Configurar o modo de transporte IPsec para peering privado do ExpressRoute
Este artigo ajuda-o a criar túneis IPsec no modo de transporte através do peering privado do ExpressRoute. O túnel é criado entre VMs do Azure com o Windows e anfitriões windows no local. Os passos neste artigo para esta configuração utilizam objetos de política de grupo. Embora seja possível criar esta configuração sem utilizar unidades organizacionais (UOs) e objetos de política de grupo (GPOs). A combinação de UOs e GPOs ajuda a simplificar o controlo das suas políticas de segurança e permite-lhe aumentar verticalmente rapidamente. Os passos neste artigo partem do princípio de que já tem uma configuração do Active Directory e que está familiarizado com a utilização de UOs e GPOs.
Sobre esta configuração
A configuração nos seguintes passos utiliza uma única rede virtual (VNet) do Azure com peering privado do ExpressRoute. No entanto, esta configuração pode abranger outras VNets do Azure e redes no local. Este artigo ajuda-o a definir uma política de encriptação IPsec que pode aplicar a um grupo de VMs do Azure ou anfitriões no local. Estas VMs do Azure ou anfitriões no local fazem parte da mesma UO. Configura a encriptação entre as VMs do Azure (vm1 e vm2) e o anfitrião no local1 apenas para tráfego HTTP com a porta de destino 8080. Podem ser criados diferentes tipos de política IPsec com base nos seus requisitos.
Trabalhar com UOs
A política de segurança associada a uma UO é enviada para os computadores através de GPO. Algumas vantagens em utilizar UOs, em vez de aplicar políticas a um único anfitrião, são:
- Associar uma política a uma UO garante que os computadores que pertencem à mesma UO obtêm as mesmas políticas.
- Alterar a política de segurança associada à UO aplica as alterações a todos os anfitriões na UO.
Diagramas
O diagrama seguinte mostra a interligação e o espaço de endereços IP atribuído. As VMs do Azure e o anfitrião no local estão a executar o Windows 2016. As VMs do Azure e o anfitrião no local1 fazem parte do mesmo domínio. As VMs do Azure e os anfitriões no local podem resolver os nomes corretamente com o DNS.
de transporte IPsec de diagrama de rede do ExpressRoute
Este diagrama mostra os túneis IPsec em trânsito no peering privado do ExpressRoute.
Trabalhar com a política IPsec
No Windows, a encriptação está associada à política IPsec. A política IPsec determina que tráfego IP está protegido e o mecanismo de segurança aplicado aos pacotes IP. As políticas IPSec são compostas pelos seguintes itens: Listas de Filtros, Ações de Filtro e Regras de Segurança.
Ao configurar a política IPsec, é importante compreender a seguinte terminologia de política IPsec:
Política IPsec: Uma coleção de regras. Apenas uma política pode estar ativa ("atribuída") em qualquer altura específica. Cada política pode ter uma ou mais regras, todas as quais podem estar ativas em simultâneo. Um computador só pode ser atribuído a uma política IPsec ativa em determinado momento. No entanto, na política IPsec, pode definir várias ações que podem ser realizadas em situações diferentes. Cada conjunto de regras IPsec está associado a uma lista de filtros que afeta o tipo de tráfego de rede a que a regra se aplica.
Listas de filtros: As listas de filtros são um grupo de um ou mais filtros. Uma lista pode conter vários filtros. Um filtro define se a comunicação é bloqueada, permitida ou protegida com base nos seguintes critérios: intervalos de endereços IP, protocolos ou até mesmo portas específicas. Cada filtro corresponde a um determinado conjunto de condições; por exemplo, pacotes enviados de uma sub-rede específica para um computador específico numa porta de destino específica. Quando as condições de rede correspondem a um ou mais desses filtros, a lista de filtros é ativada. Cada filtro é definido dentro de uma lista de filtros específica. Os filtros não podem ser partilhados entre listas de filtros. No entanto, uma determinada lista de filtros pode ser incorporada em várias políticas IPsec.
Ações de filtro: Um método de segurança define um conjunto de algoritmos de segurança, protocolos e chave que um computador oferece durante as negociações do IKE. As ações de filtro são listas de métodos de segurança, classificados por ordem de preferência. Quando um computador negoceia uma sessão IPsec, aceita ou envia propostas com base na definição de segurança armazenada na lista de ações de filtro.
Regras de segurança: As regras regem como e quando uma política IPsec protege a comunicação. Utiliza ações de filtragem e lista de filtros para criar uma regra IPsec para criar a ligação IPsec. Cada política pode ter uma ou mais regras, todas as quais podem estar ativas em simultâneo. Cada regra contém uma lista de filtros IP e uma coleção de ações de segurança que ocorrem numa correspondência com essa lista de filtros:
- Ações de Filtro de IP
- Métodos de autenticação
- Definições do túnel IP
- Tipos de ligação
Antes de começar
Certifique-se de que cumpre os seguintes pré-requisitos:
Tem de ter uma configuração funcional do Active Directory que pode utilizar para implementar Política de Grupo definições. Para obter mais informações sobre GPOs, veja Objetos Política de Grupo.
Deve ter um circuito ExpressRoute ativo.
- Para obter informações sobre como criar um circuito do ExpressRoute, veja Criar um circuito do ExpressRoute.
- Verifique se o circuito é ativado pelo seu fornecedor de conectividade.
- Verifique se tem o peering privado do Azure configurado para o circuito. Veja o artigo configurar o encaminhamento para obter instruções de encaminhamento.
- Verifique se tem uma VNet e um gateway de rede virtual criados e totalmente aprovisionados. Siga as instruções para criar um gateway de rede virtual para o ExpressRoute. Um gateway de rede virtual do ExpressRoute utiliza o GatewayType ExpressRoute e não a VPN.
O gateway de rede virtual do ExpressRoute tem de estar ligado ao circuito do ExpressRoute. Para obter mais informações, veja Ligar uma VNet a um circuito do ExpressRoute.
Verifique se as VMs do Windows do Azure estão implementadas na VNet.
Verifique se existe conectividade entre os anfitriões no local e as VMs do Azure.
Verifique se as VMs do Windows do Azure e os anfitriões no local podem utilizar o DNS para resolver corretamente os nomes.
Fluxo de trabalho
- Crie um GPO e associe-o à UO.
- Defina uma Ação de Filtro IPsec.
- Defina uma Lista de Filtros IPsec.
- Crie uma Política IPsec com Regras de Segurança.
- Atribua o GPO IPsec à UO.
Valores de exemplo
Nome de Domínio: ipsectest.com
UO: IPSecOU
Computador Windows no local: anfitrião1
VMs do Windows do Azure: vm1, vm2
1. Criar um GPO
Crie um novo GPO ligado a uma UO ao abrir o snap-in gestão do Política de Grupo. Em seguida, localize a UO à qual o GPO é ligado. No exemplo, a UO tem o nome IPSecOU.
No snap-in gestão do Política de Grupo, selecione a UO e clique com o botão direito do rato. Na lista pendente, selecione "Criar um GPO neste domínio e Ligue-o aqui...".
Atribua um nome intuitivo ao GPO para que possa localizá-lo facilmente mais tarde. Selecione OK para criar e ligar o GPO.
2. Ativar a ligação GPO
Para aplicar o GPO à UO, o GPO não só pode ser ligado à UO, como a ligação também tem de estar ativada.
Localize o GPO que criou, clique com o botão direito do rato e selecione Editar na lista pendente.
Para aplicar o GPO à UO, selecione Ligação Ativada.
3. Definir a ação de filtro IP
No menu pendente, clique com o botão direito do rato em Política de Segurança ip no Active Directory e, em seguida, selecione Gerir listas de filtros IP e filtrar ações....
No separador "Gerir ações de filtro", selecione Adicionar.
No assistente Ação do Filtro de Segurança do IP, selecione Seguinte.
Atribua um nome intuitivo à ação de filtro para que possa encontrá-la mais tarde. Neste exemplo, a ação de filtro tem o nome myEncryption. Também pode adicionar uma descrição. Em seguida, selecione Seguinte.
A segurança de negociação permite-lhe definir o comportamento se o IPsec não puder ser estabelecido com outro computador. Selecione Negociar segurança e, em seguida, selecione Seguinte.
