Uma acção de filtro define os requisitos de segurança para a transmissão de dados. As acções de filtro podem ser definidas durante ou antes da criação de uma política. As listas de filtros estão disponíveis para qualquer política. Para definir uma lista de filtros, clique com o botão direito do rato no nó Política de Segurança IP e seleccione Gerir listas de filtros e acções de filtro.

Uma acção de filtro poderá ser configurada para:

Permitir tráfego

O IPsec transmite este tráfego de e para o controlador TCP/IP sem modificações nem necessidade de segurança. Isto é adequado para tráfego a partir de computadores que não suportem o IPSec. Certifique-se de que limita a lista de filtros IP a um âmbito mínimo quando utilizar este tipo de acção de filtro, para não permitir tráfego que deveria ter sido protegido.

Considere a possibilidade de permitir o tráfego ICMP para efeitos de resolução de problemas. Também poderá ser necessário permitir que um computador que não se encontre no seu domínio (por exemplo, o computador de um consultor) aceda outro computador existente no seu domínio. Poderá utilizar a acção de filtro permitir para permitir este acesso.

Importante

A acção de filtro permitir permite o acesso sem qualquer autenticação, integridade de dados ou encriptação. É concedido acesso a qualquer pessoa que utilize um computador com o endereço IP especificado na lista de filtros. Todo o tráfego entre os computadores é efectuado em texto simples; não são efectuadas quaisquer verificações de integridade.

Bloquear tráfego

O IPsec elimina silenciosamente o tráfego bloqueado. Quando utilizar uma acção de filtro de bloqueio, certifique-se de que utiliza uma lista de filtros IP que defina o âmbito correcto dos endereços IP. A utilização de âmbitos mais abrangentes aumenta as hipóteses de bloquear tráfego entre computadores válidos.

Negociar segurança

Se activar a opção Aceitar comunicações inseguras, mas responder sempre com IPSec, o IPsec tenta negociar associações de segurança (SAs) e o envio ou recepção do tráfego protegido pelo IPsec. No entanto, se o elemento não puder utilizar o IPsec, as comunicações serão permitidas sem a protecção IPsec. Depois de seleccionar esta acção de filtro, também pode configurar o seguinte:

  • Métodos de segurança e respectiva ordem. A lista de métodos define a ordem pela qual os métodos serão tentados. O primeiro método com êxito será utilizado e os métodos restantes não serão tentados. Normalmente, a lista deverá ser ordenada da segurança mais alta para a mais baixa, de modo a que o método mais seguro seja utilizado.

  • Aceitação da recepção inicial de tráfego não seguro (Aceitar comunicações inseguras, mas responder sempre com IPSec) O IPsec permite que um pacote de entrada que corresponda à lista de filtros configurada não esteja protegido (ou seja, que não esteja protegido pelo IPsec). No entanto, a resposta de saída ao pacote de entrada deverá ser protegida. Esta definição é útil quando utiliza a regra de resposta predefinida para clientes. Quando um grupo de servidores está configurado com uma regra que protege as comunicações com qualquer endereço IP e aceita comunicações não protegidas (respondendo apenas com comunicações seguras), a activação da regra de resposta predefinida em computadores clientes garante que os clientes responderão ao pedido de negociação de segurança do servidor. Este opção deverá ser desactivada para computadores seguros ligados à Internet, de modo a evitar ataques denial-of-service.

  • Activação da comunicação com computadores que não suportem IPsec (Permitir comunicações não seguras se não for possível estabelecer uma ligação segura). Se for necessário, o IPsec reverte para comunicação não segura. Mais uma vez, deverá limitar a lista de filtros IP a um âmbito mínimo. Caso contrário, se por qualquer motivo a negociação falhar, qualquer comunicação afectada pela regra na qual esta acção de filtro seja baseada poderá resultar no envio de dados sem segurança. Se estiver preocupado com comunicação não segura, poderá considerar a desactivação destas definições. Contudo, a comunicação com computadores que não possam iniciar o IPsec, tais como sistemas legados, poderá ser bloqueada. Este opção deverá ser desactivada para computadores seguros ligados à Internet, de modo a evitar ataques denial-of-service.

  • Geração de chaves de sessão de modo rápido a partir de material de codificação novo (Utilizar chave de sessão de Perfect Forward Secrecy (PFS)). A activação da chave de sessão de PFS garante que o material de codificação mestre de modo principal não pode ser utilizado para criar mais de uma chave de sessão de modo rápido. Quando o PFS de modo rápido está activado, é efectuada uma nova troca de chaves Diffie-Hellman para gerar novo material de codificação mestre de modo principal antes de ser criada a nova chave de modo rápido. A chave de sessão (modo rápido) de PFS não necessita de uma nova autenticação e utiliza menos recursos do que a chave mestre (modo principal) de PFS.

Métodos de segurança IPsec

Cada método de segurança define os requisitos de segurança de quaisquer comunicações às quais a regra associada se aplique. A criação de vários métodos de segurança aumenta a hipótese de encontrar um método comum entre os dois computadores. O componente Troca de Chaves da Internet (IKE) lê a lista de métodos de segurança por ordem descendente e envia uma lista de métodos de segurança permitidos ao outro elemento. O primeiro método em comum será seleccionado. Normalmente, os métodos mais seguros são colocados na parte superior da lista e os métodos menos seguros são colocados na parte inferior da lista.

Métodos de segurança predefinidos

Estão predefinidos os seguintes métodos de segurança:

Encriptação e Integridade

Utiliza o protocolo ESP para fornecer confidencialidade de dados (encriptação) com o algoritmo 3DES (triple Data Encryption Standard), integridade de dados e autenticação com o algoritmo de integridade SHA1 (Secure Hash Algorithm 1), bem como durações de chaves predefinidas (100 megabytes (MB), 1 hora). Se necessitar de protecção de dados e de endereçamento (cabeçalho IP), pode criar um método de segurança personalizado. Se não necessitar de encriptação, utilize Integridade apenas.

Integridade apenas

Utiliza o protocolo ESP para fornecer integridade de dados e autenticação com o algoritmo de integridade SHA1 e durações de chaves predefinidas (100MB, 1 hora). Nesta configuração, o ESP não fornece confidencialidade de dados (encriptação).

Métodos de segurança personalizados

Se as predefinições Encriptação e Integridade ou Integridade apenas não corresponderem aos seus requisitos de segurança, poderá especificar métodos de segurança personalizados. Por exemplo, pode utilizar métodos personalizados quando tiver de especificar a encriptação e a integridade de endereços, algoritmos mais fortes ou durações de chave. Ao configurar um método de segurança personalizado, pode configurar o seguinte:

Protocolos de segurança

Pode activar AH (Integridade de dados e endereços sem encriptação) e ESP (Integridade de dados e encriptação) num método de segurança personalizado quando necessitar da integridade de cabeçalhos IP e da encriptação de dados. Se optar por activar ambos, não precisa de especificar um algoritmo de integridade para ESP.

Nota

Não é possível utilizar o protocolo AH em dispositivos de conversão de endereços de rede (NAT) porque este protocolo utiliza um hash do cabeçalho. Os dispositivos NAT alteram o cabeçalho, pelo que o pacote não será correctamente autenticado.

Algoritmo de integridade

MD5 (Message Digest 5), que utiliza uma chave de 128 bits. Este algoritmo já não é considerado seguro e só deve ser utilizado quando tal for requerido para efeitos de interoperacionalidade.

SHA1, que utiliza uma chave de 160 bits. O SHA1 é um hash mais forte do que MD5 e está em conformidade com o FIPS (Federal Information Processing Standard).

Algoritmo de encriptação

O 3DES é a mais segura das combinações DES e um pouco mais lenta na execução. O 3DES processa três vezes cada bloco, utilizando três chaves exclusivas de 56 bits.

O DES utiliza uma chave de 56 bits e é utilizado quando não é requerida a segurança e o overhead mais elevados do 3DES. Este algoritmo já não é considerado seguro e só deve ser utilizado quando tal for requerido para efeitos de interoperacionalidade.

As definições de chave de sessão (modo rápido) determinam quando, e não como, é gerada uma nova chave. Pode especificar uma duração em kilobytes (KB), em segundos ou em ambos. Por exemplo, se a comunicação demorar 10.000 segundos e especificar uma duração de chave de 1000 segundos, serão geradas 10 chaves para concluir a transferência. Isto garante que, mesmo que um intruso consiga determinar uma chave de sessão e decifrar parte da comunicação, não conseguirá decifrar a totalidade da comunicação. Por predefinição, são geradas novas chaves de modo rápido para cada 100 MB de dados ou de hora a hora. Sempre que for atingida uma duração de chave, a SA também será renegociada, para além da actualização ou da regeneração da chave.

Para criar uma acção de filtro utilizando a caixa de diálogo Propriedades de Nova Regra
  1. No separador Regras da caixa de diálogo Propriedades de Política de Segurança IP, desmarque a caixa de verificação Utilizar Assistente se pretende criar a acção de filtro na caixa de diálogo de propriedades. Se pretende utilizar o assistente, deixe a caixa de verificação seleccionada. Clique em Adicionar. As instruções seguintes dizem respeito à criação de uma lista de filtros utilizando a caixa de diálogo.

  2. No separador Acção de Filtro da caixa de diálogo Propriedades de Regra, desmarque a caixa de verificação Utilizar Assistente e clique em Adicionar.

  3. No separador Métodos de Segurança, seleccione o método (acção) que a regra irá utilizar.

  4. (Opcional) No separador Descrição, escreva uma descrição da acção de filtro. Esta descrição pode ajudá-lo a ordenar as acções de filtro e permite-lhe identificar rapidamente a acção de filtro sem ter de abrir as respectivas propriedades.

  5. Clique em OK.

  6. Repita os passos 4 a 8 para adicionar acções de filtro suplementares à lista.

    Nota

    Apesar da regra poder listar várias acções de filtro, só pode utilizar uma acção de filtro por regra.

  7. No separador Acção de Filtro, seleccione a acção de filtro adequada para a regra e clique em OK.

Para criar uma acção de filtro utilizando a caixa de diálogo Gerir listas de filtros IP e acções de filtros
  1. Clique com o botão direito do rato no nó Política de Segurança IP e seleccione Gerir listas de filtros IP e acções de filtros.

  2. No separador Gerir Acções de Filtros, desmarque a caixa de verificação Utilizar Assistente se pretender criar a acção de filtro utilizando a caixa de diálogo de propriedades. Se pretende utilizar o assistente, deixe a caixa de verificação seleccionada. Clique em Adicionar. As instruções seguintes dizem respeito à criação de uma lista de filtros utilizando a caixa de diálogo. As instruções seguintes não utilizam o assistente.

  3. No separador Métodos de Segurança, seleccione o método e clique em OK.

  4. Se tiver seleccionado a opção Negociar segurança, pode adicionar vários métodos e especificar a ordem pela qual estes serão tentados. Para o fazer, clique em Adicionar.

  5. (Opcional) No separador Descrição, escreva uma descrição do filtro. Esta descrição pode ajudá-lo a ordenar os filtros e permite-lhe identificar rapidamente o filtro sem ter de abrir as respectivas propriedades.

  6. Clique em OK.

  7. Repita os passos 4 a 8 para adicionar acções de filtro à lista.

Consulte Também