Configurar o modo de transporte IPsec para emparelhamento privado do ExpressRoute

Este artigo ajuda você a criar túneis de IPsec no modo de transporte por emparelhamento privado do ExpressRoute. O túnel é criado entre as VMs do Azure que executam o Windows e os hosts Windows locais. As etapas neste artigo para essa configuração usam objetos de política de grupo. Embora seja possível criar essa configuração sem usar UOs (unidades organizacionais) e GPOs (objetos de política de grupo). A comibação de UOs e GPOs ajuda a simplificar o controle das políticas de segurança e permite que você escale verticalmente com rapidez. As etapas neste artigo pressupõem que você já tem uma configuração do Active Directory e está familiarizado com o uso de UOs e GPOs.

Sobre esta configuração

A configuração nas etapas a seguir usa uma única VNet (rede virtual) do Azure com o emparelhamento privado do ExpressRoute. No entanto, essa configuração pode abranger outras redes virtuais do Azure e redes locais. Este artigo ajuda você a definir uma política de criptografia de IPsec que você pode aplicar a um grupo de VMs do Azure ou a hosts locais. Essas VMs do Azure ou hosts locais fazem parte da mesma UO. Você configura a criptografia entre as VMs do Azure (vm1 e vm2) e o host1 local somente para tráfego HTTP com a porta de destino 8080. Diferentes tipos de política de IPsec podem ser criados com base nos seus requisitos.

Como trabalhar com UOs

A política de segurança associada a uma UO é enviada aos computadores por meio do GPO. Algumas vantagens de usar UOs, em vez de aplicar políticas a um único host, são:

• Associar uma política a uma UO garante que os computadores que pertencem à mesma UO obtenham as mesmas políticas.
• Alterar a política de segurança associada à UO aplica as alterações a todos os hosts na UO.

Diagramas

O diagrama a seguir mostra a interconexão e o espaço de endereços IP atribuído. As VMs do Azure e o host local estão em execução no Windows 2016. As VMs do Azure e o host1 local fazem parte do mesmo domínio. As VMs do Azure e os hosts locais podem resolver nomes corretamente usando DNS.

Este diagrama mostra os túneis de IPsec em trânsito no emparelhamento privado do ExpressRoute.

Trabalhar com a política de IPsec

No Windows, a criptografia é associada à política de IPsec. A política IPsec determina qual tráfego IP é protegido e o mecanismo de segurança aplicado aos pacotes IP. Políticas de IPsec são compostas pelos seguintes itens: Listas de Filtros, Ações de Filtro e Regras de Segurança.

Ao configurar a política de IPsec, é importante compreender a terminologia de política de IPsec a seguir:

• Política IPsec: uma coleção de regras. Apenas uma política pode estar ativa ("atribuída") em um determinado momento. Cada política pode ter uma ou mais regras, podendo estar todas elas ativas simultaneamente. É possível atribuir apenas uma política de IPsec a um computador por vez. No entanto, na política de IPsec, você pode definir várias ações que podem ser executadas em situações diferentes. Cada conjunto de regras de IPsec está associado a uma lista de filtros que afeta o tipo de tráfego de rede ao qual a regra se aplica.

• Listas de filtros: são listas de filtros de pacote de um ou mais filtros. Uma lista pode conter vários filtros. Um filtro define se a comunicação é bloqueada, permitida ou protegida com base nos seguintes critérios: intervalos de endereços IP, protocolos ou até mesmo portas específicas. Cada filtro corresponde a um determinado conjunto de condições. Por exemplo, os pacotes enviados de uma sub-rede específica a um computador específico em uma porta de destino específica. Quando as condições de rede correspondem a um ou mais desses filtros, a lista de filtros é ativada. Cada filtro é definido dentro de uma lista de filtros específica. Filtros não podem ser compartilhados entre as listas de filtro. No entanto, uma lista de filtro fornecidos pode ser incorporada em várias políticas de IPsec.

• Ações de filtro: um método de segurança define um conjunto de algoritmos de segurança, protocolos e chaves que um computador oferece durante as negociações de IKE. Ações de filtro são listas de métodos de segurança, classificados em ordem de preferência. Quando um computador negocia uma sessão IPsec, ela aceita ou envia propostas com base na configuração de segurança armazenada na lista de ações de filtro.

• Regras de segurança: regras que controlam como e quando uma política de IPsec protege a comunicação. Usa lista de filtros e ações de filtro para criar uma regra de IPsec para criar a conexão IPsec. Cada política pode ter uma ou mais regras, podendo estar todas elas ativas simultaneamente. Cada regra contém uma lista de filtros IP e uma coleção de ações de segurança que ocorrem mediante a correspondência com essa lista de filtros:

  • Ações de Filtro IP
  • Métodos de autenticação
  • Configurações de túnel IP
  • Tipos de conexão

Antes de começar

Verifique se os seguintes pré-requisitos foram atendidos:

• Você deve ter uma configuração funcional do Active Directory que pode usar para implementar as configurações de Política de Grupo. Para obter mais informações sobre GPOs, confira Objetos de Política de Grupo.

• Você deve ter um circuito do ExpressRoute ativo.

  • Para obter mais informações sobre como criar um circuito do ExpressRoute, confira Criar um circuito do ExpressRoute.
  • Verifique se o circuito é habilitado pelo provedor de conectividade.
  • Verifique se o emparelhamento privado do Azure está configurado para seu circuito. Veja o artigo Configurar roteamento para obter instruções sobre roteamento.
  • Verifique se você tem uma VNet e um gateway de rede virtual criados e totalmente provisionados. Siga as instruções para criar um gateway de rede virtual para ExpressRoute. Um gateway de rede virtual para ExpressRoute usa o GatewayType ExpressRoute, não VPN.

• O gateway de rede virtual ExpressRoute deve estar conectado ao circuito do ExpressRoute. Para obter mais informações, confira Conectar uma VNet a um circuito do ExpressRoute.

• Verifique se as VMs do Windows do Azure são implantadas para a rede virtual.

• Verifique se há conectividade entre os hosts locais e as VMs do Azure.

• Verifique se as VMs do Windows do Azure e os hosts locais podem usar o DNS para resolver nomes corretamente.

Fluxo de trabalho

1. Crie um GPO e associe-o à UO.
2. Defina uma Ação de Filtro do IPsec.
3. Definir uma Lista de Filtros do IPsec.
4. Criar uma Política de IPsec com Regras de Segurança.
5. Atribua o GPO de IPsec à UO.

Valores de exemplo

• Nome de Domínio: ipsectest.com

• UO: IPSecOU

• Computador do Windows local: host1

• VMs do Windows do Azure: vm1, vm2

1. Criar um GPO

1. Crie um novo GPO vinculado a uma UO abrindo o snap-in de Gerenciamento de Política de Grupo. Em seguida, localize a UO à qual o GPO é vinculado. No exemplo, a UO é denominada IPSecOU.

   

2. No snap-in Gerenciamento de Política de Grupo, selecione a UO e clique com o botão direito do mouse. No menu suspenso, selecione "Criar uma GPO neste domínio e vinculá-la aqui… ".

   

3. Dê ao GPO um nome intuitivo para que você possa localizá-lo facilmente mais tarde. Selecione OK para criar e vincular o GPO.

   

2. Habilitar o link de GPO

Para aplicar o GPO à UO, o GPO deve não apenas ser vinculado a UO, mas o link deve ser habilitado também.

1. Localize o GPO que você criou, clique com o botão direito do mouse e selecione Editar na lista suspensa.

2. Para aplicar o GPO à UO, selecione Link Habilitado.

   

3. Definir a ação de filtro IP

1. Na lista suspensa, clique com o botão direito do mouse em Política de Segurança de IP no Active Directory e, em seguida, selecione Gerenciar listas de filtro IP e ações de filtro... .

   

2. Na guia "Gerenciar Ações de filtro", selecione Adicionar.

   

3. No Assistente de Ação de Filtro de Segurança de IP, selecione Avançar.

   

4. Dê à ação de filtro um nome intuitivo para que você possa encontrá-lo posteriormente. Neste exemplo, a ação de filtro é denominada myEncryption. Também é possível adicionar uma descrição. Em seguida, selecione Avançar.

   

5. Negociar segurança permite que você defina o comportamento caso o IPsec não possa ser estabelecido com outro computador. Selecione Negociar segurança e, em seguida, selecione Avançar.

   

6. Na página Comunicação com computadores que não dão suporte a IPsec, selecione Não permitir comunicação não segura e, em seguida, selecione Avançar.

   

7. Na página Tráfego e Segurança de IP, selecione Personalizado e selecione Configurações... .

   

8. Na página Configurações de Método de Segurança Personalizado, selecione Integridade de dados e criptografia (ESP): SHA1, 3DES. Depois, selecione OK.

   

9. Na página Gerenciar Ações de Filtro, você pode ver que o filtro myEncryption foi adicionado com êxito. Selecione Fechar.

   

4. Definir uma lista de filtros IP

Crie uma lista de filtros que especifica o tráfego HTTP criptografado com a porta de destino 8080.

1. Para qualificar os tipos de tráfego que devem ser criptografados, use uma lista de filtros IP. Na guia Gerenciar Listas de Filtros IP, selecione Adicionar para adicionar uma nova lista de filtros IP.

   

2. No campo Nome:, digite um nome para sua lista de filtros IP. Por exemplo, azure-onpremises-HTTP8080. Em seguida, selecione Adicionar.

   

3. Na página Descrição do filtro IP e propriedade espelhada, selecione Espelhado. A configuração espelhada corresponde a pacotes que vão em ambos os sentidos, o que permite comunicação bidirecional. Em seguida, selecione Avançar.

   

4. Na página Origem do Tráfego IP, na lista suspensa Endereço de origem:, escolha Uma Sub-rede ou Endereço IP Específico.

   

5. Especifique Sub-rede ou Endereço IP: do endereço de origem do tráfego IP e selecione Avançar.

   

6. Especifique a Sub-rede ou o Endereço IP do Endereço de destino:. Em seguida, selecione Avançar.

   

7. Na página Tipo de Protocolo IP, selecione TCP. Em seguida, selecione Avançar.

   

8. Na página Porta do Protocolo IP, selecione De qualquer porta e Para esta porta:. Digite 8080 na caixa de texto. Essas configurações especificam que apenas o tráfego HTTP na porta 8080 do destino será criptografado. Em seguida, selecione Avançar.

   

9. Exibir a lista de filtro IP. A configuração da Lista de Filtro IP azure-onpremises-HTTP8080 dispara a criptografia para todo o tráfego que corresponde aos critérios a seguir:

   • Qualquer endereço de origem em 10.0.1.0/24 (Sub-rede 2 do Azure)
   • Qualquer endereço de destino em 10.2.27.0/25 (sub-rede local)
   • Protocolo TCP
   • Porta de destino 8080

   

5. Editar a lista de filtros IP

Para criptografar o mesmo tipo de tráfego do host local para a VM do Azure, é necessário um segundo filtro IP. Siga as mesmas etapas que você usou para configurar o primeiro filtro IP e criar um novo filtro IP. As únicas diferenças são as sub-redes de origem e de destino.

1. Para adicionar um novo filtro IP à lista de filtros IP, selecione Editar.

   

2. Na página Lista de Filtros IP, selecione Adicionar.

   

3. Crie um segundo filtro IP usando as configurações no exemplo a seguir:

   

4. Depois de criar o segundo filtro IP, a lista de filtros IP terá esta aparência:

   

Se for necessária criptografia entre o local e uma sub-rede do Azure para proteger um aplicativo. Em vez de modificar a lista de filtro IP, você pode adicionar uma nova lista de filtro IP. A associação de duas ou mais listas de filtros IP à mesma política de IPsec pode proporcionar mais flexibilidade. Você pode modificar ou remover uma lista de filtros IP sem afetar as outras listas de filtros IP.

6. Criar uma política de segurança de IPsec

Criar uma Política de IPsec com regras de segurança.

1. Selecione Políticas de IPSecurity no Active Directory associado à UO. Clique com o botão direito do mouse e selecione Criar Política de Segurança de IP.

   

2. Dê um nome à política de segurança. Por exemplo, policy-azure-onpremises. Em seguida, selecione Avançar.

   

3. Selecione Avançar sem marcar a caixa de seleção.

   

4. Verifique se a caixa de seleção Editar propriedades está selecionada e, em seguida, selecione Concluir.

   

7. Editar a política de segurança de IPsec

Adicione à política de IPsec a Lista de Filtros IP e a Ação de Filtro que você configurou anteriormente.

1. Na guia Regras de Propriedades da política HTTP, selecione Adicionar.

   

2. Sobre o boas-vindas página, selecione próxima.

   

3. Uma regra fornece a opção de definir o modo de IPsec: modo de túnel ou modo de transporte.

   • No modo de túnel, o pacote original é encapsulado com um conjunto de cabeçalhos de IP. O modo de túnel protege as informações de roteamento internas ao criptografar o cabeçalho IP do pacote original. O modo de túnel é implementado amplamente entre os gateways em cenários de VPN site a site. O modo de túnel é, na maioria dos casos, usado para criptografia de ponta a ponta entre hosts.

   • O modo de transporte criptografa apenas o payload e o trailer ESP; o cabeçalho IP do pacote original não é criptografado. No modo de transporte, o IP de origem e o IP de destino dos pacotes são inalterados.

   Selecione Esta regra não especifica um túnel e, em seguida, selecione Avançar.

   

4. Tipo de Rede define qual conexão de rede se associa à política de segurança. Selecione Todas as conexões de rede e, em seguida, selecione Avançar.

   

5. Selecione a lista de filtros IP que você criou anteriormente, azure-onpremises-HTTP8080 e, em seguida, selecione Avançar.

   

6. Selecione a Ação de Filtro myEncryption existente que você criou anteriormente.

   

7. O Windows dá suporte a quatro tipos distintos de autenticações: Kerberos, certificados, NTLMv2 e chave pré-compartilhada. Como estamos trabalhando com hosts adicionados a domínio, selecione Padrão do Active Directory (protocolo Kerberos V5) e, em seguida, selecione Avançar.

   

8. A nova política cria a regra de segurança: azure-onpremises-HTTP8080. Selecione OK.

   

A política IPsec requer que todas as conexões de HTTP na porta 8080 usem o modo de transporte IPsec de destino. Como HTTP é um protocolo de texto não criptografado, ter a política de segurança habilitada garante que os dados sejam criptografados quando forem transferidos por meio de emparelhamento privado do ExpressRoute. A política IPsec para Active Directory é mais complexa de configurar do que o Firewall do Windows com Segurança Avançada. No entanto, ele permite mais personalização da conexão de IPsec.

8. Atribuir o GPO de IPsec à UO

1. Exiba a política. A política de grupo de segurança está definida, mas ainda não foi atribuída.

   

2. Para atribuir a política de grupo de segurança à UO IPSecOU, clique com o botão direito do mouse na política de segurança e escolha Atribuir. Cada computador que pertence à UO tem a política de grupo de segurança atribuída.

   

Verificar a criptografia de tráfego

Para conferir a GPO de criptografia aplicada à UO, instale o IIS em todas as VMs do Azure e no host1. Todo IIS é personalizado para responder às solicitações HTTP na porta 8080. Para verificar a criptografia, você pode instalar um rastreador de rede (como Wireshark) em todos os computadores na UO. Um script do PowerShell funciona como um cliente HTTP para gerar solicitações HTTP na porta 8080:

$url = "http://10.0.1.20:8080"
while ($true) {
try {
[net.httpWebRequest]
$req = [net.webRequest]::create($url)
$req.method = "GET"
$req.ContentType = "application/x-www-form-urlencoded"
$req.TimeOut = 60000

$start = get-date
[net.httpWebResponse] $res = $req.getResponse()
$timetaken = ((get-date) - $start).TotalMilliseconds

Write-Output $res.Content
Write-Output ("{0} {1} {2}" -f (get-date), $res.StatusCode.value__, $timetaken)
$req = $null
$res.Close()
$res = $null
} catch [Exception] {
Write-Output ("{0} {1}" -f (get-date), $_.ToString())
}
$req = $null

# uncomment the line below and change the wait time to add a pause between requests
#Start-Sleep -Seconds 1
}

A captura de rede a seguir mostra que os resultados para host1 local com o filtro de exibição ESP correspondem apenas ao tráfego criptografado:

Se você executar o script PowerShell localmente (cliente HTTP), a captura de rede na VM do Azure mostrará um rastreamento semelhante.

Próximas etapas

Para obter mais informações sobre o ExpressRoute, consulte Perguntas Frequentes sobre ExpressRoute.