Implementação de IPsec e L2TP no Windows 2000

Este artigo descreve o protocolo IPSec e sua implementação no Windows 2000 e no Windows Server 2003. O artigo também descreve a interoperação dos protocolos IPsec e L2TP com produtos de terceiros.

Descrição do protocolo IPsec

O IPsec foi projetado para criptografar dados na medida em que percorre dois computadores, o que protege os dados da modificação e da interpretação. O IPsec é uma linha de defesa chave contra ataques internos, de rede privada e externos. Embora a maior parte das estratégias de segurança em rede estejam voltadas para a prevenção de ataques externos à rede de uma organização, uma boa parte das informações perceptíveis pode ser perdida por ataques internos que interpretam dados na rede. A maior parte dos dados não está protegida ao ser transportada na rede, então, os funcionários, membros da equipe de suporte ou visitantes podem conectar-se à rede e copiar dados para análise posterior. Também podem planejar ataques na rede contra outros computadores. Como os firewalls não oferecem nenhuma proteção contra essas ameaças internas, o uso do IPsec oferece uma segurança significativamente maior para os dados corporativos.

O IPsec é um serviço de Segurança que dá aos administradores a possibilidade de monitorar o tráfego, examinar endereços e aplicar vários métodos de segurança ao pacote de dados IP, independentemente de qual programa gera os dados.

Usando a filtragem IP, o IPsec examina todos os pacotes IP em busca de endereços, portas e protocolos de transporte. As regras contidas nas diretivas locais e de grupo informam o IPsec para ignorar ou proteger pacotes específicos, dependendo das informações sobre o endereçamento e o protocolo.

Implementação de IPsec no Windows 2000 e no Windows Server 2003

Os protocolos IPsec e IKE só estão incluídos no Windows 2000 e no Windows Server 2003. Os sistemas operacionais atendem ao conjunto IPsec RFC (2401+) na medida do possível desde a primeira versão -- ainda há alguns aspectos das RFCs que ainda não foram implementados. Eles estão perfeitamente integrados a muitos outros aspectos dos sistemas operacionais como, por exemplo, a pilha TCP/IP, o dispositivo Plug and Play, os serviços de certificado e os módulos criptográficos (CAPIv2) e, até certo ponto, a Diretiva de Grupo da entrega da diretiva IPSec com base no diretório.

Apenas o protocolo L2TP usa o IPsec por padrão para proteger os pacotes IP UDP 1701 que estão no encapsulamento. O IPsec não está incluído no Microsoft Windows 98. O IPsec e os serviços relacionados no Windows 2000 e no Windows Server 2003 foram desenvolvidos em conjunto entre a Microsoft e a Cisco Systems, Inc. A implementação do L2TP propriamente dita foi realizada pela Microsoft e integrada ao IPsec depois do Beta 2.

Componentes

• O driver do IPsec que monitora, filtra e protege o tráfego.
• Os serviços de gerenciamento e de troca de chave do protocolo Internet Security Association Key Management Protocol (ISAKMP/Oakley) que verifica a negociação da segurança entre os hosts e oferece chaves a serem usadas com algoritmos de segurança.
• O agente de Diretiva que procura diretivas e entrega-as ao driver de IPsec e ISAKMP.
• A diretiva de IPsec e ISAKMP derivada das diretivas que definem o ambiente de segurança em que dois hosts se comunicam.
• A API de ISAKMP que oferece a interface entre o driver de IPsec, o ISAKMP e o agente de Diretiva.
• As ferramentas de gerenciamento que criam diretivas, monitoram estatísticas de IPSec e registram eventos de IPSec.

Interação dos componentes

• Um pacote IP corresponde a um filtro IP que faz parte de uma diretiva de IPsec.
• A diretiva de IPsec pode ter vários métodos de segurança opcionais. O driver de IPsec precisa saber que método usar para proteger o pacote. O driver de IPsec exige que ISAKMP negocie um método e uma chave de segurança.
• O ISAKMP negocia um método de segurança e envia-o com uma chave de segurança para o driver de IPsec.
• O método e a chave se tornam a IPsec Security Association (SA). O driver de IPsec armazena a SA no banco de dados.
• Como ambos os hosts precisam proteger ou desproteger o tráfego IP, ambos precisam conhecer e armazenar a SA.

Métodos de segurança IP

Os métodos de segurança IP são aplicados a um pacote IP pelo driver de IPsec. Há dois métodos de segurança que podem ser usados, separadamente ou em conjunto. Os dois métodos são:

• Integridade de dados e de endereço por meio de hash de chave (HMAC)
• Integridade de dados mais confidencialidade por meio de criptografia

Configuração da diretiva de IPsec

É possível usar o Console de Gerenciamento Microsoft (MMC) para ser usado no aumento da proteção do tráfego IP Unicast, usando uma "diretiva" de configuração interna no cliente e no servidor ou roteador. É possível configurar essa diretiva tanto localmente (usando as Diretivas de segurança IP no snap-in do Computador local) quanto no Active Directory (usando as Diretivas de segurança IP na ferramenta do Active Directory). Ao aplicar a diretiva, o IPsec usa filtros de pacote para determinar que tráfego proteger, bloquear ou permitir. Ao proteger o tráfego, o IKE é usado na negociação das configurações de segurança e na realização das trocas de chaves criptográficas, do estabelecimento de IPsec AS e das recodificações automáticas. O IPsec funciona da forma mais transparente possível para as camadas acima do protocolo IP.

Caso a diretiva IPsec especifique-o, o IKE pode usar o protocolo de segurança Windows Kerberos 5 na autenticação do computador para evitar o requisito de implantação de certificados. A implementação do Windows 2000 do Windows Server 2003 é de acordo com o rascunho de Derrell Piper (conforme descrição anterior neste artigo). O Kerberos não é usado na codificação de IPsec; apenas na autenticação do computador no modo principal do IKE. Nenhuma das extensões Kerberos é usada na permissão porque não se trata de uma permissão de serviço ou a um usuário-- é uma permissão do computador-- logo, isso deve funcionar quando você configurar o sistema operacional para MIT- modo de compatibilidade Kerberos 5 com outros computadores que são membros de territórios Kerberos. Para obter informações adicionais, visite os seguintes sites (em inglês): A Microsoft fornece informações para contato com terceiros para ajudá-lo a encontrar suporte técnico. Essas informações podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão das informações para contato com terceiros.

API de IPsec e diretiva

As APIs de IPsec do Windows 2000 e do Windows Server 2003 e o esquema da diretiva ainda não foram publicadas. O modo de proteção da identidade de IPsec e de IKE (modo principal e modo rápido) não se empresta a APIs orientadas à conexão e com base em programas. O IPsec não se destina a ser uma substituição dos métodos orientados à conexão SSL/TLS normalmente usados na proteção da comunicação na Web.

A definição de "diretiva" no Windows 2000 e no Windows Server 2003 é, um conjunto de configurações específicas de IPsec que podem ser entregues e, em seguida, aplicadas ao host. "Diretiva" implica configurações/dados estáticos que não foram avaliados no ponto de imposição do computador que recebe as configurações. A implantação mais comum de IPsec é para que um administrador de domínio configure uma diretiva de IPsec no Active Directory como sendo necessário a clientes, servidores e outros computadores com finalidades especiais e, em seguida, atribua e entregue-a, usando o sistema da Diretiva de Grupo. Também é possível configurar completamente a diretiva de IPsec.

A Microsoft pretende alterar os formatos de armazenamento da diretiva nas futuras versões do Windows. Por isso, a diretiva de diretório do IPsec para Windows e os formatos de armazenamento do Registro local são considerados uma estrutura de dados particular e não publicada da Microsoft.

Ainda é possível reunir em lotes o script de criação da diretiva de IPsec. O Ipsecpol.exe é uma ferramenta de linha de comando no Microsoft Windows 2000 Resource Kit que você pode usar na construção da diretiva de script (a documentação está inclusa na ferramenta). Na pasta Support Tools no CD-ROM, é possível usar o comando netdiag.exe /test:ipsec /v /debug para ver os detalhes da diretiva de IPsec, da filtragem e etc. (caso você tenha feito logon com os mesmos privilégios do usuário que atribuiu a diretiva).

Para uma versão futura (não necessariamente a próxima), a Microsoft está trabalhando em APIs que permitam aos clientes da API conectar filtros e opções ao mecanismo. A Microsoft disponibilizará as APIs depois de uma revisão detalhada do projeto do fornecedor. As soluções em gerenciamento de diretiva poderão criar seus próprios formatos de diretiva e, em seguida, conectá-los ao sistema de IPsec, usando as APIs.

O trabalho está sendo feito a partir de uma proposta para ter um modelo/esquema de diretiva de IPsec como sendo um primeiro rascunho ao que uma API orientada à diretiva administrativa deva oferecer suporte. No entanto, os fornecedores e clientes interessados precisariam examinar bem o rascunho para ver se o modelo funcionaria. Para obter informações adicionais, visite o seguinte site (em inglês): A Microsoft fornece informações para contato com terceiros para ajudá-lo a encontrar suporte técnico. Essas informações podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão das informações para contato com terceiros.

Interoperação de IPsec

Para situações de rede virtual privada (VPN), a Microsoft recomenda encapsulamentos IPsec apenas para situações entre gateways em que o L2TP/IPsec não funcionará e para situações end-to-gateway (que não sejam clientes de acesso remoto de VPN, porque se trata de uma implementação de encapsulamento compatível com RFC, e isso não oferece suporte a IKECFG ou XAUTH) em que cada ponto tem um endereço IP estático e, dessa forma, regras de IPsec estáticas com filtros que habilitam o encapsulamento. Para obter mais informações sobre como configurar o encapsulamento IPSec no Windows 2000, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês): Embora tecnicamente seja possível configurar filtros de diretiva para oferecer encapsulamentos IPsec a protocolos e portas (porque a ferramenta de configuração da diretiva é muito ampla), a Microsoft não oferece suporte a esses tipos de encapsulamentos. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês): A interoperabilidade do IPsec não está definida claramente. Alguns fornecedores têm optado por executar seu próprio programa. Os seguintes sites estão realizando programas de teste da interoperabilidade (em inglês): O Windows 2000 e o Windows Server 2003 ainda não foram submetidos a nenhum deles. A demanda do cliente e a revisão dos critérios de interoperação usadas nos programas de teste em relação à forma como eles desejam usar o IPsec determinarão se a Microsoft se inscreverá na certificação dos programas.

Níveis de interoperabilidade sugeridos

• Protocolo compatível:
  Pode ser determinado examinando-se as especificações técnicas das opções com suporte como, por exemplo, recursos do IKE, modos de operação, métodos de autenticação (como, por exemplo, o suporte ao fornecedor do certificado, as hierarquias, os tamanhos de chave) e os métodos de segurança (como, por exemplo, DES, 3DES, MD5 e PFS).
• Protocolo interoperável:
  Os engenheiros podem configurar determinadas versões de dois produtos para enviar e receber dados. A versão de nível mais baixo é a testada em workshops de interoperabilidade de fornecedores, e a versão de nível mais alto é resultado da equipe de testes de produto.
  Observe que os workshops de interoperação geralmente não testam o código comercial. A versão final do Windows 2000, compilação 2195, foi usada no último workshop. Os resultados de interoperação de workshops não foram publicados pelo fato de serem workshops técnicos de testes de produtos em desenvolvimento. Os resultados só têm significado para que os engenheiros testem o código.
• Produto interoperável:
  Funciona na forma como o cliente deseja configurá-lo em uma determinada situação (fazendo o trabalho real) e é "verificado operacionalmente" (ele atende aos requisitos de confiabilidade e de gerenciabilidade, além de transportar cargas de tráfego reais). Um teste de fornecedor só é viável em algumas situações com poucos produtos, e os clientes devem verificar o teste porque os requisitos de segurança e operacionais costumam ser exclusivos.

Interoperação L2TP/IPsec

O Windows 2000 e o Windows Server 2003 são compatíveis com RFC 2661 ("protocolo de encapsulamento de camada 2"). A RFC 2661 indica que o tráfego L2TP pode ser protegido com IPsec, embora não ofereça detalhes sobre como implementar a segurança. Um documento de rascunho na Internet está sendo desenvolvido para especificar os detalhes da proteção do tráfego L2TP com IPsec. Os documentos de rascunho na Internet são documentos em elaboração da Internet Engineering Task Force (IETF), de suas áreas e de seus grupos de trabalho.

Como a proteção do tráfego L2TP com IPsec ainda não é um padrão (não há nenhuma RFC para ela), a interoperação dos sistemas operacionais Windows com L2TP/IPsec deve ser testada.

Use as seguintes informações básicas sobre a proteção do tráfego L2TP com o IPsec no Windows 2000 e no Windows Server 2003 como diretrizes quando você estiver testando fornecedores terceiros:

• Os certificados são usados na autenticação do computador -- é possível usar uma chave pré-compartilhada para teste.
• O modo de transporte do IPsec é usado na proteção do tráfego L2TP.
• A porta UDP 1701 é usada tanto na porta de origem quanto na porta de destino. Isso não é negociável.

A Microsoft continua testando apenas o IPsec e L2TP/IPsec com outros fornecedores de acordo com a demanda dos clientes. Os artigos da Base de Dados de Conhecimento Microsoft serão publicados se algum problema for encontrado. Visite o seguinte da Microsoft em busca das informações mais recentes sobre a interoperação: É comum alguns fornecedores declararem a interoperação com o Windows 2000 e o Windows Server 2003, mesmo que a Microsoft não tenha tido a oportunidade de verificá-la com o fornecedor.

Segurança

A Microsoft executou várias etapas para assegurar a qualidade do design e da implementação, que incluíam as revisões de código e design internas e externas (privadas). A Microsoft continuará a fornecer a documentação e orientação para os clientes sobre o uso correto. Assim como acontece com qualquer ferramenta de segurança, é importante que os usuários leiam a Ajuda online e a documentação do Resource Kit para compreender integralmente o IPsec e seu uso. O IPsec e o IKE são implementados para os padrões IETF RFC, mas ainda são uma nova tecnologia no mercado, o que significa que estarão sujeitos a exames minuciosos e ataques de usuários mal-intencionados.

A Microsoft recomenda as seguintes ações para manter um ambiente seguro:

• Instale o pacote de atualizações Strong Cryptography para obter o recurso de criptografia 3DES para todos os computadores que devam usar o IPSec. É possível baixá-lo no seguinte site da Microsoft:
  http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=pt-br (http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=pt-br)
  .
• Verifique se as diretrizes IPsec exigem 3DES apenas quando for necessária privacidade para a comunicação IPsec. A criptografia DES é considerada insuficiente contra fortes ataques de criptografia. Use a aceleração de hardware 3DES com adaptadores de rede habilitados para IPsec em computadores que exigem uma alta taxa de transferência para o tráfego protegido por IPsec.
• Habilite a auditoria do log de segurança para problemas de logon e logoff e monitore os problemas de eventos relacionados ao IPSec 541 e 542.
• Monitore o log do sistema em busca de eventos da origem de IPsec.
• Atualize para o service pack mais atual (quando ele for liberado) a fim de obter as correções e as atualizações de segurança mais recentes para os componentes do computador. Aplique as versões de release candidate, caso disponíveis, dos service packs mais recentes (no ambiente de laboratório) para a verificação operacional antes da versão final. Consulte imediatamente o representante do Atendimento Microsoft a respeito dos problemas.
• Quando você estiver projetando a implantação de um IPsec, consulte a Base de Dados de Conhecimento Microsoft (http://support.microsoft.com/search (http://search.support.microsoft.com) ) para obter os detalhes mais recentes de configuração, problemas conhecidos e soluções alternativas.
• Monitore o site Microsoft Security (em inglês) (http://www.microsoft.com/technet/security (http://www.microsoft.com/technet/security) ) para se manter informado a respeito das novidades e dos patches de segurança.
• Envie um email para secure@microsoft.com se você suspeitar que tenha descoberto uma vulnerabilidade de segurança que possa ser reproduzida. Informe o máximo de detalhes possível para poder ajudar na investigação.

Pontos de contato com a Microsoft

Para o atendimento à imprensa, entre em contato com Waggener Edstrom pelo telefone 425-637-9097. Diga que você está fazendo uma pergunta sobre o IPsec e a segurança de rede. Eles poderão consultar a gerência de produtos apropriada e os recursos técnicos para ajudá-lo.

Para o IPsec como uma tecnologia na plataforma Windows, envie um email para ipsecreq@microsoft.com

Os clientes da Microsoft com contratos de suporte têm acesso à equipe de suporte do Windows 2000 que vem trabalhando com a equipe de produto no decorrer do ciclo beta do Windows 2000. Os clientes que já implantaram ou, que implantarão o IPsec do Windows 2000 ou do Windows 2003 em situações end-to-end e end-to-router, devem consultar diretamente o representante do suporte Microsoft. Para obter informações sobre as opções do suporte Microsoft, visite o seguinte da Microsoft: A Microsoft precisa dos comentários do cliente e do fornecedor para melhorar a funcionalidade da plataforma. Gostaríamos de saber quem são os usuários, de que forma trabalham e a experiência que possuem. Com essa finalidade, é importante que os clientes informem os problemas por meio do canal de suporte. Caso você seja um fornecedor do IPsec e tenha uma implementação específica ou uma pergunta sobre interoperação, consulte o passo a passo e os artigos da Base de Dados de Conhecimento Microsoft para saber como ativar a depuração. Após investigação, envie um email para o alias no site de teste de interoperação, identifique-se, informe o que está acontecendo e assim por diante.

A Ajuda online (no Windows 2000 Professional e Server) tem o mesmo conteúdo em relação a IPSec, embora seja representado de maneira diferente no sumário. A Ajuda online também está disponível no seguinte site da Microsoft (em inglês): O Windows 2000 Server Resource Kit está orientado a administradores de rede e de servidor que estejam conhecendo o IPsec. Para obter mais informações sobre o Windows 2000 Resource Kit, visite o seguinte site da Microsoft (em inglês): Procedimentos detalhados de uso do IPsec para proteger o tráfego end-to-end, bem como mais informações sobre a implementação no seguinte site da Microsoft (em inglês): O grupo de notícias Windows 2000 Networking está disponível em microsoft.public.win2000.networking. Para obter mais informações, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês): Para obter informações sobre a rede virtual privada do Windows 2000 e o suporte à interoperabilidade com VPN, visite o seguinte site da Microsoft (em inglês):