PROCEDIMENTOS: Usar segurança de protocolo Internet para proteger o tráfego da rede entre dois hosts

Traduções deste artigo Traduções deste artigo
ID do artigo: 301284 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi publicado anteriormente em BR301284
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo é um guia de instruções passo a passo para permitir que usuários avançados configurem a segurança do protocolo Internet (IPSec), para que possam proteger as comunicações entre dois computadores host.

Terminologia de IPSec

Familiarize-se com o significado dos termos a seguir antes de executar as instruções abaixo:
  • Autenticação: processo para determinar se a identidade de um computador é legítima. O IPSec do Windows 2000 dá suporte para três tipos de autenticação: Kerberos, certificados e chaves pré-compartilhadas. A autenticação Kerberos funcionará somente se ambos os pontos de extremidade (computadores) estiverem no mesmo domínio do Windows 2000. Esse tipo de autenticação é o método preferencial. Se os computadores estiverem em domínios diferentes, ou se pelo menos um deles não estiver em um domínio, você deverá usar certificados ou chaves pré-compartilhadas. Os certificados funcionarão somente se cada ponto de extremidade contiver um certificado assinado por uma autoridade na qual o outro ponto de extremidade confia. As chaves pré-compartilhadas têm os mesmos problemas que as senhas: elas não permanecem secretas durante um período de tempo bastante longo. Se os pontos de extremidade não estiverem no mesmo domínio e não for possível obter certificados, as chaves pré-compartilhadas serão a sua única opção de autenticação.
  • Criptografia: processo para tornar os dados indistinguíveis na preparação para a transmissão entre dois pontos de extremidade. Usando algoritmos bem testados, cada ponto de extremidade constrói e troca chaves criptográficas. O processo garante o conhecimento das chaves somente pelos pontos de extremidade e, se quaisquer seqüências de trocas de chaves forem interceptadas, o interceptador não obterá nada de valor.
  • Filtrar: uma descrição dos endereços e protocolos IP que podem disparar o estabelecimento de uma associação de segurança IPSec.
  • Ação de filtro: os requisitos de segurança que podem ser ativados quando o tráfego corresponde aos filtros em uma lista de filtros.
  • Lista de filtros: uma coleção de filtros.
  • Diretiva de segurança do protocolo Internet: a coleção de regras que descreve como as comunicações entre computadores são protegidas.
  • Regra: o vínculo entre uma lista de filtros e uma ação de filtro. Quando o tráfego corresponde a uma lista de filtros, a ação de filtro correspondente pode ser disparada. Uma diretiva IPSec pode conter várias regras.
  • Associação de segurança: a coleção de métodos de autenticação e criptografia que os pontos de extremidade negociam para estabelecer uma sessão segura.

Localizar IPSec no Microsoft Management Console

O IPSec é configurado por meio do Microsoft Management Console (MMC). O Windows 2000 cria um MMC com o snap-in IPSec durante o processo de instalação. Para localizar o IPSec, clique em Iniciar, aponte para Programas, aponte para Ferramentas administrativas e clique em Diretiva de segurança local. No MMC que é aberto, clique em IP security policies on local machine no painel esquerdo. Em seguida, o MMC exibe as diretivas padrão existentes no painel direito.

Alterar o endereço IP, nomes de computadores e nomes de usuários

Neste exemplo, Alice é uma usuária que tem um computador chamado "Alicepc" com o endereço IP 172.16.98.231 e Roberto tem um computador chamado "Robertoslap" com o endereço IP 172.31.67.244. Eles conectam-se aos computadores usando o programa Abczz.

Alice e Roberto devem assegurar-se de que o tráfego será criptografado quando se conectarem um ao outro usando o programa Abczz. Quando o Abczz faz sua conexão, o iniciador usa uma porta alta aleatória em si mesmo e conecta-se (neste exemplo) ao destino na porta 6667/TCP ou 6668/TCP (em que TCP é a abreviação de Transmission Control Protocol). Geralmente, essas portas são usadas para IRC. Como tanto Alice quanto Roberto podem iniciar conexões, a diretiva deve existir em ambas as extremidades.

Criar a lista de filtros

Os menus para criação de diretivas IPSec podem ser acessados com um clique do botão direito do mouse em Diretivas de segurança IP, no console do MMC. O primeiro item do menu é "Criar diretiva de segurança IP". Embora esse local possa parecer o ponto inicial, não é o local correto. Antes de criar uma diretiva e suas regras associadas, é preciso definir listas de filtros e ações de filtros, que são componentes necessários de qualquer diretiva IPSec. Inicie o trabalho clicando em Gerenciar listas de filtros IP e ações de filtro.

