Implementando o IPSEC e Solucionando problemas relacionados

Publicado em:
09/01/2011

Por: Fábio Augusto

Implementando IPSEC

Em nossa serie  post tratando sobre IPSEC iremos ver como implementar o IPSEC em ambiente de rede, veremos duas formas de implementar o IPSEC, a primeira é aplicar as políticas de IPSEC localmente tanto no servidor como no cliente , a segunda forma é aplicar as políticas do IPSEC via políticas de grupos em domínio .

Implementando IPSEC localmente

Caso: Temos um servidor que tem o serviço de Telnet que é utilizado por apenas um computador da rede,  a forte necessidade que toda a comunicação entre servidor e cliente seja criptografada para evitar que espiões possam capturar a senha dos administradores que conectam ao servidor Telnet.

Especificações sobre ambiente

ServidorA

Sistema operacional: Windows Server 2003 STandard ou Enterprise

IP : 192.168.4.1

Mask: 255.255.255.0

Serviço a ser trabalhado pelo IPSEC: Telnet

Protocolo : TCP

Porta: 23

ClienteA

Sistema operacional: Windows Server 2003 Standard

IP : 192.168.4.2

Mask: 255.255.255.0

Serviço a ser trabalhado pelo IPSEC: Telnet

Protocolo : TCP

Porta: 23

Definido nosso ambiente é hora de fazer implementação do IPSEC, siga os passos abaixo

No servidorA faça:

  1. Click em iniciar >> executar
  2. Digite mmc
  3. Click em File >> Add/Remove Snap-in
  4. Click no botão Add
  5. Selecione o Snap-in Ip Security Monitor e click no botão Add
  6. Selecione o Snap-in Ip Security Policy Management e click no botão no Add
  7. Ira aparecer uma janela chamada Select Computer ou Domain , neste caso você seleciona a opção Local Computer
  8. Click no botão Finish
  9. Selecione o item Ip Security Policy Management e click com botão direito e vá em Create IP Security Policy

10.  Irá aparecer a tela de boa vindas chamada IP Security Policy Wizard , click no botão Next

11.  Na próxima janela , coloque o nome da nossa política chamada IPSEC_TELNET, na descrição digite seguinte conteúdo :  Política de segurança para serviço de Telnet , click depois no botão NEXT

12.  Na próxima janela , desabilite a opção Activate the default response rule , click no botão NEXT

13.  Selecione a opção Edit Properties

14.  Click no botão Finish

Observe na figura-01 é o screenshot feito da tela , você deverá ver a mesma janela .

blog_figura01

15.  Click no botão Add , na janela New Rule Properties , selecione a aba Ip Filter List e click Add

16.  Na janela IP Filter List digite Regras_Telnet_REDE , uma pequena observação nesta janela iremos configurar o filtro do IPSEC que irá analisar o pacote para aplicar as regras de criptografia e autenticidade , como se fosse um firewall.

17.  Ainda na janela IP Filter List desabilite o item Use Add Wizard e click no botão Add

18. Na janela IP Filter Properties , selecione a aba Address e procure pelo item Source Address  e selecione Any IP Address  e logo abaixo em Destination Address selecione My IP Address

19. Click na aba Protocol e selecione tipo de protocolo para TCP , logo abaixo em Set The IP protocol port selecione From any port e pouco mais embaixo selecione To this port digite o valor 23 (telnet)

Observe a figura-02, O seu computador deverá aparecer um resultado parecido

blog_figura02

20. Click no botão OK

21. Na aba IP Filter List selecione o item Regras_Telnet_Rede

22. Click na aba Filter Action  é nesta aba que vamos definir o que o IPSEC deverá fazer quando capturar o pacote definido na regra chamada Regras_Telnet_Rede

23. Desabilite o item Use Add Wizard e Click no botão Add]

24. Na janela New Filter Action Properties selecione a aba Negotiate security

25. Click no botão Add e selecione o item Integrity and encryption e click no botão OK

26.Ainda na aba Security Methods selecione a opção Negotiate security

27.Click na aba General e coloque o nome do filtro para Filtro_Cript_Telnet  e click no botão em Apply e depois no botão OK

28. Na janela Filter Action selecione o item Filtro_Cript_Telnet

29. Selecione a aba Authentication Methods , nesta aba você seleciona qual método de autentificação você quer utilizar para iniciar uma comunicação  IPSEC

30. Click no botão Remove (para remover o método Kerberos) e depois no botão Add

31. Selecione a opção Use This string (presharedkey)  e digite telnetcasa2, digite tudo minúsculo,  observe a figura03 a sua configuração deverá estar igual

Figura03 – Definindo método de autenticação

blog_figura03

32. Click no botão OK

33. Click no botão Close

34. Na janela IPSEC_TELNET Properties verifique se está selecionado a regra Regras_Telnet_Rede e click no botão OK

35. Selecione a nova política(IPSEC_TELNET) com botão direito do mouse e selecione a opção Assign

Observe a figura04  sua tela deverá ficar parecida.

blog_figura04

Agora definimos todas as regras para o uso do IPSEC no servidor , isto significa que toda conexão na porta 23 usando o protocolo TCP irá seguir as regras definidas em IPSEC_TELNET ,  você acha que terminou ?

Não falta agora o pulo do gato  esta pequena parte me deu uma dor de cabeça, porque quando tentei  implementar o IPSEC eu não consiga fechar uma sessão entre cliente e o servidor usando Telnet , qual é o segredo é você definir as regras gerais no clientes que iram acessar o serviço de Telnet no servidor ,  o procedimento é muito basta você segui-lo.

  1. Logar na cliente maquina cliente e carregar os mesmo snap-ins
  2. Criar uma nova política seguindo o mesmo conceito de regras definidas no servidor , mas tenha atenção para os seguintes itens:
  • Na propriedades IP FILTER defina no cliente Source address para my ip address e destination address selecione A specific IP ADDRESS e digite o ip do seu servidor que está rodando o serviço de telnet junto ao IPSEC
  • Mantenha o mesmo método de autentificação , isto significa utilize a mesma Preshared key definida na regras do servidor

3. Assine a nova regra

Testando IPSEC

A melhor forma de testar IPSEC é utilizar uma ferramenta de analise de pacote como Microsoft Network Monitor ou Wireshark , da maquina cliente tente estabelecer uma conexão telnet com o servidor , caso o procedimento que você fez esteja correto você vai conseguir logar no servidor , utilize um analisador de pacote tente verificar se o analisador de pacote conseguiu encontrar algum pacote que mostre a senha ou comandos que você digitou durante a sessão do telnet, caso você não ache nada apenas pacotes do tip ESP é que você consegui implementar com sucesso o IPSEC

Utilizando o IPSEC com políticas de grupos

Para que utilizar o IPSEC com políticas de grupos ?

Imaginemos que o nosso servidor de telnet terá mais 20 usuários e você não pode permitir que a senha ou conteúdo da sessão seja descoberto , ir em 20 computadores para configurar política por política é bastante cansativo , imagine quando alterar uma regra na política você deverá ir PC por PC e fazer as alterações, para isto você pode utilizar as políticas de grupos e fazer o trabalho de forma mais gerencia e com menor esforço administrativo .

Requisitos

  1. Ter instalado Group Policy Management

Procedimento

  1. Abra os seguintes snap-ins
  • GPMC – group policy management console
  • IP security Monitor
  • IP security Policies on Active Directory
  • Active Directory  Users and Computers
  • Result Set Of Policy
  1. Abra o snap-in Active Directory Users and Computers e crie duas unidades organizacionais uma chamando Clientes e a outra Servidores
  2. Abra o snap-in GPMC e crie uma policy com o nome GPO_IPSEC_SERVIDOR e selecione-a e click no botão Edit
  3. Com a política de grupo definida , você irá editá-la, vá a Computer Configuration >>  Windows settings >> Ip security policies
  4. Click com botão direito do mouse no item IP security policies
  5. Selecione o item  create policy security irá aparecer uma janela IP SECURITY Policy Wizard, o procedimento de criação desta política é identifico ao procedimento da política IPSEC para segurança local do servidor,  esta política que estamos criando deverá ser chamada  IPSEC_SERVIDOR , você deverá pegar as mesma regras  que definimos na política de IPSEC local , existe apenas uma diferença entre as regras criadas anteriormente e a atual, você deverá alterar o método de autenticação de Preshared key para Kerberos, apenas isto, as configurações restantes são idênticas.
  6. Definida a política, click com botão direito do mouse em cima da política selecione a opção Assign – Pronto até aqui você definiu a política de segurança para servidor.
  7. Mova este servidor para dentro da OU Servidores e através do GPMC amarre GPO_IPSEC_SERVIDOR  na OU servidores

Pronto você amarrou a GPO que contem a política de grupo do IPSEC para servidores à OU servidores, agora falta fazermos o mesmo procedimento para cliente.

  1. Abra o snap-in GPMC e crie uma policy chamada GPO_IPSEC_CLIENTE e selecione-a e click no botão Edit
  2. Com a política de grupo aberta , vá em Computer Configuration >>  Windows settings >> Ip security policies
  3. Click com botão direito do mouse no item IP security policies
  4. Selecione o item create policy security irá aparecer  janela IP SECURITY Policy Wizard, o procedimento de criação da política de IPSEC é  identifico ao procedimento da política IPSEC para segurança local de cliente,  esta política que estamos criando deverá ser chamada  IPSEC_CLIENTE , você deverá pegar as mesma regras  que definimos na política de IPSEC local , existe apenas uma diferença entre as regras criadas anteriormente e a atual, você deverá alterar o método de autenticação de Preshared key para Kerberos, apenas isto, as configurações restantes são idênticas.
  5. Definida a política click com botão direito em cima do nome da política e selecione a opção Assign – Pronto até aqui você definiu a política IPSEC para os clientes
  6. Mova seus clientes que utilizarão esta política do IPSEC cliente para dentro da OU Clientes
  7. Através do GPMC lige  a GPO_IPSEC_CLIENTE  a  OU clientes

Pronto o cenário está pronto agora você deverá logar no cliente e testar , lembrando que você deverá remover tanto do servidor como os clientes as políticas locais do IPSEC , já que agora você está definindo elas via GPO.

Caso você encontre algum problema

Solucionando problemas do IPSEC

Existem várias formas de solucionar os problemas relacionados ao IPSEC , o que diferencia a solução é qual método que foi utilizado se foi via GPO ou LOCAL, em todos os caso você pode utilizar um grande aliado para resolver este tipo de problema  que é IPSEC_MONITOR , no post IPSEC segunda parte, foi explicado sobre a suas funcionalidades , neste post apenas irei fazer comentários objetivos e curtos sobre essa ferramenta , o foco é dar dicas de como resolver os problemas de IPSEC em implementação via GPO ou LOCAL.

Implementações de IPSEC via GPO

Você deverá utilizar RSoP , com esta ferramenta pode fazer consulta a procura por políticas de grupos aplicadas ao um computador e a um usuario , ela irá mostrar  as políticas que estão assinadas para determinado usuario e computador , isto é imprescindível para saber se a GPO foi ou não aplicada.  Você pode carregar RSoP via Snap-in .

Usando o RSoP

Click em iniciar >> executar

  1. Digite MMC
  2. Click em File / Add Remove Snap-in
  3. Selecione o item Result Set of policy e click no botão ADD
  4. Click no botão CLOSE
  5. Click no botão OK para fechar a janela Add/ Remove Snap-in
  6. Click  com botão direito em cima do nome Resultant Set of Policie e selecione Generate RSoP Data
  7. Irá carregar a janela Resultant Set of Policy Wizard e click no botão next
  8. Na janela Mode Selection – Selecione a opção Logging Mode

10.  Na janela Computer Selection – Selecione a opção Another Computer e click no botão Browser você deverá procurar pelo computador no qual você está fazendo a consulta que a GPO foi aplicada

11.  Click no botão NEXT

12.  Na janela User Selection – Selecione o usuario no qual a política de GPO está amarrada, caso a GPO não esteja amarrada selecione o usuario que está reclamando , para mantermos o mesmo ambiente maquina e usuario

13.  Click no botão NEXT

14.  Na janela Summary of Selection confirme se o computador ,  modo e usuario são que os mesmo que orientamos a ser escolhido nos passos anteriores

15.  Click no botão NEXT

16.  Ira processar a janela Result Set of Policy informando que a pesquisa foi carregada com sucesso e irá carregar a janela informando que a pesquisa foi feita com sucesso

17.  Click no botão Finish

18.  Com a política de grupo aberta , vá em Computer Configuration >>  Windows settings >> Ip security policies, verifique qual política de IPSEC estão aplicadas a este computador

Implementações de IPSEC localmente

A complexidade da implementação do IPSEC via políticas locais é simples comparada à implementação de políticas via GPO , porem devemos ter cuidado com os seguinte pontos.

  1. Criar a mesma política do servidor no cliente, atentando para os detalhes de configuração de IP , por exemplo no cliente o endereço é my address e o destino é IP do servidor que está operando o serviço que está trabalhando com IPSEC
  2. O método de autentificação deverá igual para cliente e servidor
  3. Evite de criar política para cliente e servidores no qual você define any port para destino e origem , outros serviços que não precisam do IPSEC ficaram inoperantes pela política e outros computadores não terão acesso aos outros serviços do servidor

Usando o IPSEC MONITOR

Pode ser aberto via MMC carregando pelo snap-in Ipsec Monitor , como na figura 01 .

Figura01

blog_ipsecmonitor_fig1

Com o IPSEC monitor você poderá ter informações dos seguintes itens

Active Policy: Mostra quais políticas que estão ativadas no computador

Main mode: Mostra os detalhes sobre as políticas que estão ativadas no computador

Quick mode: Mostra os detalhes sobre as políticas que estão ativadas no computador porem não exibe informação sobre IKE policies que é informação sobre método criptografia escolhido como 3DES e DES

Resumo

O Windows 2003 disponibiliza todas as ferramentas necessárias para implementar o IPSEC sem há necessidade de utilizar ferramentas de terceiros, espero com esses quatro posts você possam fazer suas implementações de IPSEC

Mais duvidas relacionadas

http://www.windowsecurity.com/articles/Windows_Server_2003_IPSec_Part1.html

http://www.windowsecurity.com/articles/Windows_Server_2003_IPSec_Part2.html

[ ] ‘s

Entendendo o IPSEC

Publicado em:
09/01/2011

Antes de tudo deixa explicar o que significa IPSEC esta sigla significa Internet Protocol Security, o IPSEC é projetado para proteger dados por assinatura digital e criptografar os dados antes de transmitir. IPSEC criptografa informações sobre datagramas IP por encapsulamento, então se o pacote for capturado o atacante não pode fazer quase nada.

Qual é suporte do Windows 2003 para IPSEC?

Geração de chave à para dois computadores comunicarem em rede usando datagrama IP criptografados exige que ambos tem acesso a chave compartilhada de criptografia, está chave permite que cada computador criptografe dados e outro computador descriptografado os dados, o IPSEC utiliza algoritmo chamado Diffie-Hellman para criptografar chaves idênticas

Checksums criptografia à IPSEC usa chave criptográfica para calcular um checksum para o dados em cada pacote, é chamado de hás message authnetication code (HMAC) , então transmite com os dados , se alguém alterar o pacote enquanto ele está sendo transmitindo , o pacote é descartado.

Mutual authentication à Antes dos computadores abrirem um canal de comunicação em IPSEC eles devem primeiro estabelecer uma relação de confiança para isto Windows 2003 disponibiliza para autentificação os seguinte meio

  • Kerberos
  • Certificado digital
  • Senha

Uma vez os computadores estabelecido o meio seguro evita ataques dos tipos spoof em uma das pontas.

Replay prevention à Em alguns caso é possível o atacante usar dados de pacote capturado contra você, mesmo que os pacotes estiverem criptografados, por exemplo, os primeiros pacotes que dois computadores trocam durante uma sessão segura têm alguns pacote que o atacante pode interceptar e reenviar para ganhar acesso a recursos. O IPSEC previne a repetição de pacotes desta natureza assinando um numero de seqüência para cada pacote, em um sistema IPSEC não aceita o numero de seqüência de pacote errado.

Filtragem de pacote IP -> O Ipsec inclui seu próprio mecanismo de filtragem de pacote o que evita ataques do tipo denial-of-service pelo bloqueio de especifico tipo de endereço de ips , protocolos , portas ou qualquer outra combinação

 

Importante

 

  • IPSEC suporta dois tipos de hash o HMAC combinado com Message Digest 5 (MD5) e HMAC em combinação com Secure Hash Algorithm-1 (SHA1), sobre o HMAC-SHA1 é opção para trabalhar com uma chave maior visto que SHA1 utiliza 160bit enquanto o MD5 utiliza apenas 128bit , o HMAC-MD5 é forte o suficiente para ambiente normal mas HMAC-SHA1 é melhor escolha para um nível maior de segurança

Protocolos utilizado pelo IPSEC

Por padrão o IPsec utiliza dois protocolos que prove diferente tipos de segurança para comunicação em rede

  • IP Authentication Header (AH)
  • IP Encapsulation Security Payload (ESP)

IPSEC com AH

O protocolo IP authentication header ele não faz a criptografia dos dados em pacotes IP, mas prove autenticação, anti-replay e serviços de integridade, você pode usar AH por você mesmo ou combinação com ESP. Usando o AH sozinho prove uma segurança básica com baixa sobre carga, porem o AH não garante que os pacotes possam ser modificados em rota.

Ao utilizar o AH para proteger a transmissão de dados o sistema insere o cabeçalho AH dentro do datagrama IP, imediatamente depois do cabeçalho IP e antes do datagrama do payload.

Os campos do cabeçalho AH são:

  • Next header: Especifica o protocolo que está gerando o cabeçalho, se o IPSec está usando AH sozinho, o campo contem o código para protocolos que gerou o payload no qual é usualmente TCP, UDP ou ICMP.
  • Payload lenth: Especifica o tamanho do cabeçalho AH
  • Reservado: Sem uso
  • Índice de parâmetros de segurança : contem um valor que é combinação do pacote do endereço destino e protocolo de segurança (AH), assim define o datagrama Security association . O security association é uma lista dos itens de segurança negociados entre os computadores que estão em comunicação, qual o sistema irá utilizar para proteger os dados transmitidos
  • Authentication Data : Contem integrity check value (ICV) que envia ao computador cálculos baseado no campos do endereço ip , cabeçalho AH e payload do datagrama IP , o sistema que realiza o mesmo calculo e compara o resultado para este valor , o ICV é uma mensagem de código de autenticação que tem como principal objetivo autenticar uma mensagem e verificar a sua integridade .

Figura01 – Cabeçalho AH

cabeçalho_AH

IP –Encapsuluition security payload

O protocolo IP segurança de encapsulamento de payload (ESP) é utilizado para criptografar os dados dentro do datagrama IP , prevenindo que invasores leiam a informação dentro do pacote , caso este seja capturado. O ESP também prove autentificação , integridade e anti-replay , não como o AH que insere somente um cabeçalho dentro do datagrama IP , o ESP insere um cabeçalho e um trailer no qual envolve o payload datagrama , o protocolo criptografia todos os dados abaixo do cabeçalho do ESP incluindo o ESP trailer, portanto se alguém conseguir capturar o pacote usando ESP , pode ler o conteúdo do cabeçalho do endereço IP mas não poderá ler qualquer parte do payload do datagrama que inclui o datagrama TCP , UDP ou cabeçalho ICMP .

Figura 2 – ESP cabeçalho e trailer localização

cabeçalho_ESP

A utilização do ESP com AH , pode ser realizada isto permite aumentar a segurança porque somente o ESP sendo utilizado tem a possibilidade o atacante alterar o cabeçalho do endereço IP , incluindo o AH no cabeçalho IP dentro do calculo ICV resultado na maior proteção e inibe este tipo de ataque.

Figura 3 – AH + ESP

cabeçalho_ESP_AH

Os campos e funções do cabeçalho ESP como mostra na figura-4 podem ser visto logo abaixo.

  • Índice de parâmetros de segurança : contem um valor que é combinação do pacote do endereço destino e protocolo de segurança (AH), assim define o datagrama security association . O security association é uma lista dos itens de segurança negociados entre os computadores que estão em comunicação, qual o sistema irá utilizar para proteger os dados transmitidos
  • Payload Data : Contem informação trazida de dentro do payload do datagrama IP como TCP, UDP ou ICMP
  • Pad lenth : especifica o numero de bytes que podem ser preenchido no campo
  • Next Header: Especifica o protocolo que está gerando o cabeçalho , se o IPSec está usando AH sozinho , o campo contem o código para protocolos que gerou o payload no qual é usualmente TCP,UDP ou ICMP .
  • Authentication Data: Contem integrity check value (ICV) que envia ao computador cálculos baseado no campos do endereço ip , cabeçalho AH e payload do datagrama IP , o sistema que realiza o mesmo calculo e compara o resultado para este valor , o ICV é uma mensagem de código de autenticação que tem como principal objetivo autenticar uma mensagem e verificar a sua integridade .

Na figura 4 é mostrado o formato de uma mensagem ESP

Formato_mensagem_ESP

Modo de transporte e modo túnel

IPSec pode operar de duas formas : modo transporte e modo túnel , para comunicação entre computadores na mesma rede você utilizada o modo transport mode , no qual os dois sistemas tem suporte a IPSec, em conexões WAN e conexões de VPN , é necessário utilizar modo túnel , no sistema final que não tem suporte e toda implementação é feita no roteador de forma que toda ponta deverá ter a mesma implementação ou compatível

Como funciona o modo túnel

  1. Computador envia dados usando padrão de datagrama ip sem proteção
  2. O pacote chega ao roteador que mandar para conexão WAN , encapsulado pelo IPSEC , criptografando os dados
  3. O roteador transmite o pacote protegido para segundo roteador  até o final da conexão WAN
  4. O segundo roteador verifica o pacote por cálculos e comparações ICVs e descriptografar os dados necessários
  5. O segundo roteador re-empacota a informação dentro do pacotes para forma padrão , desprotegida e entrada o pacote para destino dentro da rede privada

 

Na parte acima vimos o que está por tras do funcionamento do IPSEC , agora iremos descobrir quais são e como funciona os componetes do IPSEC  no Windows 2003 .

IPSEC componentes

A implementação do IPSec dentro do Windows Server 2003 consiste dos seguintes componentes.

IPSec Policy Agent à É um serviço que procura por políticas armazenadas dentro do banco de dados do Active Directory ou Registro Windows

Internet Key Exchange  (IKE) à IKE é um protocolo que os computadores que utilizam o IPSEC usam para trocar informação sobre geração de Diffie-Hellman e para criar associação segura (SA). A comunicação IKE é feita em dois estágios , primeiro estagio , chamada de fase 1 AS , incluem negociação de qual algoritmo de criptografia, hash e método de autenticação o sistema irá utilizar, a segunda fase  ou 2 SAs , neste estagio cada ponta negocia com qual protocolo IPSEC, algoritmo hash e criptografia algoritmo que o sistema irá utilizar,  como também a troca de informação sobre autenticação e geração de chave  .

IPSec Driver à É responsável pela construção dos pacotes IPSec , criptografia dos dados a serem transmitidos , o driver recebe uma lista de filtros da política do IPSec com a lista, o IPSec compara cada pacote de saída , quando o pacote combina com os critérios da lista , o IPSec driver inicia IKE processo de comunicação com  sistema de destino , adiciona o cabeçalho AH e ESP para pacote de saída e criptografa os dados dentro se for necessário, para pacotes entrantes o IPSec driver calcula hash e checksum e compara os pacotes recém chegados

Planejamento do desenvolvimento do IPSec

Para implementar o IPSec no ambiente de rede você deve ficar atento, primeiro  que adicionando cabeçalho AH e ESP em cada pacote ira aumentar o trafego na rede e segundo , calculo de hash e criptografia de dados requer quantidade maior de tempo do processador, a menos que você tem um poderoso ambiente de rede não é um boa idéia utilizar o IPSec para todos os pacotes , mas sim utilizar filtros que analisarem o trafego e irá aplicar as políticas do IPSec , outra fator importante é que as versões antigas como Windows 2000 não pode usar IPSec , o sistema operacional do cliente tem que ter suporte ao IPSec.

Trabalhando com políticas IPSec

Você pode desenvolver as políticas do IPSec de varias formas , a duas formas mais comuns são via Local security Policy console e via Group policy Object , criar as políticas via GPO permite uma administração mais objetiva e rápida.

Políticas padrão do IPSEC

São três políticas padrões

  • Client (resposta somente) : Configurar o computador para utilizar IPSec somente quando outro computador requisita pelo IPSEC, o computador utilizando esta política nunca inicia uma negociação IPSEC, este somente responde a uma requisição de outro computador para comunicação segura.
  • Secure Server (Exigir segurança) : Configurar o computador para requerer IPSec security para todas as comunicações, se o computador tentar comunicar com um computador que não tenha suporte IPSec, o computador terminar a comunicação inicial
  • Server (Solicitar segurança): Configura o computador para requisitar o uso do IPSEC quando for comunicar com outro computador, o computador tiver suporte o IPSec inicia negociação , se outro computador não tiver suporte o IPSEC estabiliza uma padrão de conexão não segura

Modificando políticas IPSec

  • Regras : Uma regra é uma combinação de filtro IP e filtro de ações especificas como e quando o computador deverá usar o IPSEC, um IPSec política também trabalhar com múltiplas regras
  • IP filter list: É uma coleção de filtros que especifica que o trafego o sistema poderá ser seguro com IPSec, baseado com endereço IP , protocolos ou números de portas, você também pode criar filtro usando uma combinação de critério
  • Filtro ação : Configuração parâmetro  que especifica exatamente como IPSec deverá fazer segurança aos pacotes filtrados, ação filtro IPSec deverá ser usado com AH, ESP ou ambos.

É isso pessoal, no próximo post , vou falar como implementar.

[ ]’s