Na página Comunicar com computadores que não suportam IPsec , selecione Não permitir comunicação não protegida e, em seguida, selecione Seguinte.
Na página Tráfego de IP e Segurança , selecione Personalizado e, em seguida, selecione Definições....
Na página Definições do Método de Segurança Personalizada , selecione Integridade dos dados e encriptação (ESP): SHA1, 3DES. Em seguida, selecione OK.
Na página Gerir Ações de Filtro , pode ver que o filtro myEncryption foi adicionado com êxito. Selecione Fechar.
4. Definir uma lista de filtros IP
Crie uma lista de filtros que especifique o tráfego HTTP encriptado com a porta de destino 8080.
Para qualificar os tipos de tráfego que têm de ser encriptados, utilize uma lista de filtros IP. No separador Gerir Listas de Filtros ip , selecione Adicionar para adicionar uma nova lista de filtros IP.
No campo Nome: escreva um nome para a sua lista de filtros IP. Por exemplo, azure-onpremises-HTTP8080. Em seguida, selecione Adicionar.
Na página Descrição do Filtro IP e propriedade Espelhada , selecione Espelhado. A definição espelhada corresponde aos pacotes que vão em ambas as direções, o que permite uma comunicação bidirecional. Em seguida, selecione Seguinte.
Na página Origem do Tráfego de IP , na lista pendente Endereço de origem: selecione Um Endereço IP específico ou Sub-rede.
Especifique o Endereço IP de origem ou Sub-rede: do tráfego IP e, em seguida, selecione Seguinte.
Especifique o endereço de destino: Endereço IP ou Sub-rede. Em seguida, selecione Seguinte.
Na página Tipo de Protocolo IP , selecione TCP. Em seguida, selecione Seguinte.
Na página Porta do Protocolo IP , selecione De qualquer porta e Para esta porta:. Escreva 8080 na caixa de texto. Estas definições especificam apenas o tráfego HTTP na porta de destino 8080 que é encriptado. Em seguida, selecione Seguinte.
Ver a lista de filtros ip. A configuração da Lista de Filtros ip azure-onpremises-HTTP8080 aciona a encriptação para todo o tráfego que corresponda aos seguintes critérios:
- Qualquer endereço de origem em 10.0.1.0/24 (Sub-rede do Azure2)
- Qualquer endereço de destino em 10.2.27.0/25 (sub-rede no local)
- Protocolo TCP
- Porta de destino 8080
5. Editar a lista de filtros ip
Para encriptar o mesmo tipo de tráfego do anfitrião no local para a VM do Azure, precisa de um segundo filtro IP. Siga os mesmos passos que utilizou para configurar o primeiro filtro IP e criar um novo filtro IP. As únicas diferenças são a sub-rede de origem e a sub-rede de destino.
Para adicionar um novo filtro IP à Lista de Filtros ip, selecione Editar.
Na página Lista de Filtros de IP , selecione Adicionar.
Crie um segundo filtro IP com as definições no exemplo seguinte:
Depois de criar o segundo filtro IP, a lista de filtros ip terá o seguinte aspeto:
Se for necessária encriptação entre uma localização no local e uma sub-rede do Azure para proteger uma aplicação. Em vez de modificar a lista de filtros IP existentes, pode adicionar uma nova lista de filtros IP. Associar duas ou mais listas de filtros IP à mesma política IPsec pode proporcionar-lhe mais flexibilidade. Pode modificar ou remover uma lista de filtros IP sem afetar as outras listas de filtros IP.
6. Criar uma política de segurança IPsec
Crie uma política IPsec com regras de segurança.
Selecione as Políticas de Segurança IP no Active Directory associadas à UO. Clique com o botão direito do rato e selecione Criar Política de Segurança ip.
Atribua um nome à política de segurança. Por exemplo, policy-azure-onpremises. Em seguida, selecione Seguinte.
Selecione Seguinte sem selecionar a caixa de verificação.
Verifique se a caixa de verificação Editar propriedades está selecionada e, em seguida, selecione Concluir.
7. Editar a política de segurança IPsec
Adicione à política IPsec a Lista de Filtros de IP e a Ação de Filtro que configurou anteriormente.
No separador Regras de Propriedades da política HTTP, selecione Adicionar.
Na página Bem-vindo, selecione Seguinte.
Uma regra fornece a opção para definir o modo IPsec: modo de túnel ou modo de transporte.
No modo de túnel, o pacote original é encapsulado com um conjunto de cabeçalhos IP. O modo de túnel protege as informações de encaminhamento interno ao encriptar o cabeçalho IP do pacote original. O modo de túnel é amplamente implementado entre gateways em cenários de VPN site a site. O modo de túnel é, na maioria dos casos, utilizado para encriptação ponto a ponto entre anfitriões.
O modo de transporte encripta apenas o payload e o trailer ESP; o cabeçalho IP do pacote original não está encriptado. No modo de transporte, a origem de IP e o destino IP dos pacotes permanecem inalterados.
Selecione Esta regra não especifica um túnel e, em seguida, selecione Seguinte.
O Tipo de Rede define a ligação de rede associada à política de segurança. Selecione Todas as ligações de rede e, em seguida, selecione Seguinte.
Selecione a lista de filtros ip que criou anteriormente, azure-onpremises-HTTP8080 e, em seguida, selecione Seguinte.
Selecione a ação de filtro myEncryption existente que criou anteriormente.
O Windows suporta quatro tipos distintos de autenticações: Kerberos, certificados, NTLMv2 e chave pré-partilhada. Uma vez que estamos a trabalhar com anfitriões associados a um domínio, selecione Predefinição do Active Directory (protocolo Kerberos V5) e, em seguida, selecione Seguinte.
A nova política cria a regra de segurança: azure-onpremises-HTTP8080. Selecione OK.
A política IPsec requer que todas as ligações HTTP na porta de destino 8080 utilizem o modo de transporte IPsec. Uma vez que HTTP é um protocolo de texto claro, ter a política de segurança ativada, garante que os dados são encriptados quando são transferidos através do peering privado do ExpressRoute. A política IPsec para o Active Directory é mais complexa de configurar do que a Firewall do Windows com Segurança Avançada. No entanto, permite uma maior personalização da ligação IPsec.
8. Atribuir o GPO IPsec à UO
Ver a política. A política do grupo de segurança está definida, mas ainda não está atribuída.
Para atribuir a política do grupo de segurança ao IPSecOU da UO, clique com o botão direito do rato na política de segurança e selecione Atribuir. Todos os computadores que pertencem à UO têm a política de grupo de segurança atribuída.
Verificar a encriptação de tráfego
Para verificar o GPO de encriptação aplicado na UO, instale o IIS em todas as VMs do Azure e no anfitrião1. Cada IIS é personalizado para responder a pedidos HTTP na porta 8080. Para verificar a encriptação, pode instalar um sniffer de rede (como o Wireshark) em todos os computadores na UO. Um script do PowerShell funciona como um cliente HTTP para gerar pedidos HTTP na porta 8080:
$url = "http://10.0.1.20:8080"
while ($true) {
try {
[net.httpWebRequest]
$req = [net.webRequest]::create($url)
$req.method = "GET"
$req.ContentType = "application/x-www-form-urlencoded"
$req.TimeOut = 60000
$start = get-date
[net.httpWebResponse] $res = $req.getResponse()
$timetaken = ((get-date) - $start).TotalMilliseconds
Write-Output $res.Content
Write-Output ("{0} {1} {2}" -f (get-date), $res.StatusCode.value__, $timetaken)
$req = $null
$res.Close()
$res = $null
} catch [Exception] {
Write-Output ("{0} {1}" -f (get-date), $_.ToString())
}
$req = $null
# uncomment the line below and change the wait time to add a pause between requests
#Start-Sleep -Seconds 1
}
A captura de rede seguinte mostra os resultados do anfitrião no local1 com o filtro de apresentação ESP para corresponder apenas ao tráfego encriptado:
Se executar o script do PowerShell no local (cliente HTTP), a captura de rede na VM do Azure mostra um rastreio semelhante.
Passos seguintes
Para obter mais informações sobre o ExpressRoute, veja as FAQ do ExpressRoute.