Configuração 3: usando IPsec entre dois hosts de link local
Essa configuração cria uma SA (Associação de Segurança IPsec) entre dois hosts na mesma sub-rede para executar a autenticação usando o cabeçalho de autenticação (AH) e o algoritmo de hash MD5 (Message Digest 5). Neste exemplo, a configuração mostrada protege todo o tráfego entre dois hosts vizinhos: Host 1, com o endereço local do link FE80::2AA:FF:FE53:A92C e Host 2, com o endereço local do link FE80::2AA:FF:FE92:D0F1.
Para usar o IPsec entre dois hosts de link local
No Host 1, crie arquivos SAD (associação de segurança em branco) e SPD (política de segurança) usando o comando ipsec6 c. Neste exemplo, o comando Ipsec6.exe é ipsec6 c test. Isso cria dois arquivos para configurar manualmente as associações de segurança (Test.sad) e as políticas de segurança (Test.spd).
No Host 1, edite o arquivo SPD para adicionar uma política de segurança que proteja todo o tráfego entre o Host 1 e o Host 2.
A tabela a seguir mostra a política de segurança adicionada ao arquivo Test.spd antes da primeira entrada para este exemplo (a primeira entrada no arquivo Test.spd não foi modificada).
Nome do campo de arquivo SPD Valor de exemplo Política 2 RemoteIPAddr FE80::2AA:FF:FE92:D0F1 LocalIPAddr * RemotePort * Protocolo * LocalPort * IPSecProtocol AH IPSecMode TRANSPORTE RemoteGWIPAddr * SABundleIndex NONE Direção BIDIRETÓRIO Ação APLICAR Interfaceindex 0 Coloque um ponto e vírgula no final da linha que configura essa política de segurança. As entradas de política devem ser colocadas em ordem numérica decrescente.
No Host 1, edite o arquivo SAD, adicionando entradas SA para proteger todo o tráfego entre o Host 1 e o Host 2. Duas associações de segurança devem ser criadas, uma para o tráfego para o Host 2 e outra para o tráfego do Host 2.
A tabela a seguir mostra a primeira entrada SA adicionada ao arquivo Test.sad para este exemplo (para tráfego para o Host 2).
Nome do campo de arquivo SAD Valor de exemplo SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr POLÍTICA SrcIPAddr POLÍTICA Protocolo POLÍTICA DestPort POLÍTICA SrcPort POLÍTICA AuthAlg HMAC-MD5 KeyFile Test.key Direção SAÍDA SecPolicyIndex 2 Coloque um ponto e vírgula no final da linha configurando essa SA.
A tabela a seguir mostra a segunda entrada SA adicionada ao arquivo Test.sad para este exemplo (para tráfego do Host 2).
Nome do campo de arquivo SAD Valor de exemplo SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr POLÍTICA SrcIPAddr POLÍTICA Protocolo POLÍTICA DestPort POLÍTICA SrcPort POLÍTICA AuthAlg HMAC-MD5 KeyFile Test.key Direção ENTRADA SecPolicyIndex 2 Coloque um ponto e vírgula no final da linha configurando essa SA. As entradas SA devem ser colocadas em ordem numérica decrescente.
No Host 1, crie um arquivo de texto que contenha uma cadeia de caracteres de texto usada para autenticar os SAs criados com o Host 2. Neste exemplo, o arquivo Test.key é criado com o conteúdo "Este é um teste". Você deve incluir aspas duplas ao redor da cadeia de caracteres de chave para que a chave seja lida pela ferramenta ipsec6.
A Visualização de Tecnologia IPv6 da Microsoft dá suporte apenas a chaves configuradas manualmente para a autenticação de SAs IPsec. As chaves manuais são configuradas criando arquivos de texto que contêm a cadeia de texto da chave manual. Neste exemplo, a mesma chave para os SAs é usada em ambas as direções. Você pode usar chaves diferentes para SAs de entrada e saída criando arquivos de chave diferentes e referenciando-os com o campo KeyFile no arquivo SAD.
No Host 2, crie arquivos SAD (associação de segurança) e SPD (política de segurança) em branco usando o comando ipsec6 c. Neste exemplo, o comando Ipsec6.exe é ipsec6 c test. Isso cria dois arquivos com entradas em branco para configurar manualmente as associações de segurança (Test.sad) e as políticas de segurança (Test.spd).
Para simplificar o exemplo, os mesmos nomes de arquivo para os arquivos SAD e SPD são usados no Host 2. Você pode optar por usar nomes de arquivo diferentes em cada host.
No Host 2, edite o arquivo SPD para adicionar uma política de segurança que proteja todo o tráfego entre o Host 2 e o Host 1.
A tabela a seguir mostra a entrada de política de segurança adicionada antes da primeira entrada ao arquivo Test.spd para este exemplo (a primeira entrada no arquivo Test.spd não foi modificada).
Nome do campo de arquivo SPD Valor de exemplo Política 2 RemoteIPAddr FE80::2AA:FF:FE53:A92C LocalIPAddr * RemotePort * Protocolo * LocalPort * IPSecProtocol AH IPSecMode TRANSPORTE RemoteGWIPAddr * SABundleIndex NONE Direção BIDIRECT Ação APLICAR Interfaceindex 0 Coloque um ponto e vírgula no final da linha que configura essa política de segurança. As entradas de política devem ser colocadas em ordem numérica decrescente.
No Host 2, edite o arquivo SAD, adicionando entradas SA para proteger todo o tráfego entre o Host 2 e o Host 1. Duas associações de segurança devem ser criadas uma para tráfego para o Host 1 e outra para tráfego do Host 1.
A tabela a seguir mostra a primeira SA adicionada ao arquivo Test.sad para este exemplo (para tráfego do Host 1).
Nome do campo de arquivo SAD Valor de exemplo SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr POLÍTICA SrcIPAddr POLÍTICA Protocolo POLÍTICA DestPort POLÍTICA SrcPort POLÍTICA AuthAlg HMAC-MD5 KeyFile Test.key Direção ENTRADA SecPolicyIndex 2 Coloque um ponto e vírgula no final da linha que configura essa SA.
A tabela a seguir mostra a segunda entrada SA adicionada ao arquivo Test.sad para este exemplo (para tráfego para o Host 1).
Nome do campo de arquivo SAD Valor de exemplo SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr POLÍTICA SrcIPAddr POLÍTICA Protocolo POLÍTICA DestPort POLÍTICA SrcPort POLÍTICA AuthAlg HMAC-MD5 KeyFile Test.key Direção SAÍDA SecPolicyIndex 2 Coloque um ponto e vírgula no final da linha que configura essa SA. As entradas SA devem ser colocadas em ordem numérica decrescente.
No Host 2, crie um arquivo de texto que contenha uma cadeia de caracteres de texto usada para autenticar os SAs criados com o Host 1. Neste exemplo, o arquivo Test.key é criado com o conteúdo "Isso é um teste". Você deve incluir aspas duplas ao redor da cadeia de caracteres de chave para que a chave seja lida pela ferramenta ipsec6.
No Host 1, adicione as políticas de segurança configuradas e os SAs dos arquivos SPD e SAD usando o comando ipsec6 a. Neste exemplo, o comando ipsec6 a test é executado no Host 1.
No Host 2, adicione as políticas de segurança configuradas e os SAs dos arquivos SPD e SAD usando o comando ipsec6 a. Neste exemplo, o comando ipsec6 a test é executado no Host 2.
Ping Host 1 do Host 2 com o comando ping6.
Se você capturar o tráfego usando o Monitor de Rede da Microsoft ou outro farejador de pacotes, deverá ver a troca de mensagens de Solicitação de Eco ICMPv6 e Resposta de Eco com um Cabeçalho de Autenticação entre o cabeçalho IPv6 e o cabeçalho ICMPv6.
Tópicos relacionados