Tráfego que pode--e não é possível--ser protegidos por IPSec

IP Security Protocol (IPSec) no Windows 2000 é projetado para proteger o tráfego IP entre dois computadores que se comunicam usando seu IP endereços. Ele usa filtros definidos em uma diretiva IPSec para classificar pacotes IP. Depois que um pacote é classificado (correspondente a um filtro), ocorre a ação de filtro configurado.

IPSec é aplicada aos pacotes IP que são enviados e recebidos. Pacotes são comparados aos filtros quando eles estão sendo enviados (saídos) para ver se eles devem ser protegidos, bloqueado, ou passados em texto não criptografado. Pacotes também são comparados quando elas forem recebidas (entrada) para ver se eles devem ter sido protegidos, devem ser bloqueados ou devem ser passados (permitidos) para o sistema em texto não criptografado.

Por design, os seguintes tipos de tráfego IP são isentos e não podem ser protegidos pelo IPSec no Windows 2000:

• Difusão
  Tráfego indo do remetente de um para muitos destinatários são desconhecidos para o remetente. Esse tipo de pacote não pode ser classificado por filtros IPSec. Por exemplo, uma sub-rede de classe C padrão usando 192.168.0.x teria um endereço de difusão de 192.168.0.255. Seu endereço de difusão depende de sua máscara de sub-rede.
• Difusão seletiva
  Como com tráfego de difusão, um remetente envia um pacote IP para vários destinatários são desconhecidos para o remetente. Esses são endereços no intervalo de 224.0.0.0 a 239.255.255.255.
• Protocolo de reserva de recursos (RSVP)
  Esse tráfego usa o protocolo IP 46 e é usado para fornecer qualidade de serviço (QoS no Windows 2000). Isenção de tráfego RSVP é um requisito para permitir que as marcações do QOS para o tráfego pode ser protegido por IPSec.
• Internet Key Exchange (IKE)
  IKE é um protocolo usado pelo IPSec para negociar parâmetros de segurança (se a ação de filtro indica que a segurança precisa ser negociada) e estabelecer chaves de criptografia compartilhada depois que um pacote corresponde a um filtro com segurança. Windows 2000 sempre usa um) UDP (protocolo de datagrama de usuário origem e destino porta 500 para tráfego de IKE.
• Kerberos
  Kerberos é o protocolo de segurança principal Windows 2000 normalmente usado por IKE para autenticação de IPSec. Esse tráfego usa uma UDP/TCP protocolo origem e destino porta 88. Kerberos é a própria um protocolo de segurança que não precisa ser protegido por IPSec. O isolamento Kerberos é basicamente isso: se um pacote for TCP ou UDP e tiver uma porta de origem ou destino = 88, permitir.

Observação : esses isolamentos aplicam filtros de modo de transporte IPSec para pacotes que tenham um endereço de origem do computador que está enviando o pacote. Encapsulamentos IPSec podem proteger somente o tráfego IP de difusão ponto a ponto. Filtros de modo de encapsulamento IPSec também não podem processar pacotes de difusão seletiva ou difusão. Se pacotes RSVP, IKE ou Kerberos são recebidos em um adaptador e roteados de outro adaptador (usando o encaminhamento de pacotes ou roteamento e serviços de acesso remoto), eles não são isentos de filtros de modo de encapsulamento de IPSec e podem ser executados dentro do encapsulamento.

Para obter mais informações sobre o protocolo IKE consulte RFC 2409: A Microsoft fornece terceiros informações de contatos para ajudá-lo a encontrar suporte técnico. Essa informações de contatos podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações contatos de terceiros.

Para obter informações adicionais sobre o RSVP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Para obter mais informações sobre o Kerberos, consulte o tópico "Autenticação do Kerberos V5" na Ajuda do Windows 2000 e também os documentos técnicos sobre o Kerberos localizados no seguinte site da Microsoft: Para obter informações adicionais sobre o recurso IPSec no Microsoft Windows Server 2003, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: