Implementação de IPsec e L2TP no Windows 2000

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido). Este artigo descreve o IPSec (IP Protocol Security) e a respectiva implementação no Windows 2000 e no Windows Server 2003. Também descreve a interoperação do IPSec e do L2TP (Layer 2 Tunneling Protocol) com produtos de outros fabricantes.

Descrição do IPsec

O IPSec foi concebido para encriptar dados enquanto estes percorrem o caminho entre dois computadores, impedindo a modificação e interpretação dos dados. O IPSec consiste numa linha chave de defesa contra ataques internos, de redes privadas e externos. Apesar de a maioria das estratégias de segurança da rede estarem direccionadas para a prevenção de ataques do exterior da rede de uma organização, uma grande parte da informação sensível pode perder-se devido a ataques internos que interpretam dados na rede. A maioria dos dados não estão protegidos quando viajam na rede. Assim, os empregados, os membros do pessoal de apoio ou visitantes podem ligar-se à rede e copiar dados para uma futura análise. Também é possível montar ataques ao nível da rede contra outros computadores. As firewalls não oferecem qualquer protecção contra tais ameaças internas, por isso, a utilização do IPSec proporciona, de modo significativo, uma maior segurança aos dados das empresa.

O IPSec é um serviço de segurança que permite que os administradores monitorizem tráfego, examinem endereços e apliquem vários métodos de segurança ao pacote de dados IP independentemente do programa que gera os dados.

Se utilizar filtragem IP, o IPSec examina endereços, portas e protocolos de transporte em todos os pacotes IP. As regras contidas nas políticas locais ou de grupo indicam ao IPSec para ignorar ou proteger pacotes específicos, dependendo das informações de endereçamento e protocolo.

Implementação do IPSec no Windows 2000 e Windows Server 2003

O IPSec e a Troca de chaves da Internet (IKE, Internet Key Exchange) estão incluídos apenas no Windows 2000 e Windows Server 2003. Estes sistemas operativos respeitam o conjunto de RFC do IPSec (2401+), tal como numa primeira edição, existindo ainda alguns aspectos dos RFC que não foram implementados. Está perfeitamente integrado com muitos outros aspectos destes sistemas operativos, como a pilha TCP/IP, dispositivo Plug and Play, serviços de certificados e módulos criptográficos (CAPIv2) e, até certo ponto, a política de grupo para a entrega da política IPSec baseada em directórios.

Apenas o L2TP utiliza o IPSec por predefinição para proteger os pacotes UDP 1701 IP que constituem o túnel. O IPSec não é incluído no Microsoft Windows 98. O IPSec e os serviços relacionados no Windows 2000 e Windows Server 2003 foram desenvolvidos em conjunto pela Microsoft e pela Cisco Systems, Inc. A implementação do L2TP foi efectuada pela Microsoft e integrada no IPSec depois da versão Beta 2.

Componentes

• O controlador IPSec que monitoriza, filtra e protege o tráfego.
• Os serviços de troca de chaves e de gestão do ISAKMP/Oakley (Internet Security Association Key Management Protocol) que controlam as negociações de segurança entre anfitriões e fornecem chaves para utilizar com algoritmos de segurança.
• O agente de política que procura políticas e que as entrega ao controlador IPSec e ao ISAKMP.
• A política de segurança IP e as associações de segurança derivam destas políticas que definem o ambiente de segurança no qual dois anfitriões comunicam.
• A API de associação de segurança que fornece a interface entre o controlador IPSec, o ISAKMP e o agente de política.
• As ferramentas de gestão que criam políticas, monitorizam as estatísticas da segurança IP e registam eventos de segurança IP.

Interacção de componentes

• Um pacote IP corresponde a um filtro IP que faz parte de uma política de segurança IP.
• A política de segurança IP pode ter vários métodos de segurança opcionais. O controlador IPSec tem de saber qual o método a utilizar para proteger o pacote. O controlador IPSec pede ao ISAKMP para negociar um método e uma chave de segurança.
• O ISAKMP negocia um método de segurança e envia-o com uma chave de segurança para o controlador IPSec.
• O método e a chave tornam-se na Associação de segurança IPSec (SA, Security Association).. O controlador IPSec armazena esta SA na respectiva base de dados.
• Uma vez que os dois anfitriões em comunicação precisam de proteger ou desproteger o tráfego IP, também precisam de conhecer e armazenar a SA.

Métodos de segurança IP

Os métodos de segurança IP são aplicados a um pacote IP pelo controlador IPSec. Existem dois métodos de segurança que podem ser utilizados, tanto separadamente, como em conjunto. Os dois métodos são:

• Integridade de dados e endereços através da aplicação de hash codificado (HMAC)
• Integridade de dados em conjunto com confidencialidade através de encriptação

Configuração da política IPSec

Pode utilizar a Consola de gestão da Microsoft (MMC, Microsoft Management Console) para aumentar a protecção do tráfego IP Unicast utilizando uma 'política' de configuração incorporada no cliente e no servidor ou router. Pode configurar esta política localmente (utilizando o snap-in Políticas de segurança IP em Computador local) ou no Active Directory (utilizando a ferramenta Políticas de segurança IP em Active Directory). Quando aplica a política, o IPSec utiliza filtros de pacote para determinar qual o tráfego a proteger, bloquear ou permitir. Quando protege o tráfego, o IKE é utilizado para negociar definições de segurança e efectuar trocas de chaves criptográficas, o estabelecimento do IPSec SA e a recodificação automática. O IPSec funciona em modo transparente, tanto quanto possível, para as camadas acima do IP.

Se a política IPSec o especificar, o IKE pode utilizar o protocolo de segurança Windows Kerberos 5 para autenticação de computadores de modo a evitar a necessidade de implementação de certificados. A implementação do Windows 2000 e do Windows Server 2003 segue o projecto de norma de Derrell Piper (tal como descrito posteriormente neste artigo). O Kerberos não é utilizado para codificação do IPSec, apenas para autenticação de computadores no modo principal do IKE. Não são utilizadas extensões do Kerberos na permissão dado que não se trata de uma permissão de utilizador ou de serviço (trata-se de uma permissão de computador) pelo que deveria funcionar quando configura o sistema operativo para o modo compatibilidade MIT do Kerberos 5 com outros computadores que são membros dos domínios do Kerberos 5. Para obter informações adicionais, consulte os seguintes Web sites da Microsoft: A Microsoft fornece informações de contacto de outros fabricantes para o ajudar na obtenção de suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante o rigor das informações sobre o contacto destes fabricantes.

API e política do IPSec

As APIs e os esquemas de política IPSec do Windows 2000 e Windows Server 2003 ainda não foram publicados. Os modos de protecção de identidade do IPSec e do IKE (modo principal e modo rápido) não podem ser utilizados por APIs baseadas em programas e orientadas para ligações. O IPSec não se destina a substituir os métodos orientados para ligações SSL/TLS normalmente utilizados para proteger comunicações Web.

A definição de 'política' do Windows 2000 e Windows Server 2003 é um conjunto de definições específicas do IPSec que podem ser entregues e aplicadas ao anfitrião. 'Política' significa definições/dados estáticos que não foram avaliados no ponto da aplicação do computador de fim que recebe estas definições. A implementação típica do IPSec destina-se à utilização por um administrador de domínio para configurar uma política IPSec no Active Directory, conforme necessário para clientes, servidores e outros computadores com funções especiais e, em seguida, atribuir e entregar a mesma utilizando o sistema de política de grupo. Também é possível configurar completamente a política IPSec.

A Microsoft tenciona alterar os formatos de armazenamento das políticas em versões futuras do Windows. Assim, os formatos de armazenamento da política de directórios de IPSec do Windows e do registo local são considerados como uma estrutura de dados não publicada e privada da Microsoft.

Ainda é possível criar scripts batch para políticas IPSec. O Ipsecpol.exe é uma ferramenta da linha de comandos do Microsoft Windows 2000 Resource Kit que pode ser utilizada para criar scripts para a construção de políticas (a documentação está incluída na ferramenta). Na pasta Support Tools do CD-ROM, pode utilizar o comando netdiag.exe /test:ipsec /v /debug para ver os detalhes da política IPSec, filtragem, entre outros (se tiver iniciado sessão com os mesmos privilégios que o utilizador que atribuiu a política).

Para as versões futuras (não necessariamente a próxima), a Microsoft está a desenvolver APIs que permitam aos respectivos clientes examinar filtros e ofertas para o motor. A Microsoft disponibilizará as APIs depois de uma revisão detalhada da concepção por parte de outros fornecedores. As soluções de gestão de políticas poderão conceber formatos próprios de políticas e, em seguida, examiná-los de acordo com o sistema IPSec utilizando as APIs.

Está a ser desenvolvida uma proposta para um modelo/esquema de política IPSec como primeiro projecto de norma daquilo que uma API administrativa orientada para políticas poderá suportar. No entanto, os fornecedores e clientes interessados teriam de rever este projecto de norma com atenção para ver se o modelo poderia funcionar. Para obter informações adicionais, consulte o seguinte Web site: A Microsoft fornece informações de contacto de outros fabricantes para o ajudar na obtenção de suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante o rigor das informações sobre o contacto destes fabricantes.

Interoperação do IPSec

Para cenários de rede privada virtual (VPN, Virtual Private Network), a Microsoft recomenda túneis IPSec apenas para cenários gateway-a-gateway nos quais o L2TP/IPSec não funciona e para cenários de ponto-a-gateway (não clientes de acesso remoto a VPN, dado ser uma implementação de túnel compatível com RFC, e, por isso, não suporta IKECFG ou XAUTH) onde cada ponto tem um endereço IP estático e, por conseguinte, regras IPSec estáticas com filtros para permitir o túnel. Para obter mais informações sobre como configurar túneis IPSec no Windows 2000, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): Embora tecnicamente seja possível configurar filtros de políticas para fornecer túneis IPSec para protocolos e portas (dado que a ferramenta de configuração de políticas é muito geral), este tipo de túneis não é suportado pela Microsoft.
A interoperabilidade do IPSec não está bem definida. Alguns fornecedores decidiram executar os seus próprios programas. Os Web sites seguintes estão a conduzir programas de teste de interoperabilidade: O Windows 2000 e o Windows Server 2003 ainda não foram submetidos a nenhum destes testes. A procura e revisão por parte dos clientes dos critérios de interoperação utilizados nestes programas de testes comparativamente ao modo como pretendem utilizar o IPSec determinarão se a Microsoft irá aplicar certificações a estes programas.

Níveis de interoperabilidade sugeridos

• Compatibilidade com protocolos:
  Pode ser determinada consultando as especificações técnicas de opções suportadas como, por exemplo, as funcionalidades e modos de operação de IKE, métodos de autenticação (tais como suporte de fornecedores certificados, hierarquias, tamanhos de chaves) e métodos de segurança (tais como DES, 3DES, MD5 e PFS).
• Interoperabilidade com protocolos:
  Os técnicos podem configurar certas versões de dois produtos para enviar e receber dados. A versão mais baixa é a que está a ser testada em workshops de interoperabilidade de fornecedor e a versão mais alta é a que resultaria de equipas de teste a produtos.
  Repare que os workshops de interoperação muitas vezes não testam código de revenda. A versão final do Windows 2000, compilação 2195, foi utilizado no último workshop. Os resultados de interoperação de workshops não são públicos dado serem workshops técnicos para teste a produtos em desenvolvimento. Os resultados são apenas significativos para os técnicos que estão a testar o respectivo código.
• Interoperabilidade com produtos:
  O cliente pretende configurá-lo num cenário específico (trabalho real) e é "verificado operacionalmente" (obedece a critérios de fiabilidade e de capacidade de gestão e transporta carregamentos de tráfego real). Um teste de fornecedor é viável apenas para alguns cenários com alguns produtos, e os clientes têm de verificar os testes dado que os respectivos critérios de segurança e de operação são muitas vezes exclusivos.

Interoperação de L2TP/IPSec

O Windows 2000 e o Windows Server 2003 são compatíveis com o RFC 2661 ("Layer Two Tunneling Protocol"). O RFC 2661 indica que o tráfego de L2TP pode ser protegido com o IPSec, mas não fornece detalhes sobre como implementar esta segurança. Está actualmente a ser estudado um documento de projecto de norma da Internet que especificará os detalhes da protecção do tráfego L2TP com o IPSec. Os documentos de projecto de norma da Internet são documentos de trabalho do IETF (Internet Engineering Task Force), com as respectivas áreas e grupos de trabalho.

Devido ao facto de a protecção de tráfego de L2TP com o IPSec ainda não ser um padrão (não existe nenhum RFC relacionado), a interoperação destes sistemas operativos Windows utilizando L2TP/IPSec tem de ser testada.

Utilize as seguintes informações básicas sobre a protecção do tráfego de L2TP utilizando o IPSec no Windows 2000 e Windows Server 2003 como orientação quando efectuar os testes com outros fornecedores:

• Os certificados são utilizados para autenticação de computadores; é possível utilizar uma chave pré-partilhada para testes.
• O modo de transporte do IPSec é utilizado para proteger o tráfego de L2TP.
• A porta UDP 1701 é utilizada como porta de origem e de destino. Isto não é negociável.

A Microsoft continua a testar apenas o IPSec e o L2TP/IPSec com outros fornecedores com base na procura por parte dos clientes. Serão publicados artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) se forem encontrados problemas. Visite o seguinte Web site da Microsoft para obter as informações mais recentes sobre interoperação: É comum alguns fornecedores alegarem interoperação com o Windows 2000 e Windows Server 2003, mesmo se a Microsoft não tiver tido oportunidade de verificá-la com esse fornecedor.

Segurança

A Microsoft tomou uma série de medidas para garantir a qualidade da concepção e implementação, que incluíram revisões de concepção e código internas e externas (privadas). A Microsoft continuará a fornecer documentação e orientação a clientes sobre uma utilização correcta. Tal como com qualquer ferramenta de segurança, é importante que os utilizadores leiam a ajuda online e documentação do Resource Kit para obter informações sobre o IPSec e a respectiva utilização. O IPSec e o IKE são implementados segundo os padrões IETF RFC, mas constituem ainda tecnologia nova na indústria, o que significa que estarão sujeitos a exames minuciosos e ataques de utilizadores mal intencionados.

A Microsoft recomenda as seguintes acções para manter um ambiente seguro:

• Instale o pacote de actualização Strong Cryptography para obter uma capacidade de encriptação 3DES em todos os computadores nos quais pretende utilizar o IPSec. Pode transferir este pacote a partir do seguinte Web site da Microsoft:
  http://update.microsoft.com/ (http://update.microsoft.com/)
  .
• Certifique-se de que as políticas de IPSec necessitam de 3DES apenas quando for necessária privacidade para comunicações de IPSec. A encriptação DES tem vindo a ser considerada insuficiente contra ataques criptográficos. Utilize a aceleração do hardware 3DES com placas de rede com IPSec activado em computadores que necessitam de débitos elevados para tráfego de IPSec protegido.
• Active a auditoria do registo de segurança para problemas de início e fim de sessão e monitorize estes problemas nos eventos 541 e 542 relacionados com IPSec.
• Monitorize os eventos no registo do sistema a partir da origem do IPSec.
• Actualize para o service pack mais recente (quando for publicado) para obter as correcções e actualizações de segurança mais recentes para os componentes do computador. Aplique versões candidatas a edição, se disponíveis, dos service packs mais recentes (no ambiente de testes) para uma verificação operacional antes da versão final. Contacte o representante do suporte técnico sempre que tiver problemas.
• Quando conceber uma implementação do IPSec, consulte a base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) (http://support.microsoft.com/search (http://search.support.microsoft.com) ) para obter os detalhes mais recentes de configuração, os problemas conhecidos e as medidas para contornar.
• Monitorize o Web site da segurança da Microsoft (http://www.microsoft.com/technet/security (http://www.microsoft.com/technet/security) ) para se manter informado sobre notícias e correcções de segurança.
• Contacte secure@microsoft.com (E.U.A.) se achar que descobriu uma vulnerabilidade de segurança reproduzível. Forneça os detalhes possíveis de modo a acelerar a investigação.

Contactos da Microsoft

Para dúvidas sobre suportes, contacte Waggener Edstrom através do número 001-425-637-9097 (E.U.A.). Indique que o assunto da dúvida é a segurança de rede e do IPSec. Serão contactados a gestão de produtos e os recursos técnicos apropriados para o ajudar.

Para o IPSec como tecnologia da plataforma Windows, envie uma mensagem de correio electrónico para ipsecreq@microsoft.com (E.U.A.).

Os clientes da Microsoft com contratos de suporte técnico têm acesso ao suporte técnico do Windows 2000 que tem trabalhado com a equipa do produto ao longo do ciclo beta do Windows 2000. Os clientes que já têm ou que irão implementar o IPSec do Windows 2000 ou do Windows Server 2003 em cenários ponto-a-ponto ou ponto-a-router devem contactar directamente o representante do suporte técnico da Microsoft. Para obter mais informações sobre as opções de suporte da Microsoft, visite o seguinte Web site da Microsoft: A Microsoft agradece os comentários dos clientes e fornecedores para melhorar a funcionalidade da plataforma. A Microsoft gostará de saber quem são os utilizadores, a forma como trabalham e o respectivo nível de experiência. Para esse fim, é muito útil que os clientes enviem os problemas prioritários através do canal de suporte. Se for um fornecedor de IPSec e tiver uma questão específica sobre a implementação ou interoperação, consulte as instruções e os artigos da base de dados de conhecimento (KB Microsoft Knowledge Base) para obter informações sobre como activar a depuração. Após a investigação, envie uma mensagem de correio electrónico para o alias no site de testes de interoperação, indique quem é, qual o problema, etc.

A ajuda online (tanto no Windows 2000 Professional como no Server) tem o mesmo conteúdo para o IPSec, mas é representado de forma diferente no índice. A ajuda online também está disponível no seguinte Web site da Microsoft (site em inglês): O Windows 2000 Server Resource Kit destina-se a administradores de rede e de servidores que não conhecem o IPSec. Para obter informações sobre o Windows 2000 Resource Kit, consulte o seguinte Web site da Microsoft (site em inglês): Estão disponíveis procedimentos detalhados para a utilização do IPSec para proteger o tráfego ponto-a-ponto, assim como mais informações sobre a implementação no seguinte Web site da Microsoft (site em inglês): O newsgroup sobre as funcionalidades de rede no Windows 2000 está disponível em microsoft.public.win2000.networking (em inglês). Para obter mais informações, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): Para obter informações sobre a rede privada virtual baseada no Windows 2000 e a interoperabilidade da VPN de suporte, consulte o seguinte Web site da Microsoft (site em inglês):