Utilize esta caixa de diálogo para configurar uma oferta de algoritmo que inclua tanto integridade de dados como confidencialidade de dados (encriptação) e que esteja disponível ao negociar associações de segurança de modo rápido. Tem de especificar o protocolo e o algoritmo utilizados para proteger a integridade dos dados no pacote de rede.

A segurança IPsec fornece integridade calculando um hash gerado a partir dos dados no pacote de rede. O hash é assinado criptograficamente (encriptado) e incorporado no pacote IP. O computador receptor utiliza o mesmo algoritmo para calcular o hash e compara o resultado com o hash incorporado no pacote recebido. Se houver correspondência, as informações recebidas são exactamente as mesmas que as informações enviadas e o pacote é aceite. Se não houver, o pacote é ignorado.

A utilização de um hash encriptado da mensagem transmitida inviabiliza, em termos informáticos, a alteração da mensagem sem que isso provoque uma falha de correspondência com o hash. Isto é crítico quando os dados são trocados através de uma rede não segura, tal como a Internet, e permite saber que a mensagem não foi alterada durante transição.

Além da protecção da integridade, esta caixa de diálogo permite-lhe especificar um algoritmo de encriptação que ajuda a impedir que os dados sejam lidos se o pacote de rede for interceptado durante a transição.

Como aceder a esta caixa de diálogo

  1. Na página do snap-in Firewall do Windows com segurança avançada da MMC, em Descrição Geral, clique em Propriedades da Firewall do Windows.

  2. Clique no separador Definições de IPsec.

  3. Em Predefinições IPsec, clique em Personalizar.

  4. Em Protecção de Dados (Modo Rápido), seleccione Avançadas e clique em Personalizar.

  5. Em Integridade dos dados e encriptação, seleccione uma combinação de algoritmos a partir da lista e clique em Editar ou Adicionar.

Protocolo

Os seguintes protocolos são utilizados para incorporar informações de integridade e de encriptação num pacote IP.

ESP (recomendado)

O ESP (Encapsulating Security Payload) fornece confidencialidade (além de autenticação, integridade e anti-reprodução) ao payload de IP. O ESP em modo de transporte não assina o pacote inteiro. Só está protegido o payload de dados de IP (não o cabeçalho IP). O ESP pode ser utilizado individualmente ou em combinação com o AH (Authentication Header). Com o ESP, o cálculo hash inclui o cabeçalho, o trailer e o payload ESP. O ESP fornece serviços de confidencialidade de dados encriptando o payload ESP com um dos algoritmos de encriptação suportados. Os serviços de reprodução de pacote são fornecidos através da inclusão de um número de sequência para cada pacote.

ESP e AH

Esta opção combina a segurança do protocolo ESP com o protocolo AH. O AH fornece autenticação, integridade e anti-reprodução para o pacote inteiro (tanto para o cabeçalho IP como para o payload de dados transportado no pacote).

Importante

O protocolo AH não é compatível com NAT (Network Address Translation) porque os dispositivos NAT necessitam de alterar as informações nos cabeçalhos dos pacotes. Para permitir a passagem de tráfego baseado em IPsec por um dispositivo NAT, tem de garantir que NAT-T (NAT Traversal) é suportado nos computadores de uma rede ponto-a-ponto IPsec.

Algoritmos

Algoritmo de encriptação

Os algoritmos de encriptação seguintes estão disponíveis em computadores com esta versão do Windows. Alguns destes algoritmos não estão disponíveis em computadores com versões anteriores do Windows. Se tiver de estabelecer ligações protegidas por IPsec com um computador a executar uma versão anterior do Windows, tem de incluir as opções de algoritmo que são compatíveis com a versão anterior.

Para mais informações, consulte Algoritmos IPsec e Métodos Suportados no Windows (pode estar em inglês).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC256

  • AES-CBC192

  • AES-CBC128

  • 3DES

  • DES

Segurança Nota

A utilização de DES não é recomendada. Só é fornecido para retro-compatibilidade.

Nota

Se especificar um algoritmo AES-GCM para encriptação, tem de especificar o mesmo algoritmo para integridade.

Algoritmo de integridade

Os algoritmos de integridade seguintes estão disponíveis em computadores com esta versão do Windows. Alguns destes algoritmos não estão disponíveis em computadores com outras versões do Windows. Se tiver de estabelecer ligações protegidas por IPsec com um computador a executar uma versão anterior do Windows, tem de incluir as opções de algoritmo que são compatíveis com a versão anterior.

Para mais informações, consulte Algoritmos IPsec e Métodos Suportados no Windows (pode estar em inglês).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

Segurança Nota

A utilização de MD5 não é recomendada. Só é fornecido para retro-compatibilidade.

Nota

Se especificar um algoritmo AES-GCM para integridade, tem de especificar o mesmo algoritmo para encriptação.

Durações da chave

As definições de duração determinam quando é gerada uma nova chave. A duração da chave permite forçar a geração de uma nova chave após um intervalo de tempo especificado ou após a transmissão de uma quantidades de dados especificada. Por exemplo, se a comunicação durar 100 minutos e especificar uma duração da chave de 10 minutos, serão geradas 10 chaves (uma a cada 10 minutos) durante a troca. A utilização de várias chaves assegura que, se um atacante conseguir obter a chave para uma parte da comunicação, a totalidade da comunicação não estará comprometida.

Nota

Esta regeneração de chaves destina-se à encriptação e à integridade de dados no modo rápido e não afecta as definições de duração da chave para a troca de chaves no modo principal.

Minutos

Utilize esta definição para configurar a duração da chave utilizada na associação de segurança no modo rápido, em minutos. Após este intervalo, a chave será regenerada. As comunicações subsequentes irão utilizar a chave nova.

A duração máxima é de 2.879 minutos (48 horas). A duração mínima é de 5 minutos. Recomenda-se que a recodificação seja efectuada apenas com a frequência exigida pela análise de riscos. Uma recodificação excessivamente frequente pode ter impacto no desempenho.

KB

Utilize esta definição para configurar o número de quilobytes (KB) de dados enviados com a chave. Uma vez atingido este limiar, o contador é reposto e a chave é regenerada. As comunicações subsequentes irão utilizar a chave nova.

A duração máxima é de 2.147.483.647 KB. A duração mínima é de 20.480 KB. Recomenda-se que a recodificação seja efectuada apenas com a frequência exigida pela análise de riscos. Uma recodificação excessivamente frequente pode ter impacto no desempenho.

Consulte Também

Sumário