Modo de encapsulamento

O modo de encapsulamento assegura a proteção de um pacote IP inteiro tratando-o como uma carga ESP ou AH. Com o modo de encapsulamento, um pacote IP inteiro é encapsulado com um cabeçalho ESP ou AH e um cabeçalho IP adicional. Os endereços IP do cabeçalho IP externo são os pontos de extremidade do encapsulamento, e os endereços IP do cabeçalho IP encapsulado são os endereços de origem e destino finais.

Modo de encapsulamento AH

Conforme mostra a figura a seguir, o modo de encapsulamento AH faz o encapsulamento de um pacote IP com um cabeçalho IP e AH e assina o pacote inteiro para fins de integridade e autenticação. Screenshot

Modo de encapsulamento ESP

Conforme mostra a figura a seguir, o modo de encapsulamento ESP faz o encapsulamento de um pacote IP com um cabeçalho IP e ESP e um marcador de autenticação ESP. Screenshot

A parte assinada do pacote indica onde ele foi assinado para fins de integridade e autenticação. A parte criptografada do pacote indica as informações que estão protegidas com confidencialidade.

Como um novo cabeçalho para encapsulamento é adicionado ao pacote, tudo o que se encontra após o cabeçalho ESP é assinado (com exceção do marcador de autenticação ESP) porque, no momento, encontra-se encapsulado no pacote encapsulado. O cabeçalho original é inserido após o cabeçalho ESP. Todo o pacote é acrescido de um marcador ESP antes de ocorrer a criptografia. Tudo o que se encontra após o cabeçalho ESP, com exceção do marcador de autenticação ESP, é criptografado. Isso inclui o cabeçalho original que, no momento, é considerado parte da porção de dados do pacote.

Toda a carga ESP é encapsulada no novo cabeçalho de encapsulamento, que não é criptografado. As informações contidas no novo cabeçalho de encapsulamento são usadas apenas para encaminhar o pacote da origem para o destino.

Se o pacote estiver sendo enviado por uma rede pública, ele será encaminhado para o endereço IP do servidor de encapsulamento da intranet que está recebendo os dados. Na maioria dos casos, o pacote é destinado a um computador da intranet. O servidor de encapsulamento descriptografa o pacote, descarta o cabeçalho ESP e utiliza o cabeçalho IP original para encaminhar o pacote para o computador da intranet.

O ESP e o AH podem ser combinados durante o encapsulamento, assegurando confidencialidade para o pacote IP encapsulado e integridade e autenticação para o pacote inteiro.

Utilizando encapsulamentos IPSec

Os encapsulamentos IPSec fornecem segurança apenas para o tráfego IP. O encapsulamento é configurado para proteger o tráfego entre dois endereços IP ou duas sub-redes IP. Se o encapsulamento for usado entre dois computadores em vez de dois roteadores (também conhecidos como gateways), o endereço IP fora da carga ESP ou AH será idêntico ao endereço IP contido neles. No Microsoft Windows, a segurança IPSec não oferece suporte a encapsulamentos específicos de protocolos ou portas. A configuração é efetuada por meio dos snap-ins de diretivas de segurança IP ou de diretiva de grupo configurando-se e ativando-se duas regras:

  1. Uma regra para o tráfego de saída do túnel.
  2. A regra para o tráfego de saída é configurada com uma lista de filtros que descreve o tráfego a ser enviado através do encapsulamento e um ponto de extremidade do encapsulamento de um endereço IP configurado no ponto do encapsulamento IPSec (o computador ou roteador do outro lado do encapsulamento).
  3. Uma regra para o tráfego de entrada do encapsulamento.
  4. A regra para o tráfego de entrada é configurada com uma lista de filtros que descreve o tráfego a ser recebido através do encapsulamento e um ponto de extremidade do encapsulamento de um endereço IP local (o computador ou o roteador no lado local do encapsulamento).

Além disso, é necessário especificar ações de filtro, métodos de autenticação e outras configurações para cada regra.

Para obter informações conceituais sobre configurações de encapsulamento da diretiva IPSec, consulte . Para obter informações sobre a configuração de um encapsulamento IPSec, consulte . Para obter informações sobre como o encapsulamento é usado em redes virtuais privadas, consulte .