Como utilizar IPSec para tráfego de rede segura entre dois anfitriões no Windows 2000

Traduções de Artigos Traduções de Artigos
Artigo: 301284 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo é um manual de instruções passo-a-passo para permitir aos utilizadores avançados configurar segurança do protocolo Internet (IPSec) para que estes podem proteger as comunicações entre dois computadores anfitriões.

Terminologia de IPSec

Certifique-se que sabe o que significam os termos seguintes antes de efectuar as seguintes instruções:
  • : O processo de autenticação Para determinar se a identidade de um computador é legítima. IPSec do Windows 2000 suporta três tipos de autenticação: Kerberos, certificados e chaves pré-partilhadas. Kerberos a autenticação pode funciona apenas se ambos os pontos finais (computadores) no mesmo domínio do Windows 2000. Este tipo de autenticação é o método preferencial. Se os computadores estão em domínios diferentes, ou, pelo menos, um não estiver num domínio, tem de utilizar certificados ou chaves pré-partilhadas. Certificados podem trabalhar apenas se cada ponto final contém um certificado que está assinado por uma autoridade de certificação que considera fidedigno o outro ponto final. Chaves pré-partilhadas têm os mesmos problemas com palavras-passe: eles não permanecer secretas durante um período de tempo muito. Se os pontos finais não estão no mesmo domínio e não é possível obter certificados, chaves pré-partilhadas são a única opção de autenticação.
  • Encriptação: Processo de tornar os dados indistinct em preparação para transmissão entre dois pontos finais. Quando utiliza algoritmos well-tested, cada ponto final constrói e troca de chaves criptográficas. O processo assegura que apenas os pontos finais saber as chaves; e se as sequências de troca de chave são interceptadas, obtém o interceptor da nada de valor.
  • Filtro: Uma descrição do Internet Protocol (IP) resolve e protocolos que podem accionar o estabelecimento da associação de segurança IPSec.
  • Acção de filtro: os requisitos de segurança que podem ser activados quando o tráfego corresponde a filtros na lista de filtros.
  • Lista de filtros: conjunto de filtros.
  • Política de segurança do protocolo Internet: conjunto de regras que descrevem como as comunicações entre computadores estão protegidas.
  • Regra: A ligação entre uma lista de filtros e uma acção de filtro. Quando o tráfego corresponde a uma lista de filtros, acção de filtro correspondente pode ser accionada. Uma política IPSec pode conter várias regras.
  • Associação de segurança: conjunto de métodos de autenticação e encriptação que os pontos finais negociar para estabelecer uma sessão segura.

Localizar IPSec na consola de gestão da Microsoft

Configurar IPSec utilizando o Microsoft Management Console (MMC). Windows 2000 cria uma MMC com o snap-in de IPSec durante o processo de instalação. Para localizar o IPSec, clique em Iniciar , aponte para programas , clique em Ferramentas administrativas e, em seguida, clique em Política de segurança local . Na MMC aberta, clique em políticas de segurança IP no computador local no painel da esquerda. Em seguida, MMC apresenta as políticas predefinidas existente no painel da direita.

Alterar o endereço IP, nomes de computadores e nomes de utilizador

Para efeitos deste exemplo, a Alice é um utilizador que tenha um computador chamado "Alicepc" com o endereço IP 172.16.98.231 e João tem um computador chamado "Bobslap" com o endereço IP 172.31.67.244. Os computadores ligar utilizando o programa Abczz.

A Alice e João tem de garantir que o tráfego é encriptado quando são directamente ligar entre si utilizando o Abczz programa. Quando Abczz efectua a ligação, o iniciador utiliza uma porta alta aleatória sobre si próprio e liga (para efeitos deste exemplo) para o destino de porta 6667/TCP ou 6668/TCP (em que o TCP é a abreviatura de Transmission Control Protocol). Normalmente, estas portas são utilizadas para Internet Relay Chat (IRC). Dado que tanto a Alice João pode iniciar ligações, a política tem de existir em ambas as extremidades.

Criar a lista de filtros

Os menus para criar políticas IPSec estão acessíveis se clicar com o botão direito do rato Políticas de segurança IP na consola da MMC. O primeiro item de menu é "Criar política de segurança IP." Apesar desta localização pode parecer ser o local para começar, não é a localização correcta. Antes de poder criar uma política e respectivas regras associadas, terá de definir listas de filtros e acções que são componentes necessários de qualquer política IPSec de filtro. Inicie o trabalho clicando em listas de filtros IP de gerir e acções de filtro .

Caixa de diálogo que é apresentada tem dois separadores: um para listas de filtros e outra para acções de filtro. Primeiro, as listas de filtros IP Gerir separador abre. Já existem duas listas de filtros predefinidas que não utilizam. Em vez disso, pode criar uma lista de filtro específico que corresponde ao outro computador que pretende ligar.

Suponha que criar a política no computador que pertence a Alice:
  1. Clique em ' Adicionar ' para criar uma nova lista de filtros. A lista de nomes "Abczz ao de João computador".
  2. Clique em Adicionar para adicionar um novo filtro. Inicia um assistente.
  3. Clique em meu endereço IP como a origem.
  4. Clique num endereço IP específico como destino e, em seguida, introduza o endereço IP (172.31.67.244) do computador que pertence ao João. Em alternativa, se o computador que pertence ao João é registado no DNS ou WINS (Windows Internet Name Service), pode seleccionar um nome DNS específico e introduza, em seguida, o nome do computador que pertence ao João em vez disso, que é "Bobslap".
  5. Abczz utiliza TCP para a sua comunicação, por isso, clique em TCP como tipo de protocolo.
  6. Para portas de protocolo IP, clique na partir de qualquer porta . Clique em para esta porta , tipo: 6667 e clique em Concluir para concluir o assistente.
  7. Repita os passos anteriores, excepto este tipo de tempo: 6668 como o número de porta e, em seguida, clique em Fechar .
A lista de filtro contém dois filtros: um para comunicações de Alice ao João no porta 6667 (que pertence ao João) e outra na porta 6668 (que pertence ao João). (João tem ambos os porta 6667 e 6668 configurada no seu computador: uma porta é para comunicação de saída e outra para comunicações de entrada.) Estes filtros são espelhados, que é geralmente necessário sempre que criar um filtro de IPSec. Para cada filtro que é reflectidos (mirrored), a lista pode conter (mas não apresentar) um exactamente oposto filtro onde os endereços de origem e destino estejam invertidos. Sem filtros espelhados (mirrored), IPSec comunicações normalmente sem êxito.

Criar a acção de filtro

Definiu o tipo de tráfego que deve ser protegido. Agora tem de especificar o mecanismo de segurança. Clique no separador Gerir acções de filtro . Existem três predefinições que estão listadas. Em vez de utilizar a acção requerer segurança , tem de criar uma nova acção que está mais exigentes.

Para criar a nova acção:
  1. Clique em Adicionar para criar uma nova acção de filtro. Inicia um assistente. Nome da acção "Encriptar Abczz".
  2. Para a opção Geral , clique em Negociar segurança e clique em não comunicar com computadores que não suportem o IPSec .
  3. Faça clique sobre o gráfico que o tráfego de IPSec e, em seguida, clique em Concluir para fechar o assistente.
  4. Faça duplo clique sobre a nova acção de filtro (que anteriormente intitulada "Encriptar Abczz").
  5. Clique para desmarcar a caixa de verificação Aceitar comunicações não seguras, mas responder sempre utilizando IPSec . Este passo garante que os computadores têm negociar o IPSec antes de um pacote Abczz é enviado.
  6. Clique em ' chave de sessão com Perfect forward Secrecy (PFS) para se certificar de que o material da chave não é reutilizado, clique em OK e, em seguida, clique em Fechar .

Criar uma política IPSec

Se obteve os elementos de política. Agora é possível criar a política de si próprio. Clique com o botão direito do rato no painel direito da MMC e, em seguida, clique em política de segurança IP criar . Quando inicia o assistente:
  1. Atribua a política "De Alice IPSec".
  2. Clique para desmarcar a caixa de verificação activar a regra de resposta predefinida .
  3. Clique em Editar propriedades se não estiver seleccionada e, em seguida, concluir o assistente. É aberta a caixa de diálogo Propriedades da política.
Para uma política IPSec funcione, tem de conter pelo menos uma regra que liga uma lista de filtros acção de filtro.

Para especificar regras na caixa de diálogo Propriedades :
  1. Clique em ' Adicionar ' para criar uma nova regra. Quando é iniciado o assistente, clique em esta regra não especifica um túnel .
  2. Clique em rede Local (LAN) para o tipo de rede.
  3. Clique em predefinição do Windows 2000 (protocolo Kerberos V5) para o método de autenticação se ambos os computadores de Alice e João estiverem no mesmo domínio do Windows 2000. Caso contrário, clique em utilizar esta cadeia para proteger a troca de chaves (chave pré-partilhada) e, em seguida, introduza uma cadeia (utilize uma cadeia longa que pode não se esqueça e escreva sem efectuar erros).
  4. Seleccione a lista de filtros que criou anteriormente. Neste exemplo, a lista de filtros é "Abczz ao computador do João". Em seguida, seleccione a acção de filtro que criou anteriormente. Neste exemplo, a acção de filtro é "Encriptar Abczz".
  5. Concluir o assistente e, em seguida, clique em Fechar .

Configurar outros pontos finais

Repita no computador que pertence a João todos os procedimentos anteriores que tinham sido aplicados ao computador que pertence a Alice. As alterações necessárias são óbvias, por exemplo, "Abczz ao computador do João" deve ser alterada para "Abczz de Alice computador".

Atribuir as políticas

Definiu as políticas em ambas as extremidades. Agora tem de os atribuir:
  1. Na MMC definições da segurança local , clique com o botão direito do rato a política ( Abczz neste exemplo).
  2. Clique em atribuir .
Apenas uma política IPSec pode ser atribuída ao mesmo tempo, mas uma única política pode ter como muitas regras conforme necessário. Por exemplo, se a Alice também necessita de proteger as comunicações com passagem utilizando um protocolo diferente, terá que criar as listas de filtros adequada e acções e, em seguida, adicionar uma regra IPSec (que pertence a Alice) que liga juntos essa acção de filtro e de lista filtro específico. Clique em utilizar uma chave partilhada diferente para esta regra . A política para a Alice agora tem duas regras: um para Abczz comunicações com o João e outra para as comunicações com passagem. Uma vez que o João e a passagem não necessita de comunicar de forma segura entre si, a política para o João não tem nada adicionado e a política para passagem contém uma regra simples para comunicações com a Alice.

Resolução de problemas

Utilizar IPSecMon para verificar a política

Windows 2000 inclui um utilitário (IPSecMon.exe) que pode utilizar para verificar se uma associação de segurança IPSec está estabelecida com êxito. Para iniciar IPSecMon:
  1. Clique em Iniciar e, em seguida, clique em Executar .
  2. Tipo: ipsecmon , e, em seguida, prima ENTER.
  3. Clique em Opções .
  4. Altere o intervalo de actualização para 1 .
Tem de estabelecer comunicações de um ponto final para o outro. Pode existir um atraso porque demora alguns segundos para os pontos finais para trocar informações criptográficas e concluir a associação de segurança. É possível observar este comportamento no IPSecMon. Quando os pontos finais cada criar as associações de segurança, poderá observar uma entrada na IPSecMon apresenta este comportamento.

Se pensa que uma associação de segurança para ser criado, mas não acontece nada, volte atrás e rever as listas de filtros em cada ponto final. Certifique-se de que recebeu as definições correctas para os protocolos utilizados à medida que pode facilmente inverter os endereços de origem e destino ou inverter as portas. Poderá pretender considerar a criação de uma nova lista de filtros especifica todo o tráfego. Além disso, pode adicionar uma nova regra à política que utiliza esta lista de filtros e, em seguida, desactive a regra existente. Efectue estes passos em ambos os pontos finais. Em seguida, pode utilizar o comando ping para testar a conectividade: O comando ping pode apresentar "Negotiating IPSec" durante a fase de associação de segurança e, em seguida, apresentar a normal resulta quando a associação de segurança é estabelecida.

NAT e IPSec são incompatíveis

Se existir qualquer rede (Address TRANSLATION) entre os dois pontos finais, IPSec não funciona. IPSec incorpora endereços de ponto final como parte do payload. O IPSec utiliza também endereços de origem quando que calcula as somas de verificação do pacote antes depositing os pacotes na ligação. NAT, Network Address TRANSLATION possível alterar o endereço de origem de pacotes de saída, e o destino utiliza o endereço no cabeçalho quando calcula-própria somas de verificação. O original origem-calculado somas de verificação, transportadas em pacotes, não são iguais as somas de verificação calculada de destino e o destino pode largar os pacotes. Não pode utilizar o IPSec com qualquer tipo de NAT, Network Address TRANSLATION dispositivo.

Propriedades

Artigo: 301284 - Última revisão: 29 de março de 2007 - Revisão: 4.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbhowtomaster KB301284 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 301284

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com