none
Comunicação segura usando IPSec RRS feed

  • Pergunta

  • PessoALL,

     

         Estou realizando testes de IPSec em minha rede corporativa, para avaliar o comportamento desta tecnologia em nosso ambiente de produção. Nos testes entre os pares seguros, o IPSec Monitor está identificando que foi feita a autenticação, mas quando tento acessar um compartilhamento de rede entre eles, por exemplo, o browser não consegue localizar o computador, a configuração dos computadores e do ambiente é a seguinte:

     

    DC (W2003) - Rede A

    Clientes (WXP e W2K) - Rede B

     

    Polices:

    My Add <-> DC -> Permit

    My Add <-> Internet -> Permit

    My Add <-> Infrastructure services (DNS, DHCP, ICMP) -> Permit

    My Add <-> Rede B -> Negociate (Kerberos), Integrity only. Não aceita soft association

     

         O que está muito estranho é que o event viewer está registrando a autenticação entre os pares e nada sobre o acesso ao compartilhamento, veja abaixo um dos logs:

     

    ---------------

    IKE security association established.

     Mode:

    Key Exchange Mode (Main Mode)

     

     Peer Identity:

    Kerberos based Identity: test-1$@LAM.COM

    Peer IP Address: 103.186.57.48

     

     Filter:

    Source IP Address 103.186.57.35

    Source IP Address Mask 255.255.255.255

    Destination IP Address 103.186.57.48

    Destination IP Address Mask 255.255.255.255

    Protocol 0

    Source Port 0

    Destination Port 0

    IKE Local Addr 103.186.57.35

    IKE Peer Addr 103.186.57.48

     

     Parameters:

    ESP Algorithm Triple DES CBC

    HMAC Algorithm SHA

    Lifetime (sec) 2880

    ---------------

     

         As portas TCP/UDP 500, 51 e 50 estão liberadas nas ACL dos routers, não sei se tem alguma relação com o problema, mas já existe uma implementação de IPSec entre os nossos DCs.

         Qualquer tipo de ajuda é bem vinda, já analisei vários documentos da MS, mas não consegui encontrar nada relacionado com este problema.

     

    Agradeço desde já,

    Vinicius Moura Santos

    quarta-feira, 18 de julho de 2007 16:58

Respostas

Todas as Respostas