En filterhandling definerer sikkerhedskravene til dataoverførslen. Filterhandlinger kan defineres, når du opretter en politik, eller før du opretter en politik. Til enhver politik findes der filterlister. Hvis du vil definere en filterliste, skal du højreklikke på noden IP-sikkerhedspolitik og vælge Håndter IP-filterlister og filterhandlinger.

En filterhandling kan konfigureres til at gøre følgende:

Tillade datatrafik

IPsec lader denne datatrafik gå til og fra TCP/IP-driveren uden ændringer eller krav om sikkerhed. Denne indstilling kan benyttes til datatrafik fra computere, der ikke anvender IPsec. Husk at begrænse IP-filterlistens anvendelsesområde til det allermest nødvendige, når du bruger denne type filterhandling, så du ikke lader trafik passere, som burde være sikret.

Overvej at tillade ICMP-trafik med henblik på fejlfinding. Det kan også være nødvendigt at give en computer, der ikke findes i dit domæne (f.eks. en konsulents computer), adgang til en anden computer i domænet. Du kan bruge filterhandlingen Tillad, hvis du vil tillade denne adgang.

Vigtigt!

Filterhandlingen Tillad tillader adgang uden godkendelse, dataintegritet eller -kryptering. Alle, der benytter en computer med den IP-adresse, der er angivet på filterlisten, har adgang. Al trafik mellem computerne foregår i form af almindelig tekst. Der udføres ingen integritetskontrol.

Blokere datatrafik

IPsec annullerer uden videre blokeret datatrafik. Ved brug af en blokerende filterhandling skal du sikre dig, at du benytter en IP-filterliste, der definerer IP-adressers korrekte omfang. Jo større omfang, jo større risiko er der for at blokere trafikken mellem gyldige computere.

Forhandle sikkerhed

Hvis du aktiverer indstillingen Accepter usikker kommunikation, men svar altid ved at anvende IPSec, forsøger IPsec at forhandle sikkerhedstilknytninger og afsendelse eller modtagelse af IPsec-beskyttet trafik. Men hvis den pågældende peer ikke kan bruge IPsec, tillades kommunikationen uden IPsec-beskyttelse. Når du har valgt denne filterhandling, kan du også konfigurere følgende:

  • Sikkerhedsmetoder og deres rækkefølge. Denne liste over metoder angiver, i hvilken rækkefølge metoderne vil blive afprøvet. Den første vellykkede metode vil blive anvendt, og de resterende metoder vil ikke blive afprøvet. Punkterne på listen angives normalt fra højeste sikkerhed til laveste sikkerhed, så den mest sikre metode anvendes.

  • Acceptere indgående usikker datatrafik i starten (Accepter usikker kommunikation, men svar altid ved at anvende IPSec). IPsec tillader en indgående pakke, der er i overensstemmelse med den konfigurerede filterliste, at være usikker (dvs. ikke beskyttet af IPsec), men det udgående svar på den indgående pakke skal være beskyttet. Denne indstilling er praktisk, når du bruger standardsvarreglen for klienter. Når en gruppe servere er konfigureret med en regel, der sikrer kommunikationen med alle IP-adresser og accepterer indgående usikker kommunikation og kun svarer på den med udgående sikker kommunikation, sikrer aktivering af standardsvarreglen på klientcomputerne, at klienterne svarer på serverens anmodning om at forhandle sikkerhed. Hvis du vil forhindre Denial of Service-angreb, skal denne indstilling deaktiveres for at sikre de computere, der har forbindelse til internettet.

  • Kommunikere med computere, der ikke anvender IPsec (Tillad usikker kommunikation, hvis der ikke kan oprettes en sikker forbindelse). IPsec går tilbage til usikker kommunikation, hvis det er nødvendigt. Også her kan det være en god ide at begrænse IP-filterlistens anvendelsesområde til et minimum. I modsat fald kan al kommunikation, som er omfattet af den regel, denne filterhandling er en del af, blive sendt uden sikkerhed, hvis forhandlingen af en eller anden grund mislykkes. Hvis du er bekymret for usikker kommunikation, kan du eventuelt deaktivere disse indstillinger. Kommunikation med computere, der ikke kan køre IPsec, f.eks. gamle systemer, kan i så fald blive blokeret. Hvis du vil forhindre Denial of Service-angreb, skal denne indstilling deaktiveres for at sikre de computere, der har forbindelse til internettet.

  • Oprette sessionsnøgler i hurtigtilstand ud fra nyt nøglemateriale i hovedtilstand (Sessionsnøgle til PFS (Perfect Forward Secrecy)). Når PFS for sessionsnøglen er aktiveret, sikres det, at hovednøglematerialet i hovedtilstand kun bliver brugt til at oprette én sessionsnøgle i hovedtilstand. Når PFS i hovedtilstand er aktiveret, udføres en ny Diffie-Hellman-nøgleudveksling for at oprette nyt hovednøglemateriale i hovedtilstand, før den nye nøgle i hurtigtilstand oprettes. PFS (i hurtigtilstand) for sessionsnøgle kræver ikke en ny godkendelse i hovedtilstand og bruger færre ressourcer end PFS for hovednøgle (i hovedtilstand).

IPsec-sikkerhedsmetoder

Hver enkelt sikkerhedsmetode definerer sikkerhedskravene for al kommunikation, som den tilknyttede regel gælder for. Hvis du opretter flere sikkerhedsmetoder, forøger du chancen for, at der kan findes en fælles metode mellem to computere. IKE-komponenten (Internet Key Exchange) læser listen over sikkerhedsmetoder i faldende rækkefølge og sender en liste over tilladte sikkerhedsmetoder til den anden peer. Den første fælles metode vælges. Normalt anbringes de sikreste metoder øverst på listen og de mindst sikre nederst.

Foruddefinerede sikkerhedsmetoder

Der findes følgende foruddefinerede sikkerhedsmetoder:

Kryptering og integritet

Bruger ESP-protokollen til at sikre fortrolige data (kryptering) med 3DES-algoritmen (Triple Data Encryption Standard), dataintegritet og godkendelse med SHA1-integritetsalgoritmen (Secure Hash Algorithm 1) og standardlevetid for nøgler (100 MB, 1 time). Hvis du har brug for både data- og adresseringsbeskyttelse (IP-header), kan du oprette en brugerdefineret sikkerhedsmetode. Hvis du ikke har brug for kryptering, kan du bruge Kun integritet.

Kun integritet

Bruger ESP-protokollen til at sikre dataintegritet og godkendelse med SHA1-integritetsalgoritmen og standardlevetid for nøgler (100 MB, 1 time). I denne konfiguration sikrer ESP-protokollen ikke fortrolighed (kryptering).

Brugerdefinerede sikkerhedsmetoder

Hvis de foruddefinerede indstillinger Kryptering og integritet eller Kun integritet ikke opfylder dine krav til sikkerhed, kan du konfigurere brugerdefinerede sikkerhedsmetoder. Du kan f.eks. benytte brugerdefinerede sikkerhedsmetoder, hvis du vil angive krypterings- og adresseintegritet, stærkere krypteringsalgoritmer eller levetider for nøgler. Når du opretter en brugerdefineret sikkerhedsmetode, kan du konfigurere følgende:
Sikkerhedsprotokoller

Du kan aktivere både AH (data- og adresseintegritet uden kryptering) og ESP (dataintegritet og kryptering) i en brugerdefineret sikkerhedsmetode, hvis du kræver IP-headerintegritet og datakryptering. Hvis du aktiverer begge indstillinger, behøver du ikke angive en integritetsalgoritme til ESP.

Bemærk!

AH-protokollen kan ikke benyttes via NAT-enheder (Network Address Translation), da den bruger en hash i headeren. NAT-enheder ændrer headeren, så pakken vil ikke blive godkendt korrekt.

Integritetsalgoritme

MD5 (Message Digest 5), som benytter en 128-bit nøgle. Denne algoritme anses ikke længere for at være sikker og bør kun bruges, hvis det kræves i forbindelse med kompatibilitet.

SHA1, som benytter en 160-bit nøgle. SHA1 er en stærkere hash-algoritme end MD5 og overholder FIPS-standarden (Federal Information Processing Standard).

