O tráfego que pode--e não é possível--ser protegidos pelo IPSec

O protocolo de segurança IP (IPSec) no Windows 2000 foi concebido para proteger o tráfego IP entre dois computadores que comunicam utilizando os respectivos IP endereços. Utiliza filtros definidos na política IPSec para classificar pacotes IP. Depois de um pacote é classificado (corresponde a um filtro), a acção de filtro configurada ocorre.

IPSec é aplicada a pacotes IP à medida que são enviados e recebidos. Pacotes são comparados com filtros quando estão a ser enviados (saídas) para verificar se estas devem ser protegidas, bloqueado, ou passados em texto simples. Pacotes também são comparados quando são recebidas (entrada) para ver se que devem ter sido protegidos, devem ser bloqueados ou devem ser passados (permitidos) no sistema em texto simples.

Por predefinição, os seguintes tipos de tráfego IP estão excluídos e não podem ser protegidos pelo IPSec no Windows 2000:

• Difusão
  Tráfego da partir de um remetente muitos receptores que são desconhecidos para o remetente. Este tipo de pacote não pode ser classificado pelos filtros de IPSec. Por exemplo, uma sub-rede de classe padrão C utilizando 192.168.0. x teria um endereço de difusão de 192.168.0.255. O endereço de difusão depende da máscara de sub-rede.
• Multicast
  Como com o tráfego de difusão, um remetente envia um pacote IP para vários receptores que são desconhecidos para o remetente. Estes são os endereços no intervalo de 224.0.0.0 a 239.255.255.255.
• Protocolo de reserva de recursos (RSVP)
  Este tráfego utiliza o protocolo IP 46 e é utilizado para fornecer a qualidade de serviço (QoS no Windows 2000). Excepções de tráfego RSVP é um requisito para permitir que as marcações QOS para tráfego que podem ser protegidas por IPSec.
• Troca de chaves da Internet (IKE)
  IKE é um protocolo utilizado pelo IPSec para negociar parâmetros de segurança (se a acção de filtro indica que segurança tem de ser negociada) segura e estabelecer chaves de encriptação partilhadas depois de um pacote corresponder a um filtro. Windows 2000 utiliza sempre um protocolo de datagrama de utilizador (UDP) e de destino porta 500 para tráfego de IKE.
• Kerberos
  Kerberos é o protocolo de segurança principal Windows 2000 normalmente utilizado pelo IKE para autenticação IPSec. Este tráfego utiliza uma UDP/TCP protocolo origem e destino porta 88. Kerberos é próprio um protocolo de segurança que não necessita de ser protegidas por IPSec. A excepção de Kerberos é basicamente: Se um pacote for TCP ou UDP e tem uma porta de origem ou destino = 88, permitir.

Nota : estas excepções aplicam filtros de modo de transporte IPSec para pacotes com um endereço de origem do computador que está a enviar o pacote. Os túneis IPSec podem proteger apenas tráfego IP de unicast. Também filtros de modo de túnel IPSec não consegue processar pacotes de difusão e multicast. Se pacotes Kerberos, IKE ou RSVP são recebidos no um adaptador e encaminhados de outra placa (através da utilização reencaminhamento de pacotes ou Routing and Remote Access Services), não estão isentos filtros de modo de túnel IPSec e podem ser executadas dentro do túnel.

Para mais informações sobre o protocolo IKE consulte RFC 2409: Microsoft fornece informações de contactos outros fabricantes para ajudar a encontrar suporte técnico. Poderá ser alterado estas informações de contacto sem aviso prévio. Microsoft não garante a precisão destas informações de contacto outros fabricantes.

Para obter informações adicionais sobre o RSVP, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft: Para mais informações sobre Kerberos, consulte o tópico "Kerberos V5 autenticação" na ajuda do Windows 2000 e também os documentos técnicos sobre Kerberos localizados no seguinte Web site da Microsoft: Para obter informações adicionais sobre a funcionalidade do IPSec no Microsoft Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: