Exportar (0) Imprimir
Expandir Todos

Modo de túnel

Modo de túnel

Quando se utiliza o modo de túnel IPSec, a segurança do protocolo Internet (IPSec, Internet Protocol security) encripta o endereço IP e o payload, enquanto que o modo de transporte apenas encripta o payload IP. O modo de túnel fornece a protecção de todo um pacote IP, tratando-o como um payload de AH ou ESP. Com o modo de túnel, todo um pacote IP é encapsulado com um cabeçalho de AH ou ESP e com um cabeçalho IP adicional. Os endereços IP do cabeçalho IP exterior são os pontos finais do túnel e os endereços IP do cabeçalho IP encapsulado são os últimos endereços de origem e destino.

O modo de túnel IPSec é útil para proteger o tráfego entre redes diferentes, quando o tráfego tem de passar por uma rede intermédia não fidedigna. O modo de túnel IPSec utiliza-se principalmente para interoperabilidade com gateways ou sistemas finais que não suportem ligações L2TP/IPSec ou PPTP. Pode utilizar o modo de túnel nas seguintes configurações:

  • Gateway-a-gateway
  • Servidor-a-gateway
  • Servidor-a-servidor

Modo de túnel AH

Como a ilustração seguinte demonstra, o modo de túnel AH encapsula um pacote IP com um cabeçalho de AH e um cabeçalho IP e assina todo o pacote para integridade e autenticação.

Modo de túnel AH

Modo de túnel ESP

Como a ilustração seguinte demonstra, o modo de túnel ESP encapsula um pacote IP com um cabeçalho ESP e um cabeçalho IP e com um finalizador de autenticação ESP.

Modo de túnel ESP

A parte assinada do pacote indica onde o pacote foi assinado para integridade e autenticação. A parte encriptada do pacote indica as informações protegidas com confidencialidade.

Dado que um cabeçalho novo para utilização de túnel é adicionado ao pacote, tudo o que venha a seguir ao cabeçalho ESP é assinado (excepto o finalizador de autenticação ESP), pois está agora encapsulado no pacote de túnel. O cabeçalho original é colocado a seguir ao cabeçalho ESP. O pacote completo é anexado ao finalizador ESP antes de a encriptação ser efectuada. Tudo o que venha a seguir ao cabeçalho ESP é encriptado, excepto o finalizador de autenticação ESP. Isto inclui o cabeçalho original, considerado agora parte dos dados do pacote.

Todo o payload ESP é então encapsulado no novo cabeçalho de túnel, que não está encriptado. As informações contidas no novo cabeçalho de túnel são utilizadas apenas para encaminhar o pacote desde a origem até ao ponto final do túnel.

Se o pacote estiver a ser enviado através de uma rede pública, será encaminhado para o endereço IP do gateway para a intranet de recepção. O gateway desencripta o pacote, rejeita o cabeçalho ESP e utiliza o cabeçalho IP original para encaminhar o pacote para o computador da intranet.

O ESP e o AH podem ser combinados durante a utilização de túnel, fornecendo confidencialidade para o pacote IP de túnel e integridade e autenticação para todo o pacote.

Utilizar túneis IPSec

Os túneis IPSec só fornecem segurança para tráfego IP. O túnel é configurado para proteger o tráfego entre dois endereços IP ou entre duas sub-redes IP. Se o túnel for utilizado entre dois computadores, em vez de dois gateways, o endereço IP no exterior do payload AH ou ESP é o mesmo que o endereço IP no interior do payload AH ou ESP. No Windows XP e na família Windows Server 2003, o IPSec não suporta túneis específicos de protocolo nem de porta. Pode configurar túneis através da utilização das consolas Gestão de políticas de segurança para IP e Política de grupo para configurar e activar duas regras:

  1. Uma regra para o tráfego de saída do túnel.
    A regra para o tráfego de saída é configurada quer com uma lista de filtros que descreve o tráfego a enviar através do túnel, quer com um ponto final de túnel de um endereço IP configurado no peer de túnel IPSec (o computador ou router no outro lado do túnel).
  2. Uma regra para o tráfego de entrada do túnel.
    A regra para o tráfego de entrada é configurada com uma lista de filtros que descreve o tráfego a receber através do túnel e de um ponto final de túnel de um endereço IP local (o computador ou router no lado local do túnel).

Além disso, é necessário especificar acções de filtro, métodos de autenticação e outras definições para cada regra.

Para informações conceptuais sobre as definições de túnel da política IPSec, consulte Ponto final do túnel. Para obter informações sobre como configurar um túnel IPSec, consulte Especificar um túnel IPSec. Para obter informações sobre como utilizar túneis para a rede privada virtual, consulte Rede privada virtual com IPSec.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft