Exportar (0) Imprimir
Expandir Todos

Acção do filtro

Acção do filtro

Uma acção de filtro define os requisitos de segurança para a transmissão de dados. Uma acção de filtro poderá ser configurada para:

  • Permitir tráfego (Permitir)
    O IPSec transmite este tráfego sem modificações ou necessidade de segurança. Isto é adequado para tráfego a partir de computadores específicos que não suportem funções do IPSec. Certifique-se de que limita a lista de filtros IP a um âmbito mínimo quando utilizar este tipo de acção de filtro, de modo a não deixar passar tráfego que deveria ter sido protegido.
  • Bloquear tráfego (Bloquear)
    O IPSec elimina silenciosamente este tráfego. Certifique-se de que utiliza uma lista de filtros IP que defina correctamente o âmbito de tráfego durante a utilização de uma acção de filtro de bloqueio, de modo a não bloquear a comunicação entre computadores válidos.
  • Negociar o IPSec (Negociar segurança)
    O IPSec requer a negociação de associações de segurança e o envio ou recepção de tráfego protegido por IPSec. Após escolher negociar o IPSec, também pode configurar o seguinte:
    • Métodos de segurança e respectiva ordenação
      Para mais informações, consulte Métodos de segurança IPSec.
    • Permissão de recepção inicial de tráfego não seguro (Aceitar comunicações não seguras, mas responder sempre utilizando IPSec)
      O IPSec permite que um pacote de entrada que corresponda à lista de filtros configurada não esteja protegido (não protegido pelo IPSec). No entanto, a resposta de saída ao pacote de entrada deverá ser protegida. Esta definição é útil na utilização da regra de resposta predefinida para clientes. Quando um grupo de servidores está configurado com uma regra que protege as comunicações com qualquer endereço IP e aceita comunicações não protegidas (respondendo apenas com comunicações seguras), a activação da regra de resposta predefinida em computadores clientes garante que os clientes responderão ao pedido de negociação de segurança do servidor. Este opção deverá ser desactivada para computadores seguros ligados à Internet, de modo a evitar ataques do tipo denial-of-service.
    • Activar comunicações com computadores que não utilizam IPSec (Permitir a comunicação não segura com computadores sem o IPSEC)
      Se for necessário, o IPSec reverte para comunicação não segura. Mais uma vez, poderá ter de limitar a lista de filtros IP a um âmbito mínimo. Caso contrário, se por qualquer motivo a negociação falhar, qualquer comunicação afectada pela regra na qual se baseie esta acção de filtro poderá resultar no envio de dados sem segurança. Se estiver preocupado com a comunicação não segura, poderá considerar a desactivação desta definição. Contudo, a comunicação com computadores que não possam iniciar o IPSec, tais como sistemas legacy, poderá ser bloqueada. Esta opção pode ser desactivada para computadores seguros ligados à Internet.
    • Geração de chaves de sessão a partir de material de chaves novo (Utilizar chave de sessão de Perfect Forward Secrecy (PFS))
      Esta acção determina se o material de chaves principais já existente poderá ser utilizado para criar uma nova chave de sessão. A activação da chave de sessão de PFS (Perfect Forward Secrecy) garante que o material de chave principal não poderá ser utilizado para criar mais do que uma chave de sessão. Quando a chave de sessão de PFS está activada, é efectuada uma nova troca de chaves Diffie-Hellman para gerar novo material de chave principal antes de ser criada a nova chave de sessão. A chave de sessão de PFS não requer uma nova autenticação em modo principal e utiliza menos recursos do que a chave principal de PFS.

Para obter informações sobre como configurar acções de filtro, consulte Adicionar, editar ou remover acções de filtros.

Métodos de segurança IPSec

Cada método de segurança define os requisitos de segurança de quaisquer comunicações às quais a regra associada se aplique. A criação de vários métodos de segurança aumenta a hipótese de encontrar um método comum entre os dois computadores. O componente IKE lê a lista de métodos de segurança por ordem descendente e envia uma lista de métodos de segurança permitidos ao outro peer. O primeiro método em comum será seleccionado. Normalmente, os métodos mais seguros são colocados na parte superior da lista e os métodos menos seguros são colocados na parte inferior da lista.

Métodos de segurança predefinidos

Estão predefinidos os seguintes métodos de segurança:

  • Encriptação e integridade
    Utiliza o protocolo ESP para fornecer confidencialidade de dados (encriptação) com o algoritmo 3DES (Triple Data Encryption Standard), integridade de dados e autenticação com o algoritmo de integridade SHA1 (Secure Hash Algorithm 1), bem como durações de chaves predefinidas (100MB, 1 hora). Se necessitar de protecção de dados e de endereçamento (cabeçalho IP), pode criar um método de segurança personalizado. Se não necessitar de encriptação, utilize Integridade apenas.
  • Integridade apenas
    Utilize o protocolo ESP para fornecer integridade de dados e autenticação com o algoritmo de integridade SHA1 e durações de chaves predefinidas (100MB, 1 hora). Nesta configuração, o ESP não fornece confidencialidade de dados (encriptação). É adequado quando os planos de segurança requerem níveis de segurança padrão.

Métodos de segurança personalizados

Se as predefinições Encriptação e integridade ou Integridade apenas não corresponderem aos requisitos de segurança do utilizador, poderá especificar métodos de segurança personalizados. Por exemplo, pode utilizar métodos personalizados quando for necessário especificar a encriptação e a integridade de endereço, algoritmos mais fortes ou durações de chave. Ao configurar um método de segurança personalizado, pode configurar o seguinte:

  • Protocolos de segurança
    Tanto AH (Integridade de dados e endereço sem encriptação) como ESP (Integridade de dados e encriptação) podem ser activados num método de segurança personalizado quando for necessária a integridade de cabeçalho IP ou a encriptação de dados. Se optar por activar ambos, não precisa de especificar um algoritmo de integridade para ESP. O algoritmo seleccionado para AH fornece integridade.
  • Algoritmo de integridade
    • MD5 (Message Digest 5), que utiliza uma chave de 128 bits.
    • SHA1 (Secure Hash Algorithm1), que utiliza uma chave de 160 bits.
  • Algoritmo de encriptação
    • O 3DES é a mais segura das combinações DES e um pouco mais lenta na execução. O 3DES processa três vezes cada bloco, utilizando três chaves exclusivas de 56 bits.
    • O DES é utilizado quando a segurança máxima e a capacidade do 3DES não são necessárias. O DES utiliza uma única chave de 56 bits.
  • Definições da chave de sessão
    As definições da chave de sessão determinam quando é gerada uma nova chave, e não como ela é gerada. É possível especificar uma duração em kilobytes, em segundos ou em ambos. Por exemplo, se a comunicação demorar 10.000 segundos e se for especificada a duração de chave de 1000 segundos, serão geradas 10 chaves para concluir a transferência. Este procedimento garante que, mesmo que um intruso consiga determinar uma chave de sessão e decifrar parte da comunicação, não será possível decifrar a totalidade da comunicação. Por predefinição, as novas chaves de sessão são geradas para cada 100 MB de dados ou de hora a hora. Repare que, sempre que seja atingida a duração de uma chave, a associação de segurança (SA, Security Association) de modo rápido também será renegociada, para além da actualização ou da regeneração da chave.

Nota

  • Quando o IPSec fornece confidencialidade de dados entre um computador baseado no Windows XP ou na família Windows Server 2003 (ou um computador baseado no Windows 2000 com o Pacote de Encriptação Elevada ou o Service Pack 2 ou superior instalado) e outro computador que não utilize 3DES, a lista de métodos de segurança deverá incluir DES. Caso contrário, o computador com o qual está a tentar comunicar poderá não conseguir obter um acordo de segurança comum com o seu computador. Se não for exigida confidencialidade de dados, pode seleccionar o formato ESP com apenas um algoritmo de integridade e definir a encriptação como <Nenhuma>. Em alternativa, é possível seleccionar um formato AH com um algoritmo de integridade.

Para obter informações sobre como configurar métodos de segurança, consulte Adicionar, editar ou remover métodos de segurança IPSec.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft