Uma ação de filtro define os requisitos de segurança para as transmissões de dados. As ações de filtro podem ser definidas durante ou antes da criação de uma diretiva. Listas de filtros estão disponíveis para qualquer diretiva. Para definir uma lista de filtro, clique com o botão direito do mouse no nó Diretiva de Segurança IP e selecione Gerenciar listas de filtros e ações de filtro.

Uma ação de filtro pode ser configurada para:

Permitir tráfego

O IPsec passa esse tráfego de/para o driver TCP/IP sem fazer modificações ou verificar os requisitos de segurança. Isso é apropriado para o tráfego proveniente de computadores que não dão suporte a IPsec. Limite a lista de filtros IP a um escopo mínimo quando usar esse tipo de ação de filtro para não permitir o tráfego que deve ser protegido.

Considere a possibilidade de permitir o tráfego ICMP para fins de solução de problemas. Talvez seja necessário permitir que um computador que não faça parte do seu domínio (por exemplo, o computador de um consultor) acesse outro computador do domínio. Você pode usar a ação de filtro Permitir para autorizar esse acesso.

Importante

A ação de filtro Permitir permite o acesso sem autenticação, integridade de dados ou criptografia. Qualquer pessoa que utiliza um computador com o endereço IP especificado na lista de filtros recebe acesso. Todo o tráfego entre os computadores é feito em texto não criptografado, e não são realizadas verificações de integridade.

Bloquear tráfego

O IPsec descarta silenciosamente o tráfego bloqueado. Ao usar uma ação de filtro de bloqueio, utilize uma lista de filtros IP que defina o escopo correto de endereços IP. O uso de escopos maiores aumenta a probabilidade de bloqueio do tráfego entre computadores válidos.

Negociar segurança

Se você habilitar a opção Aceitar comunicação não segura, mas sempre responder usando IPSec, o IPsec tentará negociar SAs (associações de segurança) e o envio ou recebimento de tráfego protegido por IPsec. No entanto, se o ponto não puder usar IPsec, a comunicação será permitida sem essa proteção. Depois de escolher a ação de filtro, você também poderá configurar o seguinte:

  • Métodos de segurança e sua ordem. Esta lista de métodos define a ordem em que os métodos serão aplicados. O primeiro método bem-sucedido será usado, e os demais não serão aplicados. Normalmente a lista deve ser ordenada do nível de segurança mais alto ao mais baixo para que seja usado o método mais seguro.

  • Aceitação do tráfego inicial de entrada não seguro (Aceitar comunicação não segura, mas sempre responder usando IPSec). O IPsec permite que um pacote de entrada que corresponda à lista de filtros configurada não seja seguro (isto é, não seja protegido por IPsec). No entanto, a resposta de saída ao pacote de entrada deve ser protegida. Essa configuração é útil quando você está usando a regra de resposta padrão para clientes. Quando um grupo de servidores estiver configurado com uma regra que proteja as comunicações com qualquer endereço IP e aceite as comunicações não protegidas, respondendo apenas com comunicações protegidas, a habilitação da regra de resposta padrão em computadores cliente assegurará que os clientes respondam à solicitação do servidor para negociar a segurança. Para evitar ataques de negação de serviço, essa opção deve ser desabilitada em computadores seguros conectados à Internet.

  • Permissão da comunicação com computadores sem IPsec (Permitir comunicação não segura se não for possível uma conexão segura). O IPsec retornará à comunicação não segura, se necessário. Novamente, você deve limitar a lista de filtros IP a um escopo mínimo. Caso contrário, se a negociação não tiver êxito por alguma razão, todas as comunicações afetadas pela regra em que essa ação de filtro reside poderão resultar em dados enviados sem segurança. Se estiver preocupado com a comunicação não segura, talvez seja mais adequado desabilitar essas configurações. No entanto, a comunicação com computadores que não podem iniciar o IPSec, como sistemas herdados, poderá ser bloqueada. Para evitar ataques de negação de serviço, essa opção deve ser desabilitada em computadores seguros conectados à Internet.

  • Geração de chaves de sessão de modo rápido a partir do material de criação de chave de modo principal (Sigilo total na transferência de chave da sessão). Ao habilitar o sigilo total na transferência de chave da sessão, você assegura que o material da chave mestra do modo principal não será usado para originar mais de uma chave de sessão de modo rápido. Além disso, quando essa opção é habilitada, uma nova troca de chaves Diffie-Hellman é efetuada para gerar o material de nova chave mestra de modo principal antes que a nova chave de sessão de modo rápido seja criada. O sigilo total na transferência de chave da sessão (modo rápido) não exige uma nova autenticação de modo principal e usa menos recursos do que o sigilo total na transferência de chave mestra (modo principal).

Métodos de segurança IPsec

Cada método de segurança define os requisitos de segurança de todas as comunicações às quais a regra associada se aplica. A criação de vários métodos de segurança aumenta a probabilidade de um método comum ser encontrado entre dois computadores. O componente IKE (Internet Key Exchange) lê a lista de métodos de segurança em ordem decrescente e envia uma lista de métodos de segurança permitidos para o outro ponto. O primeiro método em comum é selecionado. Normalmente os métodos mais seguros são exibidos na parte superior da lista, e os menos seguros na parte inferior.

Métodos de segurança predefinidos

Os seguintes métodos de segurança são predefinidos:

Criptografia e integridade

Usa o protocolo ESP para fornecer confidencialidade de dados (criptografia) com o algoritmo 3DES (padrão de criptografia de dados triplo), integridade e autenticação de dados com o algoritmo de integridade SHA1 (algoritmo de hash seguro 1) e vidas úteis de chave padrão (100 MB, 1 hora). Se precisar de proteção de dados e endereços (cabeçalho IP), você poderá criar um método de segurança personalizado. Se não precisar de criptografia, use Apenas integridade.

