Utilize esta caixa de diálogo para configurar uma oferta de algoritmo de integridade dos dados que está disponível quando negoceia as associações de segurança de modo rápido. Tem de especificar o protocolo e o algoritmo utilizados para proteger a integridade dos dados no pacote de rede.

A segurança IPsec (Internet Protocol Security) fornece integridade calculando um hash gerado a partir dos dados no pacote de rede. O hash é, em seguida, criptograficamente assinado (encriptado) e incorporado no pacote IP. O computador de recepção utiliza o mesmo algoritmo para calcular o hash e compara o resultado com o hash incorporado no pacote recebido. Se corresponder, as informações recebidas correspondem exactamente às informações enviadas e o pacote será aceite. Se não corresponder, o pacote será ignorado.

A utilização de um hash encriptado da mensagem transmitida inviabiliza, em termos informáticos, a alteração da mensagem sem provocar um erro de correspondência do hash. Este é um procedimento crítico quando os dados são trocados numa rede não segura, como a Internet, uma vez que permite saber que a mensagem não foi alterada em trânsito.

Como aceder a esta caixa de diálogo
  1. Na página do snap-in Firewall do Windows com segurança avançada da MMC, em Descrição geral, clique em Propriedades da Firewall do Windows.

  2. Clique no separador Definições de IPSec.

  3. Em Predefinições IPsec, clique em Personalizar.

  4. Em Protecção de dados (Modo Rápido), seleccione Avançadas e, em seguida, clique em Personalizar.

  5. Em Integridade dos dados, seleccione uma combinação de algoritmos da lista e clique em Editar ou Adicionar.

Protocolo

Os seguintes protocolos são utilizados para incorporar as informações de integridade num pacote IP.

ESP (recomendado)

O ESP fornece autenticação, integridade e protecção anti-reprodução ao payload de IP. O ESP utilizado em modo de transporte não assina o pacote inteiro. Só está protegido o payload de IP (não o cabeçalho IP). O ESP pode ser utilizado individualmente ou em combinação com o AH. Com o ESP, o cálculo de hash inclui apenas o cabeçalho, finalizador e payload de ESP. Em alternativa, o ESP pode fornecer serviços de confidencialidade de dados através da encriptação de payload de ESP com um dos diversos algoritmos de encriptação suportados. Os serviços de reprodução de pacote são fornecidos através da inclusão de um número de sequência para cada pacote.

AH

O AH fornece autenticação, integridade e anti-reprodução para o pacote inteiro (tanto para o cabeçalho IP como para o payload de dados transportado no pacote). Não fornece confidencialidade, ou seja, não encripta os dados. Os dados são legíveis mas estão protegidos contra modificações. Alguns campos que podem ser alterados em trânsito são excluídos do cálculo de hash. Os serviços de reprodução de pacote são fornecidos através da inclusão de um número de sequência para cada pacote.

Importante

O protocolo AH não é compatível com a tradução de endereços de rede (NAT) porque os dispositivos NAT alteram informações em alguns dos cabeçalhos de pacotes incluídos no hash de integridade. Para permitir a passagem de tráfego baseado em IPsec por um dispositivo NAT, tem de utilizar o ESP e garantir que NAT-T (NAT Traversal) está activado nos computadores numa rede ponto a ponto IPsec.

Encapsulamento nulo

O encapsulamento nulo especifica que não pretende utilizar qualquer protecção de integridade ou encriptação no tráfego de rede. A autenticação continua a ser efectuada conforme as regras de segurança da ligação, mas não é fornecido qualquer outro tipo de protecção aos pacotes de rede trocados através desta associação de segurança.

Segurança Nota

Uma vez que esta opção não fornece qualquer tipo de protecção de integridade nem confidencialidade, recomendamos que a utilize apenas nos casos em que for necessário suportar software ou dispositivos de rede que não sejam compatíveis com ESP ou AH.

Algoritmos

Os seguintes algoritmos de integridade estão disponíveis para computadores que utilizam esta versão do Windows. Alguns destes algoritmos não estão disponíveis em computadores que utilizam outras versões do Windows. Se tiver de estabelecer ligações protegidas por IPsec com um computador que utiliza uma versão anterior do Windows, deverá incluir opções de algoritmos compatíveis com a versão anterior.

Para mais informações, consulte Algoritmos IPsec e os Métodos Suportados no Windows (pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    Atenção

    O MD5 deixou de ser considerado seguro e só deverá ser utilizado para testes ou nos casos em que o computador remoto não consiga utilizar um algoritmo mais seguro. É fornecido apenas para retro-compatibilidade.

Durações da chave

As definições de duração determinam quando é gerada uma nova chave. As durações da chave permitem forçar a geração de uma nova chave após um intervalo de tempo específico ou após a transmissão de uma quantidade específica de dados. Por exemplo, se a comunicação durar 100 minutos e especificar uma duração da chave de 10 minutos, serão geradas 10 chaves (uma a cada 10 minutos) durante a troca. A utilização de várias chaves assegura que, se um atacante conseguir obter a chave para uma parte da comunicação, a totalidade da comunicação não estará comprometida.

Nota

Esta regeneração de chaves aplica-se apenas à integridade dos dados de modo rápido. Estas definições não afectam as definições de duração da chave para a troca de chaves de modo principal.

Minutos

Utilize esta definição para configurar a duração da chave utilizada na associação de segurança de modo rápido, em minutos. Após este intervalo, será gerada uma nova chave. As comunicações subsequentes irão utilizar a chave nova.

A duração máxima é de 2.879 minutos (48 horas). A duração mínima é de 5 minutos. Recomendamos que as novas chaves sejam criadas apenas com a frequência que a análise de risco considere necessária. A criação excessiva de novas chaves poderá ter impacto no desempenho.

KB

Utilize esta definição para configurar o número de quilobytes (KB) de dados enviados com base na chave. Uma vez atingido este limiar, o contador é reposto e a chave é regenerada. As comunicações subsequentes irão utilizar a chave nova.

A duração máxima é de 2.147.483.647 KB. A duração mínima é de 20.480 KB. Recomendamos que as novas chaves sejam criadas apenas com a frequência que a análise de risco considere necessária. A criação excessiva de novas chaves poderá ter impacto no desempenho.

Consulte Também


Sumário