Krypteringsalgoritme

3DES er den mest sikre af DES-mulighederne og noget langsommere, hvad angår ydelsen. 3DES behandler hver blok tre gange og bruger tre forskellige 56-bit nøgler.

DES benytter en enkelt 56-bit nøgle og bruges, når den højere sikkerhed og det større ressourceforbrug ved anvendelse af 3DES ikke er nødvendig. Denne algoritme anses ikke længere for at være sikker og bør kun bruges, hvis det kræves i forbindelse med kompatibilitet.

Indstillingerne for en sessionsnøgle (i hurtigtilstand) fastslår, hvornår, ikke hvordan, der oprettes en ny nøgle. Du kan angive en nøgles levetid i KB, sekunder eller begge dele. Hvis en kommunikation f.eks. tager 10.000 sekunder, og du angiver nøglens levetid til 1.000 sekunder, oprettes der 10 nøgler under kommunikationen. Dette sikrer, at selvom en hacker får fat i en sessionsnøgle og dekrypterer en del af kommunikationen, er det ikke muligt for vedkommende at dekryptere hele kommunikationen. Som standard oprettes der nye nøgler i hurtigtilstand for hver 100 MB data, der er overført, eller hver time. Hver gang en nøgles levetid udløber, aftales der også en ny sikkerhedstilknytning ud over nøgleopdateringen eller oprettelsen af en ny nøgle.

Sådan oprettes en filterhandling ved hjælp af dialogboksen med egenskaber for ny regel

  1. Fjern markeringen i feltet Brug guiden Tilføj under fanen Regler i dialogboksen med egenskaber for IP-sikkerhedspolitik, hvis du vil oprette filterhandlingen i dialogboksen med egenskaber. Marker feltet, hvis du vil bruge guiden. Klik på Tilføj. Følgende instruktioner bruges til at oprette en filterliste ved hjælp af dialogboksen.

  2. Fjern markeringen i feltet Brug guiden Tilføj under fanen Filterhandling i dialogboksen Egenskaber for regler, og klik på Tilføj.

  3. Vælg den metode (handling), reglen skal bruge, under fanen Sikkerhedsmetoder.

  4. (Valgfrit) Indtast en beskrivelse af filterhandlingen under fanen Beskrivelse. Denne beskrivelse kan hjælpe dig med at sortere filterhandlinger, og du kan hurtigt identificere filterhandlingen uden at skulle åbne dens egenskaber.

  5. Klik på OK.

  6. Gentag trin 4-8 for at føje flere filterhandlinger til listen.

    Bemærk!

    Selvom reglen kan indeholde flere filterhandlinger, kan der kun benyttes én filterhandling pr. regel.

  7. Vælg den relevante filterhandling til reglen under fanen Filterhandling, og klik på OK.
Sådan oprettes en filterhandling ved hjælp af dialogboksen Administrer IP-filterlister og filterhandlinger

  1. Højreklik på noden IP-sikkerhedspolitik, og vælg Administrer IP-filterlister og filterhandlinger.

  2. Fjern markeringen i feltet Brug guiden Tilføj under fanen Administrer filterhandlinger, hvis du vil oprette filterhandlingen ved hjælp af dialogboksen med egenskaber. Marker feltet, hvis du vil bruge guiden. Klik på Tilføj. Følgende instruktioner bruges til at oprette en filterliste ved hjælp af dialogboksen. I anvisningerne nedenfor benyttes guiden ikke.

  3. Vælg metoden under fanen Sikkerhedsmetoder, og klik på OK.

  4. Hvis du har valgt indstillingen Aftal sikkerhed, kan du tilføje flere metoder og angive den rækkefølge, de skal afprøves i. Det gør du ved at klikke på Tilføj.

  5. (Valgfrit) Indtast en beskrivelse af filteret under fanen Beskrivelse. Denne beskrivelse kan hjælpe dig med at sortere filtrene, og du kan hurtigt identificere filteret uden at skulle åbne dets egenskaber.

  6. Klik på OK.

  7. Gentag trin 4 til og med 8 for at føje filterhandlinger til listen.

Se også

Indholdsfortegnelse