A caixa de diálogo exibida tem duas guias: Uma para listas de filtros e outra para ações de filtros. Primeiro, a guia Gerenciar listas de filtros IP é aberta. Já existem duas listas de filtros predefinidas que você não usa. Em vez disso, é possível criar uma lista de filtros específica que corresponda ao outro computador ao qual deseja se conectar.

Suponha que você vai criar a diretiva no computador pertencente a Alice:
  1. Clique em Adicionar para criar uma nova lista de filtros. Denomine a lista "Abczz para o PC de Roberto".
  2. Clique em Adicionar para adicionar um novo filtro. Um assistente é iniciado.
  3. Clique em Meu endereço IP como origem.
  4. Clique em um endereço IP específico como destino e digite o endereço IP (172.31.67.244) do computador pertencente a Roberto. Alternativamente, se o computador pertencente a Roberto estiver registrado no sistema de nomes de domínio (DNS) ou no serviço de cadastramento na Internet do Windows (WINS), você poderá selecionar um nome DNS específico e, em vez disso, digitar o nome do computador pertencente a Roberto, que é "Robertoslap".
  5. O Abczz usa TCP para sua comunicação, portanto clique em TCP como tipo de protocolo.
  6. Para as portas de protocolo IP, clique em De qualquer porta. Clique em Para esta porta, digite: 6667 e clique em Concluir para concluir o assistente.
  7. Repita as etapas precedentes, mas desta vez digite: 6668 como o número da porta e clique em Fechar.
Sua lista de filtros contém dois filtros: Um para comunicações de Alice com Roberto na porta 6667 (que pertence a Roberto) e um na porta 6668 (que pertence a Roberto). (Roberto tem ambas as portas 6667 e 6668 configuradas em seu computador: uma é para a saída de comunicação e a outra é para a entrada de comunicação.) Esses filtros são espelhados, o que geralmente é necessário sempre que se cria um filtro IPSec. Para cada filtro espelhado, a lista pode conter (mas não exibir) um filtro oposto exato em que os endereços de origem e destino são invertidos. Sem filtros espelhados, as comunicações IPSec geralmente não têm êxito.

Criar a ação do filtro

Você definiu o tipo de tráfego que deve ser protegido. Agora deve especificar o mecanismo de segurança. Clique na guia Gerenciar ações de filtro. Há três padrões listados. Em vez de usar a ação Exigir segurança, você deve criar uma nova ação que seja mais rigorosa.

Para criar a nova ação:
  1. Clique em Adicionar para criar uma nova ação de filtro. Um assistente é iniciado. Denomine a ação "Criptografar Abczz".
  2. Para a opção Geral, clique em Negociar segurança e clique em Não se comunicar com computadores que não dêem suporte para segurança IP.
  3. Clique em Alta para a opção Segurança do tráfego IP e clique em Concluir para fechar o assistente.
  4. Dê um clique duplo na nova ação de filtro (que você chamou anteriormente de "Criptografar Abczz").
  5. Clique para desmarcar a caixa de seleção Aceitar a comunicação não segura, mas sempre responder usando IPSec. Esta etapa garante que os computadores irão negociar IPSec antes que um pacote de Abczz seja enviado.
  6. Clique em Sigilo total na transferência de chave da sessão para assegurar-se da não reutilização do material de chave, clique em OK e clique em Fechar.

Criar a diretiva IPSec

Você obteve os elementos da diretiva. Agora pode criar a diretiva. Clique com o botão direito do mouse no painel do MMC e clique em Criar diretiva de segurança IP. Quando o assistente for iniciado:
  1. Denomine a diretiva como "IPSec de Alice".
  2. Clique para desmarcar a caixa de seleção Ativar a regra de resposta padrão.
  3. Clique na opção Editar propriedades, se não estiver selecionada, e conclua o assistente. A caixa de diálogo Propriedades da diretiva é aberta.
Para que uma diretiva IPSec funcione, ela deve conter pelo menos uma regra que vincule uma lista de filtros a uma ação de filtro.

Para especificar regras na caixa de diálogo Propriedades:
  1. Clique em Adicionar para criar uma nova regra. Quando o assistente iniciar, clique em Esta regra não especifica um encapsulamento.
  2. Clique em Rede local (LAN) para tipo de rede.
  3. Clique em Padrão do Windows 2000 (protocolo V5 Kerberos) para o método de autenticação, se os computadores de Alice e Roberto estiverem no mesmo domínio do Windows 2000. Se não estiverem, clique em Usar esta seqüência para proteger a troca de chaves (chave pré-compartilhada) e digite uma seqüência (use uma seqüência longa fácil de memorizar e digite sem cometer erros).
  4. Selecione a lista de filtros criada anteriormente. Neste exemplo, a lista de filtros é "Abczz para o PC de Roberto". Em seguida, selecione a ação de filtro criada anteriormente. Neste exemplo, a ação de filtro é "Criptografar Abczz".
  5. Conclua o assistente e clique em Fechar.

Configurar os outros pontos de extremidade

Repita no computador pertencente a Roberto todos os procedimentos anteriormente aplicados ao computador pertencente a Alice. As alterações necessárias são óbvias, como "Abczz para o PC de Roberto" deve ser alterado para "Abczz para o PC de Alice".

Atribuir as diretivas

Você definiu as diretivas em ambas as extremidades. Agora, deve atribuí-las:
  1. Nas Configurações locais de segurança do MMC, clique com o botão direito do mouse na diretiva ( Abczz neste exemplo).
  2. Clique em Atribuir.
Somente uma diretiva de IPSec pode ser atribuída por vez, mas uma única diretiva pode ter o número necessário de regras. Por exemplo, se Alice também precisa de comunicações seguras com Eva usando um protocolo diferente, você deve criar as listas de filtros e ações apropriadas e adicionar uma regra ao IPSec (que pertence a Alice) que vincula a lista de filtros e a ação de filtro específicas. Clique em Usar uma chave compartilhada diferente para esta regra. A diretiva para Alice agora tem duas regras: Uma para comunicações de Abczz com Roberto e outra para as comunicações com Eva. Como Roberto e Eva não precisam comunicar-se de modo seguro entre si, a diretiva para Roberto não tem nada adicionado a ela e a política para Eva contém uma única regra para comunicações com Alice.

Solução de problemas

Usar IPSecMon para testar sua diretiva

O Windows 2000 inclui um utilitário (IPSecMon.exe) que pode ser usado para testar se uma associação de segurança de IPSec foi estabelecida com êxito. Para iniciar o IPSecMon:
  1. Clique em Iniciar e em Executar.
  2. Digite: ipsecmon e pressione ENTER.
  3. Clique em Opções.
  4. Altere o intervalo de atualização para 1 .
Você deve estabelecer comunicações de um ponto de extremidade para o outro. Pode haver um atraso porque leva alguns segundos para os pontos de extremidade trocarem informações criptográficas e concluírem a associação de segurança. Você pode observar esse comportamento no IPSecMon. Quando cada ponto de extremidade cria suas associações de segurança, é possível observar uma entrada no IPSecMon que exibe esse comportamento.

Se você esperar a criação da associação de segurança e nada acontecer, retorne e examine as listas de filtros em cada ponto de extremidade. Certifique-se de que você recebeu as definições corretas dos protocolos que usa, pois os endereços de origem e destino ou as portas podem ser facilmente invertidos. Você pode desejar criar uma nova lista de filtros que especifique todo o tráfego. Além disso, pode adicionar uma nova regra à diretiva que usa essa lista de filtros e desativar a regra existente. Execute essas etapas em ambos os pontos de extremidade. Em seguida, use o comando ping para testar a conectividade: O comando ping pode exibir "Negociando segurança de IP" durante a fase de associação de segurança e exibir seus resultados normais quando a associação de segurança estiver estabelecida.

NAT e IPSec são incompatíveis

Se houver qualquer conversão de endereços de rede (NAT) entre os dois pontos de extremidade, o IPSec não funcionará. O IPSec incorpora endereços de pontos de extremidade como parte da carga. Ele também usa endereços de origem quando calcula somas de verificação de pacotes, antes de depositar os pacotes na conexão. O NAT pode alterar o endereço de origem dos pacotes de saída e o destino usa o endereço no cabeçalho quando calcula suas próprias somas de verificação. As somas de verificação originais calculadas na origem, transportadas nos pacotes, não correspondem às somas de verificação calculadas no destino e o destino pode ignorar os pacotes. Você não pode usar o IPSec em qualquer tipo de dispositivo NAT.

REFERÊNCIAS : Para obter informes oficiais e informações técnicas detalhadas sobre IPSec no Windows 2000, consulte o seguinte da Microsoft na Web:
http://www.microsoft.com/windows2000/technologies/security/default.asp

Propriedades

ID do artigo: 301284 - Última revisão: terça-feira, 23 de março de 2004 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbhowtomaster KB301284

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com