Apenas Integridade

Usa o protocolo ESP para fornecer autenticação e integridade de dados com o algoritmo de integridade SHA1 e vidas úteis de chave padrão (100 MB, 1 hora). Nessa configuração, o ESP não assegura a confidencialidade dos dados (criptografia).

Métodos de segurança personalizados

Se as configurações predefinidas Criptografia e Integridade ou Apenas integridade não atenderem aos seus requisitos de segurança, você poderá especificar métodos de segurança personalizados. Por exemplo, você poderá usar métodos personalizados quando tiver de especificar criptografia e integridade de endereços, algoritmos mais seguros ou vidas úteis de chave. Ao configurar um método de segurança personalizado, você poderá configurar o seguinte:

Protocolos de segurança

As opções AH (integridade de dados e endereço sem criptografia) e ESP (integridade de dados e criptografia) podem ser habilitadas em um método de segurança personalizado quando você precisa da integridade de cabeçalho IP e da criptografia de dados. Se tiver escolhido habilitar as duas opções, você não precisará especificar um algoritmo de integridade para ESP.

Observação

O protocolo AH não pode ser usado em dispositivos NAT (conversão de endereços de rede) porque utiliza um hash do cabeçalho. Os dispositivos NAT alteram o cabeçalho, por isso o pacote não é autenticado corretamente.

Algoritmo de integridade

Message Digest 5 (MD5), que produz uma chave de 128 bits. Esse algoritmo não é mais considerado seguro e só deve ser utilizado quando a interoperabilidade requer seu uso.

SHA1, que usa uma chave de 160 bits. O SHA1 é um hash mais seguro que o MD5, sendo compatível com o padrão FIPS.

Algoritmo de criptografia

O 3DES é a mais segura das combinações DES, no entanto, de certa maneira, possui desempenho um pouco mais lento. O 3 DES processa cada bloco três vezes, usando três chaves de 56 bits exclusivas.

O DES usa uma única chave de 56 bits e é utilizado quando um nível mais alto de segurança e a sobrecarga do 3DES não são necessários. Esse algoritmo não é mais considerado seguro e só deve ser utilizado quando a interoperabilidade requer seu uso.

As configurações de chave de sessão (modo rápido) determinam quando, e não como, é gerada uma nova chave. Você pode especificar uma vida útil em KB, segundos ou ambos. Por exemplo, se a comunicação levar 10.000 segundos e você especificar a vida útil da chave como 1000 segundos, 10 chaves serão geradas para concluir a transferência. Isso assegurará que, mesmo que um invasor consiga determinar uma chave de sessão e decifrar parte de uma comunicação, ele não decifre a comunicação inteira. Por padrão, novas chaves de modo rápido são geradas para cada 100 MB de dados ou a cada hora. Sempre que o término da vida útil de uma chave é atingido, a SA, além da atualização ou regeneração da chave, também é renegociada.

Para criar uma ação de filtro usando a caixa de diálogo Propriedades da Nova Regra
  1. Na guia Regras da caixa de diálogo Propriedades da Diretiva de Segurança IP, desmarque a caixa de seleção Usar Assistente para Adicionar para criar a ação de filtro na caixa de diálogo de propriedades. Para usar o assistente, deixe a caixa de seleção marcada. Clique em Adicionar. As instruções a seguir são para criar uma lista de filtros usando a caixa de diálogo.

  2. Na guia Ação de Filtro da caixa de diálogo Propriedades da Regra, desmarque a caixa de seleção Usar Assistente para Adicionar e clique em Adicionar.

  3. Na guia Métodos de Segurança, selecione o método (ação) a ser usado pela regra.

  4. (Opcional) Na guia Descrição, digite a descrição da ação de filtro. Essa descrição pode ajudá-lo a classificar ações de filtro e permite identificar a ação de filtro rapidamente, sem precisar abrir as propriedades.

  5. Clique em OK.

  6. Repita as etapas de 4 a 8 para adicionar outras ações de filtro à lista.

    Observação

    Embora a regra liste várias ações de filtro, só é possível usar uma ação de filtro por regra.

  7. Na guia Ação de Filtro, selecione a ação de filtro apropriada para a regra e clique em OK.

Para criar uma ação de filtro usando a caixa de diálogo Gerenciar listas de filtros e ações de filtro
  1. Clique com o botão direito do mouse no nó Diretiva de Segurança IP e selecione Gerenciar listas de filtros IP e ações de filtro.

  2. Na guia Gerenciar Ações de Filtro, desmarque a caixa de seleção Usar Assistente para Adicionar para criar a ação de filtro utilizando a caixa de diálogo de propriedades. Para usar o assistente, deixe a caixa de seleção marcada. Clique em Adicionar. As instruções a seguir são para criar uma lista de filtros usando a caixa de diálogo. As orientações abaixo não usam o assistente.

  3. Na guia Métodos de Segurança, selecione o método e clique em OK.

  4. Se você tiver selecionado a opção Negociar segurança, poderá adicionar vários métodos e especificar a ordem em que eles serão aplicados. Para fazer isso, clique em Adicionar.

  5. (Opcional) Na guia Descrição, digite a descrição do filtro. Essa descrição pode ajudá-lo a classificar filtros e permite identificar o filtro rapidamente, sem precisar abrir as propriedades.

  6. Clique em OK.

  7. Repita as etapas de 4 a 8 para adicionar ações de filtro à lista.

Consulte também