Exportar (0) Imprimir
Expandir Tudo

Regras de diretiva IPSec

Regras de diretiva IPSec

Um diretiva IPSec consiste em uma ou mais regras para determinar o comportamento da segurança IPSec. As regras IPSec são configuradas na guia Regras nas propriedades de uma diretiva IPSec. Cada regra IPSec contém os seguintes itens de configuração:

  • Lista de filtros
    Uma única lista de filtros é selecionada e contém um ou mais filtros de pacotes predefinidos que descrevem os tipos de tráfego aos quais a ação de filtro configurada para essa regra é aplicada. A lista de filtros é configurada na guia Lista de filtros IP nas propriedades de uma regra IPSec em uma diretiva IPSec.
  • Ação de filtro
    Uma única ação de filtro é selecionada e inclui o tipo de ação exigido (permitir, bloquear ou negociar segurança) para os pacotes que correspondam à lista de filtros. Para a ação de filtro Negociar segurança, os dados de negociação contêm um ou mais métodos de segurança que são usados (em ordem de preferência) durante as negociações IKE e outras configurações IPSec. Cada método de segurança determina o protocolo de segurança (como AH ou ESP), os algoritmos criptográficos e de hash específicos e as configurações de regeneração de chaves de sessão usadas. A ação de filtro é configurada na guia Ação de Filtro nas propriedades de uma regra IPSec em uma diretiva IPSec.
  • Métodos de autenticação
    Um ou mais métodos de autenticação são configurados (em ordem de preferência) e usados para a autenticação de pontos IPSec durante as negociações de modo principal. Os métodos de autenticação válidos são o protocolo Kerberos V5, o uso de um certificado emitido por uma autoridade de certificação especificada ou de uma chave pré-compartilhada. Os dados de negociação são configurados na guia Métodos de Autenticação nas propriedades de uma regra IPSec em uma diretiva IPSec.
    Importante
    • O uso da autenticação de chave pré-compartilhada não é recomendável porque é um método de autenticação relativamente fraco. A autenticação de chave pré-compartilhada cria uma chave mestre menos segura (que poderá produzir uma criptografia mais fraca) que os certificados ou o protocolo Kerberos V5. Além disso, as chaves pré-compartilhadas são armazenadas em texto sem formatação. A autenticação de chave pré-compartilhada é fornecida para fins de interoperabilidade e para aderir aos padrões de IPSec. É recomendável que você use chaves pré-compartilhadas somente para teste e que use certificados ou o protocolo Kerberos V5 em um ambiente de produção.
  • Ponto de extremidade do encapsulamento
    Especifica se o tráfego está encapsulado e, em caso positivo, o endereço IP do ponto de extremidade de encapsulamento. Para o tráfego de saída, o ponto de extremidade de encapsulamento é o endereço IP do ponto de encapsulamento IPSec. Para o tráfego de entrada, o ponto de extremidade de encapsulamento é um endereço IP local. O ponto de extremidade de encapsulamento é configurado na guia Configuração de Encapsulamento nas propriedades de uma regra IPSec em uma diretiva IPSec. Para obter mais informações, consulte Modo de encapsulamento.
  • Tipo de conexão
    Especifica se a regra se aplica a conexões de rede local (LAN), conexões dial-up ou a ambas. O tipo de conexão é configurado na guia Tipo de Conexão nas propriedades de uma regra IPSec em uma diretiva IPSec.

As regras para uma diretiva são exibidas no snap-in de diretivas de segurança IP em ordem alfabética inversa, com base no nome da lista de filtros selecionada para cada regra. Não há um método para especificar a ordem de aplicação das regras em uma diretiva. O driver IPSec ordena as regras automaticamente da lista de filtros mais específica para a lista de filtros menos específica. Por exemplo, o driver IPSec aplicará uma regra contendo uma lista de filtros que tenha especificado portas TCP e endereços IP individuais antes de uma regra contendo uma lista de filtros que tenha especificado todos os endereços de uma sub-rede.

Regra de resposta padrão

A regra de resposta padrão, que pode ser usada para todas as diretivas, apresenta a lista de filtros IP <Dinâmico> e a ação de filtro Resposta Padrão quando a lista de regras é exibida no console Gerenciamento de Diretivas de Segurança IP. A regra de resposta padrão não pode ser excluída, mas pode ser desativada. Ela é ativada por padrão em todas as diretivas.

A regra de resposta padrão é usada para assegurar que o computador responda a todas as solicitações de comunicações seguras. Se uma diretiva ativa não tiver uma regra definida para um computador que solicite comunicações seguras, a regra de resposta padrão será aplicada e a segurança será negociada. Por exemplo, quando o Computador A comunica-se de forma segura com o Computador B e este último não apresenta um filtro de entrada definido para o Computador A, a regra de resposta padrão é usada.

Os métodos de segurança e de autenticação podem ser configurados para a regra de resposta padrão. A lista de filtros <Dinâmico> indica que a lista não está configurada, mas que são criados filtros automaticamente com base no recebimento dos pacotes de negociação IKE. A ação de filtro Resposta Padrão indica que a ação do filtro (permitir, bloquear ou negociar segurança) não pode ser configurada. Negociar segurança será usada. No entanto, você pode configurar:

  • Os métodos de segurança e ordem de preferência na guia Métodos de Segurança.
  • Os métodos de autenticação e ordem de preferência na guia Métodos de Autenticação.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft