Partilhar via

Configuração de IPsec

A Plataforma de Filtragem do Windows (WFP) é a plataforma subjacente para o Firewall do Windows com Segurança Avançada. O WFP é usado para configurar regras de filtragem de rede, que incluem regras que controlam a proteção do tráfego de rede com IPsec. Os desenvolvedores de aplicativos podem configurar o IPsec diretamente usando a API do WFP para aproveitar um modelo de filtragem de tráfego de rede mais granular do que o modelo exposto por meio do snap-in do Console de Gerenciamento Microsoft (MMC) para o Firewall do Windows com Segurança Avançada.

O que é IPsec

Internet Protocol Security (IPsec) é um conjunto de protocolos de segurança usados para transferir pacotes IP confidencialmente através da Internet. O IPsec era anteriormente obrigatório para todas as implementações IPv6 (mas consulte IPv6 Node Requirements; e opcional para IPv4.

O tráfego IP seguro tem dois cabeçalhos IPsec opcionais, que identificam os tipos de proteção criptográfica aplicada ao pacote IP e incluem informações para decodificar o pacote protegido.

O cabeçalho ESP (Encapsulating Security Payload) é usado para privacidade e proteção contra modificações maliciosas, executando autenticação e criptografia opcional. Ele pode ser usado para o tráfego que atravessa roteadores NAT (Network Address Translation).

O cabeçalho de autenticação (AH) é usado apenas para proteção contra modificações maliciosas executando autenticação. Ele não pode ser usado para tráfego que atravessa roteadores NAT.

Para obter mais informações sobre IPsec, consulte também:

de referência técnica IPsec

O que é IKE

Internet Key Exchange (IKE) é um protocolo de troca de chaves que faz parte do conjunto de protocolos IPsec. O IKE é usado durante a configuração de uma conexão segura e realiza a troca segura de chaves secretas e outros parâmetros relacionados à proteção sem a intervenção do usuário.

Para obter mais informações sobre o IKE, consulte também:

do Internet Key Exchange

O que é AuthIP

AuthIP (Authenticated Internet Protocol) é um protocolo de troca de chaves que expande o IKEv1 da seguinte forma.

Enquanto o IKEv1 suporta apenas credenciais de autenticação de computador, o AuthIP também suporta:
  • Credenciais do usuário: NTLM, Kerberos, certificados.
  • Certificados de integridade da NAP (Proteção de Acesso à Rede).
  • Credencial anônima, usada para autenticação opcional.
  • Combinação de credenciais; por exemplo, uma combinação de credenciais Kerberos de máquina e usuário.

AuthIP tem um mecanismo de autenticação-repetição que verifica todos os métodos de autenticação configurados antes de falhar a conexão.
AuthIP pode ser usado com soquetes seguros para implementar tráfego seguro IPsec baseado em aplicativos. Dispõe o seguinte:

  • Autenticação e criptografia por soquete. Consulte WSASetSocketSecurity para obter mais informações.
  • Falsificação de identidade do cliente. (O IPsec representa o contexto de segurança sob o qual o soquete é criado.)
  • Validação de nomes de pares de entrada e saída. Consulte WSASetSocketPeerTargetName para obter mais informações.

Observação

A Microsoft recomenda o uso do IKEv2 sempre que possível.

O que é uma política IPsec

Uma diretiva IPsec é um conjunto de regras que determinam qual tipo de tráfego IP precisa ser protegido usando IPsec e como proteger esse tráfego. Apenas uma diretiva IPsec está ativa em um computador ao mesmo tempo.

Para saber mais sobre como implementar diretivas IPsec, abra o snap-in MMC de Diretiva de Segurança Local (secpol.msc), pressione F1 para exibir a Ajuda e selecione Criando e Usando Políticas IPsec no sumário.

Para obter mais informações sobre diretivas IPsec, consulte também:

Visão geral dos conceitos de diretiva IPsec
Descrição de um de diretiva IPsec

Como usar o WFP para configurar políticas IPsec

A implementação do IPsec pela Microsoft usa a Plataforma de Filtragem do Windows para configurar diretivas IPsec. As políticas IPsec são implementadas adicionando filtros em várias camadas do WFP da seguinte maneira.

  • Nas camadas FWPM_LAYER_IKEEXT_V{4|6}, adicione filtros que especificam as políticas de negociação usadas pelos módulos de chaveamento (IKE/AuthIP) durante as trocas do Modo Principal (MM). Métodos de autenticação e algoritmos criptográficos são especificados nessas camadas.

  • Nas camadas FWPM_LAYER_IPSEC_V{4|6}, adicione filtros que especificam as políticas de negociação usadas pelos módulos de chaveamento durante as trocas de Modo Rápido (QM) e Modo Estendido (EM). Cabeçalhos IPsec (AH/ESP) e algoritmos criptográficos são especificados nessas camadas.

    Uma política de negociação é especificada como um contexto de provedor de política associado ao filtro. O módulo de chaveamento enumera os contextos do provedor de políticas com base nas características de tráfego e obtém a política a ser usada para a negociação de segurança.

    Observação

    A API WFP pode ser usada para especificar as associações de segurança (SAs) diretamente e, portanto, para ignorar a política de negociação do módulo de chaveamento.

     

  • Nas camadas FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} e FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6}, adicione filtros que invocam textos explicativos e determinam qual fluxo de tráfego deve ser protegido.

  • Nas camadas FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6}, adicione filtros que implementam filtragem de identidade e política por aplicativo.

O diagrama a seguir ilustra a interação dos vários componentes do WFP, com relação à operação IPsec.configuração IPsec usando a Plataforma de Filtragem do Windows

Depois que o IPsec é configurado, ele se integra ao WFP e estende os recursos de filtragem do WFP fornecendo informações a serem usadas como condições de filtragem nas camadas de autorização do Application Layer Enforcement (ALE). Por exemplo, o IPsec fornece o usuário remoto e a identidade da máquina remota, que o WFP expõe nas camadas de conexão e autorização do ALE. Essas informações podem ser usadas para autorização de identidade remota refinada por uma implementação de firewall baseada em WFP.

Abaixo está um exemplo de diretiva de isolamento que pode ser implementada usando IPsec:

  • FWPM_LAYER_IKEEXT_V{4|6} layers – Autenticação Kerberos.
  • FWPM_LAYER_IPSEC_V{4|6} camadas – AH/SHA-1.
  • FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} e FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} camadas - descoberta de negociação para todo o tráfego de rede.
  • FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} camadas - IPsec necessário para todo o tráfego de rede.

Camadas do PAM

Identificadores de camada de filtragem

Camadas ALE

Cenários de política IPsec implementados usando a API do WFP:

Modo de Transporte

Descoberta de negociação Modo de Transporte

Modo de Transporte de Descoberta de Negociação no Modo de Limite

Modo Túnel

Encriptação Garantida

de Autorização de Identidade Remota

Manual IPsec SAs

Isenções IKE/AuthIP

Soluções IPsec:

de isolamento de servidor e domínio

 

 

  • Last updated on