- Introdução
- Segurança de dados e conformidade
- Organizações
- Autenticação e segurança
- Licenciamento
- Sobre as licenças
- Preço unificado: estrutura do plano de licenciamento
- Ativar sua licença Enterprise
- Migre do Test Suite para o Test Cloud
- Migração de licença
- Atribuição de Licenças a Tenants
- Atribuição de licenças aos usuários
- Desalocando licenças de usuário
- Monitoring license allocation
- Atribuição excessiva de licenças
- Notificações de licenciamento
- Gerenciamento de Licenças de Usuário
- Tenants e serviços
- Contas e funções
- AI Trust Layer
- Aplicativos Externos
- Notificações
- Geração de logs
- Testes em sua organização
- Solução de problemas
- Migração para o Test Cloud
Guia do administrador do Test Cloud
Configuração da política do IPsec e do IKE
A política IPsec /IKE define como o túnel VPN é protegido. Ambos os lado, o gateway da UiPath e seu dispositivo VPN no local, devem usar configurações compatíveis ou o túnel não conseguirá estabelecer ou transportar tráfego.
Esta seção explica o que as configurações significam, como as opções da UiPath mapeiam para a terminologia comum de firewall e os erros de configuração mais comuns.
Visão geral
Uma VPN site a site tem duas fases de transação:
- IKE Fase 1
- Estabelece um canal de controle seguro.
- Usado para autenticar pares e proteger o tráfego de negócios.
- IKE Fase 2 (IPsec / Modo Rápido)
- Estabelece túnels de dados.
- Usado para o tráfego real do aplicativo.
Ambas as fases devem ser compatíveis para que a VPN funcione.
Quando você precisa de uma política de IPsec/IKE personalizada?
Os gateways da UiPath são criados com uma política padrão segura que funciona com a maioria dos dispositivos VPN modernos.
Você só precisa configurar uma política personalizada se:
- Seu dispositivo no local tem requisitos rigorosos de criptografia.
- Você deve cumprir os padrões internos ou regulatórios.
- Você está correspondendo a uma configuração de firewall existente.
Se sua VPN funcionar sem uma política personalizada, não a altere.
IKE Fase 1 (canal de controle)
As configurações de Fase 1 no UiPath controlam como o canal de transação é protegido.
| Configuração | Description |
|---|---|
| Criptografia | Como o tráfego de controle é criptografado. |
| Integridade | Como a integridade do tráfego é verificada. |
| Grupo DH | Como as chaves são trocadas. |
Opções compatíveis com a Fase 1:
- Criptografia
- AES128, AES192, AES256
- GCMAES128, GCMAES256
- Integridade
- SHA1, SHA256, SHA384
- MD5
- Grupos DH
- RHGrupo1
- RHGrupo2
- RHGrupo14
- RHGrupo2048
- RHGrupo24
- ECP256
- ECP384
- Nenhum
Em interfaces de usuário do firewall, elas são frequentemente rotuladas como proposta do IKE ou proposta da Fase 1.
IKE Fase 2 (IPsec / Modo Rápido)
Os parâmetros da Fase 2 controlam como o tráfego do aplicativo é protegido.
| Configuração | Description |
|---|---|
| Criptografia IPsec | Criptografia de dados |
| Integridade do IPsec | Integridade dos dados |
| Grupo PFS | Segredo perfeito para encaminhamento |
| Vida útil do S.A. | Rechavear limites |
Opções compatíveis com a Fase 2:
- Criptografia IPsec
- Nenhum
- AES128, AES192, AES256
- DES, DES3
- GCMAES128, GCMAES192, GCMAES256
- Integridade do IPsec
- SHA1, SHA256
- MD5
- GCMAES128, GCMAES192, GCMAES256
- Grupos de PFS
- PFS1
- PFS2
- PFS2048
- PFS24
- ECP256
- ECP384
- Nenhum
Compreensão do PFS
Em muitos dispositivos no local, PFS é uma caixa de seleção combinada com uma seleção de grupo HL. No UiPath, você seleciona o grupo PFS diretamente.
Verifique a tabela a seguir para um mapeamento conceitual.
| Dispositivo no local | UiPath |
|---|---|
| PFS desabilitado | Grupo PFS = Nenhum |
| PFS habilitado com Grupo DH 2 | PFS2 |
| PFS habilitado com Grupo DH 14 | PFS2048 |
| PFS habilitado com Grupo HL 24 | PFS24 |
| PFS habilitado com ECHD | ECP256/ECP384 |
Para mapeamentos detalhados, consulte a documentação da Microsoft .
Regras críticas e casos do Edge
Uma falha comum é uma incompatibilidade de GCMAES.
Se você usar GCMAES para criptografia IPSec, selecione o mesmo algoritmo GCMAES e tamanho de chave para integridade IPsec.
- Válido:
- Criptografia:
GCMAES128 - Integridade:
GCMAES128
- Criptografia:
- Inválido:
- Criptografia:
GCMAES128 - Integridade:
SHA256
- Criptografia:
Essa incompatibilidade impedirá que o túnel se estabeleça.
Nenhum não significa inseguro por padrão. Integridade da Fase 2 = Nenhuma é válida somente ao usar o GCMAES, pois isso fornece proteção de integridade integrada.
Usar Nenhum com criptografia não GCM resulta em falha.
Os valores de vida útil do S.A. devem ser compatíveis com seu dispositivo no local. Vidas de usuário incompatíveis normalmente causam desconexões periódicas em vez de falhas imediatas.
Configurações incorretas de IPSec/IKE comuns
| Problema | Causa provável |
|---|---|
| O Túnel nunca aparece | Incompatibilidade de criptografia ou integridade |
| Tags do Túnel | Incompatibilidade de tempo de vida do S.A. |
| Fase 1 em alta, Fase 2 em baixa | Incompatibilidade de PFS |
| Funciona brevemente e depois falha | Incompatibilidade de chave nova |
| Parece correto, mas falha | Regra do GCMAES violada |
Abordagem recomendada
- Comece com a política padrão.
- Introduza uma política personalizada apenas se necessário.
- Combine a Fase 1 e a Fase 2 exatamente.
- Preste atenção especial a:
- Mapeamento PFS
- Regras do GCMAES
- Altere um parâmetro de cada vez.
Principais pontos
As políticas de IPsec/IKE devem corresponder conceitualmente, não apenas visualmente. Diferentes fornecedores usam terminologia diferente para os mesmos conceitos de criptografia. Compreender o mapeamento evita falhas silenciosas.