Use esta caixa de diálogo para configurar uma oferta de algoritmo de integridade de dados disponível durante a negociação das associações de segurança no modo rápido. Você deve especificar o protocolo e o algoritmo usado para proteger a integridade dos dados no pacote de rede.

O protocolo IPsec (segurança do Protocolo Internet) proporciona integridade calculando um hash gerado pelos dados no pacote de rede. O hash é assinado criptograficamente (criptografado) e incorporado ao pacote IP. O computador receptor usa o mesmo algoritmo para calcular o hash e compara o resultado com o hash incorporado no pacote recebido. Se corresponderem, as informações recebidas serão exatamente as mesmas que as informações enviadas e o pacote será aceito. Se não corresponderem, o pacote será descartado.

A utilização de um hash criptografado da mensagem transmitida torna impraticável, em termos computacionais, alterar a mensagem sem que isso cause um erro de correspondência do hash. Isso é fundamental quando os dados são trocados em uma rede insegura como a Internet, pois fornece uma maneira de saber se a mensagem não foi alterada durante a transferência.

Como acessar esta caixa de diálogo
  1. Na página do snap-in do MMC do Firewall do Windows com Segurança Avançada, em Visão geral, clique em Propriedades do Firewall do Windows.

  2. Clique na guia Configurações de IPsec.

  3. Em Padrões IPSec, clique em Personalizar.

  4. Em Proteção de Dados (Modo Rápido), selecione Avançado e clique em Personalizar.

  5. Em Integridade de Dados, selecione uma combinação de algoritmo da lista e clique em Editar ou Adicionar.

Protocolo

Os seguintes protocolos são usados para incorporar as informações de integridade em um pacote IP.

ESP (recomendado)

O ESP fornece proteção de autenticação, integridade e anti-replay para a carga IP. O ESP usado no modo de transporte não assina todo o pacote. Apenas a carga IP é protegida, não o cabeçalho IP. A ESP pode ser usada isoladamente ou em conjunto com o cabeçalho AH. Com o ESP, o cálculo de hash inclui somente a carga, o trailer e o cabeçalho ESP. O ESP pode fornecer, como opção, serviços de confidencialidade de dados criptografando a carga de ESP com um dos diversos algoritmos de criptografia aos quais têm suporte. São fornecidos serviços de reprodução de pacotes mediante a inclusão de um número sequencial para cada pacote.

AH

O protocolo AH fornece autenticação, integridade e anti-replay para todo o pacote (o cabeçalho IP e a carga de dados transportada no pacote). Ele não fornece confidencialidade, o que significa que ele não criptografa os dados. Os dados são legíveis, mas protegidos contra modificação. Alguns campos que têm permissão para alteração durante o trânsito são excluídos do cálculo de hash. São fornecidos serviços de reprodução de pacotes mediante a inclusão de um número sequencial para cada pacote.

Importante

O protocolo AH não é compatível com o NAT (conversão de endereço de rede), pois os dispositivos NAT mudam as informações em alguns dos cabeçalhos de pacote incluídos no hash de integridade. Para permitir o fluxo do tráfego com base no protocolo IPsec em dispositivos NAT, você deve usar ESP e verificar se o NAT-T (NAT Traversal) está habilitado nos computadores ponto a ponto com protocolo IPsec.

Encapsulamento nulo

O encapsulamento nulo especifica que você não deseja usar nenhuma proteção de integridade ou criptografia no seu tráfego de rede. A autenticação ainda é realizada conforme exigido pelas regras de segurança de conexão, mas nenhuma outra proteção é fornecida aos pacotes de rede trocados por meio dessa associação de segurança.

Segurança Observação

Como essa opção não fornece proteção de integridade ou confidencialidade de qualquer tipo, recomendamos seu uso apenas se você precisar fornecer suporte a software ou dispositivos de rede não compatíveis com ESP ou AH.

Algoritmos

Os seguintes algoritmos de integridade estão disponíveis em computadores executando esta versão do Windows. Alguns desses algoritmos não estão disponíveis em computadores executando outras versões do Windows. Se você precisar estabelecer conexões protegidas por protocolo IPsec com um computador executando uma versão anterior do Windows, será necessário incluir opções de algoritmo compatíveis com a versão anterior.

Para obter mais informações, consulte Algoritmos e métodos IPsec com suporte no Windows (a página pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    Cuidado

    O MD5 não é mais considerado seguro e deve ser usado somente para testes ou em casos em que o computador remoto não possa usar um algoritmo mais seguro. Ele é fornecido apenas para compatibilidade com versões anteriores.

Tempo de vida das chaves

As configurações de tempo de vida determinam quando uma nova chave será gerada. O tempo de vida da chave permite forçar a geração de uma nova chave após um intervalo de tempo especificado ou após a transmissão de um volume especificado de dados. Por exemplo, se a comunicação levar 100 minutos e você especificar o tempo de vida da chave como 10 minutos, 10 chaves serão geradas (uma a cada 10 minutos) durante a troca. O uso de várias chaves garante que se um invasor obter a chave para uma parte de uma comunicação, a comunicação inteira não fique comprometida.

Observação

Essa regeneração de chave é apenas para integridade de dados no modo rápido. Essas configurações não afetam as configurações de tempo de vida da troca de chaves no modo principal.

Minutos

Use essa configuração para definir a duração da chave usada na associação de segurança no modo rápido, em minutos. Após esse intervalo, uma nova chave será gerada. As comunicações subsequentes usarão a nova chave.

O tempo de vida máximo é de 2.879 minutos (48 horas). o mínimo é 5 minutos. Recomendamos que você faça o rechaveamento apenas de acordo com a exigência de suas análises de risco. O rechaveamento frequente e excessivo pode influenciar o desempenho.

KB

Use essa configuração para definir quantos kilobytes (KB) de dados são enviados usando a chave. Após esse limite ser atingido, o contador será reinicializado, a chave será regenerada As comunicações subsequentes usarão a nova chave.

O tempo de vida máximo é de 2.147.483.647 KB. O tempo de vida mínimo é de 20.480 KB. Recomendamos que você faça o rechaveamento apenas de acordo com a exigência de suas análises de risco. O rechaveamento frequente e excessivo pode influenciar o desempenho.

Consulte também


Sumário