Use esta caixa de diálogo para configurar uma oferta de algoritmo que inclui a integridade de dados e confidencialidade de dados (criptografia) disponível ao negociar associações de segurança no modo rápido. Você deve especificar o protocolo e o algoritmo usado para proteger a integridade dos dados no pacote de rede.

O IPsec (segurança do Protocolo Internet) proporciona integridade calculando um hash gerado pelos dados no pacote de rede. O hash é assinado criptograficamente (criptografado) e incorporado ao pacote IP. O computador receptor usa o mesmo algoritmo para calcular o hash e compara o resultado com o hash incorporado no pacote receptor. Se forem iguais, as informações recebidas serão exatamente as mesmas que as informações enviadas e o pacote será aceito. Se não forem iguais, o pacote será descartado.

A utilização de um hash criptografado da mensagem transmitida faz com que seja impraticável, em termos computacionais, alterar a mensagem sem que isso resulte em um erro de correspondência com o hash, Isso é fundamental quando os dados são trocados em uma rede não segura como a Internet e fornece uma maneira de saber se a mensagem não foi alterada durante a transferência.

Além da proteção de integridade, esta caixa de diálogo permite que você especifique um algoritmo de criptografia que ajuda a impedir a leitura dos dados se o pacote de rede for interceptado durante a transferência.

Como acessar esta caixa de diálogo

  1. Na página do snap-in do MMC do Firewall do Windows com Segurança Avançada, em Visão geral, clique em Propriedades do Firewall do Windows.

  2. Clique na guia Configurações de IPsec.

  3. Em Padrões IPSec, clique em Personalizar.

  4. Em Proteção de Dados (Modo Rápido), selecione Avançado e clique em Personalizar.

  5. Em Integridade e criptografia de dados, selecione uma combinação de algoritmos da lista e clique em Editar ou Adicionar.

Protocolo

Os seguintes protocolos são usados para incorporar as informações de integridade e criptografia em um pacote IP.

ESP (recomendado)

O protocolo ESP (carga de segurança de encapsulamento) fornece confidencialidade (além de autenticação, integridade e anti-replay) para a carga IP. O protocolo ESP no modo de transporte não assina todo o pacote. Apenas a carga de dados IP é protegida, não o cabeçalho IP. É possível usar o ESP isoladamente ou em conjunto com AH (cabeçalho de autenticação). Com ESP, o cálculo de hash inclui somente a carga, as informações finais e o cabeçalho ESP. O ESP fornece serviços de confidencialidade de dados criptografando a carga de ESP com um dos algoritmos de criptografia suportados. São fornecidos serviços de reprodução de pacotes mediante a inclusão de um número sequencial para cada pacote.

ESP e AH

Essa opção combina a segurança do protocolo ESP ao protocolo AH. O protocolo AH fornece autenticação, integridade e anti-replay para todo o pacote (o cabeçalho IP e a carga de dados transportada no pacote).

Importante

O protocolo AH não é compatível com NAT (conversão de endereços de rede) porque os dispositivos NAT precisam alterar as informações nos cabeçalhos dos pacotes. Para permitir o fluxo do tráfego com base em IPsec em dispositivos NAT, verifique se há suporte para NAT-T (NAT Traversal) nos computadores ponto a ponto com IPsec.

Algoritmos

Algoritmo de criptografia

Os seguintes algoritmos de criptografia estão disponíveis em computadores executando esta versão do Windows. Alguns desses algoritmos não estão disponíveis em computadores executando versões anteriores do Windows. Se você precisar estabelecer conexões protegidas por IPsec com um computador executando uma versão anterior do Windows, será necessário incluir opções de algoritmo compatíveis com a versão anterior.

Para obter mais informações, consulte Algoritmos e métodos IPsec suportados no Windows (A página pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

Segurança Observação

Não recomendamos o uso do DES. Ele é fornecido apenas para compatibilidade com versões anteriores.

Observação

Se você especificar um algoritmo AES-GCM para criptografia, será necessário especificar o mesmo algoritmo para integridade.

Algoritmo de integridade

Os seguintes algoritmos de integridade estão disponíveis em computadores executando esta versão do Windows. Alguns desses algoritmos não estão disponíveis em computadores executando outras versões do Windows. Se você precisar estabelecer conexões protegidas por IPsec com um computador executando uma versão anterior do Windows, será necessário incluir opções de algoritmo compatíveis com a versão anterior.

Para obter mais informações, consulte Algoritmos e métodos IPsec suportados no Windows (A página pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

Segurança Observação

Não recomendamos o uso do MD5. Ele é fornecido apenas para compatibilidade com versões anteriores.

Observação

Se você especificar um algoritmo AES-GCM para integridade, será necessário especificar o mesmo algoritmo para criptografia.

Tempos de vida das chaves

As configurações de tempo de vida determinam quando uma nova chave será gerada. Os tempos de vida da chave permitem forçar a geração de uma nova chave após um intervalo especificado ou após a transmissão de um volume especificado de dados. Por exemplo, se a comunicação durar 100 minutos e você especificar o tempo de vida da chave como 10 minutos, serão geradas 10 chaves (uma a cada 10 minutos) durante a troca. O uso de várias chaves garante que, caso um invasor obtenha a chave de uma parte de uma comunicação, a comunicação não seja totalmente comprometida.

Observação

Essa nova geração de chave serve para integridade e criptografia de dados no modo rápido e não afeta as configurações de tempo de vida da chave para troca de chave no modo principal.

Minutos

Use essa configuração para definir a duração da chave usada na associação de segurança no modo rápido, em minutos. Após esse intervalo, a chave será regenerada. As comunicações subsequentes usarão a nova chave.

O tempo de vida máximo é de 2.879 minutos (48 horas). O tempo de vida mínimo é de 5 minutos. Recomendamos a criação de uma nova chave apenas de acordo com a exigência de suas análises de risco. A criação frequente e excessiva de novas chaves pode prejudicar o desempenho.

KB

Use essa configuração para definir quantos quiilobytes (KB) de dados são enviados usando a chave. Depois que esse limite é alcançado, o contador é redefinido e a chave é regenerada. As comunicações subsequentes usarão a nova chave.

O tempo de vida máximo é de 2.147.483.647 KB. O tempo de vida mínimo é de 20.480 KB. Recomendamos a criação de uma nova chave apenas de acordo com a exigência de suas análises de risco. A criação frequente e excessiva de novas chaves pode prejudicar o desempenho.

Consulte também

Sumário