie uma nova ação de filtro que especifica quais algoritmos de integridade e de criptografia serão usados.

    Observação A nova ação de filtro deve ter o recurso "Aceitar comunicação não segura, mas sempre responder usando IPSec" desabilitado para melhorar a segurança.
  20. Clique em Avançar, em Concluir e em Fechar.
  21. Clique com o botão direito na diretiva IPSec que você acabou de criar e clique em Atribuir.
Observação É necessário configurar ambos os servidores de ponto de extremidade do serviço de roteamento e acesso remoto com o Windows 2000 da mesma forma. O filtro IPSec é exibido de um lado da conexão quando está configurado no primeiro servidor de ponto de extremidade do serviço de roteamento e acesso remoto com o Windows 2000, e uma réplica do filtro IPSec é criada no segundo servidor de ponto de extremidade do serviço de roteamento e acesso remoto com o Windows 2000. Com base no exemplo descrito anteriormente neste artigo, se o primeiro servidor de ponto de extremidade do serviço de roteamento e acesso remoto com o Windows 2000 tivesse um endereço TCP/IP 1.1.1.1 e o segundo, 2.2.2.2, seria criado um filtro dentro da diretiva IPSec em ambos os servidores de ponto de extremidade do serviço de roteamento e acesso remoto com o Windows 2000 com um endereço de origem 1.1.1.1 e um endereço de destino 2.2.2.2. Isto permite que qualquer um dos servidores de ponto de extremidade do serviço de roteamento e acesso remoto com o Windows 2000 inicie a conexão.

Como configurar uma diretiva IPSec para aceitar conexões usando várias chaves pré-compartilhadas ou autoridades de certificação

Depois que uma diretiva é criada com um filtro usando uma chave pré-compartilhada, é necessário criar uma regra adicional dentro da diretiva IPSec para as outras conexões que exigem chaves pré-compartilhadas ou autoridades de certificação.

Para obter informações adicionais sobre filtros automáticos criados pelo Windows 2000 que usam autoridades de certificação, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
248750 Descrição do filtro automático criado para ser usado com L2TP/IPSec
253498 Como instalar um certificado para ser usado com o protocolo IPSec
Para obter informações adicionais, visite o site do Guia passo a passo do Internet Protocol Security (Ipsec) (em inglês):
http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/ispstep.mspx


A Microsoft não oferece suporte a chaves pré-compartilhadas para VPN de L2TP/IPSec ou clientes remotos pelas seguintes razões:
  • Ela expõe um protocolo seguro a um problema de uso não seguro bastante conhecido, a seleção de senhas. Ataques publicados revelaram chaves pré-compartilhadas fracas.
  • Ela não é segura para implantação. Como o acesso ao gateway corporativo é exigido pelo usuário que está configurando uma chave pré-compartilhada, muitos usuários saberão disso, e ela se torna uma "chave pré-compartilhada em grupo". Uma chave pré-compartilhada longa quase precisa ser anotada. O acesso individual ao computador não poderia ser revogado até que todo o grupo tivesse alternado para uma chave pré-compartilhada nova.
  • Conforme a Microsoft documentou na Ajuda, nos capítulos do resource kit e no artigo da Base de Dados de Conhecimento Microsoft 248711, a chave pré-compartilhada IPSec do Windows 2000 só é fornecida para conformidade com RFC, para o teste de interoperabilidade e a interoperabilidade em que a segurança não é uma preocupação. A chave pré-compartilhada é armazenada no Registro local ao qual apenas administradores locais têm acesso, mas administradores locais têm de conhecer e defini-la. Por isso, todos os administradores locais podem vê-la no futuro ou alterá-la.
  • O custo de suporte para usar uma chave pré-compartilhada, tanto para clientes como para Microsoft, seria alto.
  • A obtenção dos certificados de um computador com o Windows 2000 pode ser tão fácil quanto uma solicitação de página da Web, ou até mais fácil, usando a inscrição automática da Diretiva de Grupo do Windows 2000 quando o cliente com o Windows 2000 é membro de um domínio do Windows 2000. Este geralmente é o método mais seguro para a implantação da VPN com IPSec.
A Microsoft não oferece suporte a encapsulamento VPN L2TP/IPSec entre gateways com uma chave pré-compartilhada porque ele deve ser configurado localmente no gateway por um administrador bastante experiente e de acordo com uma base de endereço IP estático. Encapsulamentos IPSec recebem suportados apenas nos locais em que os endereços IP estáticos são usados e apenas para seletores de diretiva com base no endereço, não na porta e no protocolo. É aconselhável usar L2TP/IPSec entre gateways. Apenas use o modo encapsulamento IPSec entre gateways se L2TP/IPSec não for uma opção.

Propriedades

ID do artigo: 240262 - Última revisão: sexta-feira, 13 de julho de 2007 - Revisão: 5.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbhowto kbenv kbnetwork KB240262

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com