Exportar (0) Imprimir
Expandir Tudo

Protegendo o tráfego do RADIUS com o IPSec

Atualizado: janeiro de 2005

Aplica-se a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Protegendo o tráfego do RADIUS com o IPSec

A segurança do protocolo Internet (IPSec) fornece a capacidade de proteger os servidores RADIUS contra tráfego indesejado, filtrando adaptadores de rede específicos (permitindo ou bloqueando protocolos específicos) e permitindo que você escolha os endereços IP de origem a partir dos quais o tráfego é permitido. Para unidades organizacionais, você pode criar diretivas IPSec que estão armazenadas no Active Directory. Ou você pode criar diretivas locais em servidores RADIUS e aplicar essas diretivas em computadores específicos. Se você criar diretivas IPSec para uma unidade organizacional, a diretiva será aplicada pela Diretiva de Grupo.

Para obter mais informações sobre as unidades organizacionais e a Diretiva de Grupo, consulte Unidades organizacionais, Integração das diretivas de grupo e Criar uma nova unidade organizacional.

Antes de criar os filtros IPSec, determine o tipo de tráfego que você deseja permitir para cada servidor RADIUS. Os filtros que são muito restritos podem bloquear tráfego de rede aceitável. Por exemplo, se o IAS estiver instalado em um controlador de domínio e todo o tráfego IP, exceto o tráfego RADIUS, for bloqueado em todas as portas, haverá falha nas consultas do usuário para objetos do Active Directory (como impressoras) na porta 3268 do catálogo global padrão. Ao contrário, os filtros IP que são muito gerais expõem o servidor RADIUS ao tráfego indesejado. Para obter mais informações, consulte Considerações especiais sobre IPSec e Lista de filtros.

As mensagens RADIUS são enviadas com o protocolo de datagrama de usuário (UDP). A porta UDP 1812 é usada para mensagens de autenticação RADIUS e a porta UDP 1813 é usada para mensagens sobre estatísticas RADIUS. Ao criar filtros de entrada e de saída com a IPSec, o tráfego UDP deve ser permitido nessas portas. No entanto, alguns servidores de acesso de rede podem usar a porta 1645 UDP para mensagens de autenticação RADIUS e a porta 1646 UDP para mensagens sobre estatísticas RADIUS. Por padrão, o IAS oferece suporte aos dois conjuntos de portas. Se seus servidores de acesso à rede usam as portas 1645 e 1646 UDP, você pode criar filtros IPSec que permitem o tráfego nessas portas. Para obter informações sobre como alterar as portas UDP usadas pelo IAS, consulte Configurar informações das portas no IAS. Para obter mais informações sobre como definir listas de filtros IP, consulte IPSec (Internet Protocol Security) e Definir listas de filtros IP

Você pode usar o snap-in de Diretivas de Segurança IP e a Diretiva de Grupo para configurar a diretiva IPSec para unidades organizacionais. Para obter mais informações, consulte Diretiva de Grupo.

Use o console de Diretiva de segurança local para configurar a diretiva IPSec para servidores RADIUS individuais. Para obter mais informações, consulte Diretiva de segurança local.

Para obter informações sobre como criar os filtros IP para clientes de acesso remoto, consulte Controle de Quarentena de Acesso à Rede IAS.

Observação

  • Você pode configurar o IAS no Windows Server 2003 Standard Edition com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS é resolvido para vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003 Enterprise Edition e no Windows Server 2003 Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Você também pode configurar clientes RADIUS especificando um intervalo de endereços IP.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft