פעולת סינון מגדירה את דרישות האבטחה עבור שידור נתונים. ניתן להגדיר פעולות סינון בעת יצירת מדיניות או לפני יצירתה. רשימות מסננים זמינות לכל מדיניות. כדי להגדיר רשימת מסננים, לחץ באמצעות לחצן העכבר ימני על צומת מדיניות אבטחת IP ובחר ניהול רשימות מסננים ופעולות סינון.

ניתן להגדיר פעולת סינון כך שתביא ל:

התרת תעבורה

IPsec מעביר תעבורה זו אל מנהל ההתקן של TCP/IP וממנו, ללא שינוי או דרישה לאבטחה. הגדרה זו מתאימה לתעבורה ממחשבים שאינם תומכים ב- IPsec. יש להגביל את רשימת מסנני IP לתחום מינימלי בעת שימוש בסוג כזה של פעולת סינון כדי שלא תתאפשר תעבורה שאותה יש לאבטח.

שקול לאפשר תעבורת ICMP למטרת פתרון בעיות. ייתכן גם שיהיה עליך לאפשר גישה למחשב מחוץ לתחום שלך (לדוגמה, מחשב של יועץ) אל מחשב אחר בתחום שלך. באפשרותך להשתמש בהרשאת פעולת סינון כדי לאפשר גישה זו.

חשוב

הרשאת פעולת הסינון מאפשרת גישה ללא אימות, תקינות נתונים או הצפנה. הגישה ניתנת לכל אחד המשתמש במחשב שבו מצויינת כתובת ה- IP ברשימת המסננים. התעבורה בין המחשבים מתבצעת בטקסט רגיל; לא מתבצעות בדיקות תקינות.

חסימת תעבורה

IPSec מוחק חסימת תעבורה בצורה שקטה. בעת שימוש בפעולת חסימת סינון, הקפד להשתמש ברשימת מסנני IP המגדירה את תחום כתובות ה- IP המתאים. שימוש בתחומים רחבים יותר מגדיל את הסיכויים לחסימת תעבורה בין מחשבים חוקיים.

ניהול משא ומתן אודות אבטחה

אם תהפוך את האפשרות קבל תקשורת לא מאובטחת, אך הגב תמיד באמצעות IPSec‏ לזמינה, IPsec מנסה לנהל משא ומתן בנוגע לשיוכי אבטחה (SAs) ולשליחה וקבלה של תעבורה מוגנת באמצעות IPsec. עם זאת, אם העמית לא יכול להשתמש ב- IPsec, התקשורת תתאפשר ללא הגנת IPsec. לאחר שתבחר בפעולת הסינון, באפשרותך גם להגדיר את האפשרויות הבאות:

  • שיטות אבטחה והסדר שלהן. רשימת שיטות זו מגדירה את סדר השיטות לביצוע. ייעשה שימוש בשיטה המוצלחת הראשונה ולא יתבצעו נסיונות להשתמש בשאר השיטות. ככלל, הרשימה אמורה להיות מסודרת מרמת האבטחה הגבוהה ביותר לנמוכה ביותר, כך שייעשה שימוש בשיטה המאובטחת ביותר.

  • קבלה של תעבורה ראשונית נכנסת שאינה מאובטחת (קבל תקשורת לא מאובטחת, אך הגב תמיד באמצעות IPSec). IPsec מאפשר למנה נכנסת התואמת לרשימת המסננים שהוגדרה להיות לא מאובטחת (כלומר, לא מוגנת באמצעות IPSec). עם זאת, התגובה היוצאת למנה הנכנסת חייבת להיות מוגנת. הגדרה זו שימושית כאשר נעשה שימוש בכלל התגובה המוגדר כברירת מחדל עבור לקוחות. כאשר קבוצה של שרתים מוגדרת עם כלל המאבטח תקשורת עם כל כתובת IP ומקבל תקשורת לא מאובטחת, כשהתגובה מתבצעת באמצעות תקשורת מאובטחת בלבד, הפעלת כלל התגובה המוגדר כברירת מחדל במחשבי הלקוחות מבטיחה שהלקוחות יגיבו לבקשת השרת למשא ומתן אודות אבטחה. כדי למנוע התקפות מסוג מניעת שירות, יש להפוך אפשרות זו ללא זמינה עבור מחשבים מאובטחים המחוברים לאינטרנט.

  • הפעלת תקשורת עם מחשבים שבהם IPSec אינו זמין (אפשר תקשורת לא מאובטחת אם לא ניתן ליצור חיבור מאובטח). IPSec חוזר לתקשורת לא מאובטחת במידת הצורך. גם כאן, עליך להגביל את רשימת מסנני IP לתחום מינימלי. אחרת, ייתכן שתקשורת המושפעת מהכלל שבו קיימת פעולת סינון זו תשלח נתונים לא מאובטחים אם המשא ומתן ייכשל מסיבה כלשהי. אם אתה מוטרד מתקשורת לא מאובטחת, כדאי שתשקול להפוך הגדרות אלה ללא זמינות. עם זאת, התקשורת עם מחשבים שאינם יכולים להפעיל את IPsec, כגון מערכות מדור קודם, עלולה להיות חסומה. כדי למנוע התקפות מסוג מניעת שירות, יש להפוך אפשרות זו ללא זמינה עבור מחשבים מאובטחים המחוברים לאינטרנט.

  • הפקת מפתחות הפעלה של מצב מהיר מחומר חדש ליצירת מפתחות של מצב ראשי (סודיות העברה שלמה (PFS) של מפתח הפעלה). הפיכת PFS של מפתח הפעלה לזמין מוודאת שהחומר ליצירת מפתחות ראשיים של מצב ראשי לא יוכל לשמש להפקת יותר ממפתח הפעלה אחד של מצב מהיר. כאשר מופעל PFS של מפתח הפעלה של מצב מהיר, מתבצע חילוף מפתחות חדש של Diffie-Hellman כדי להפיק חומר חדש ליצירת מפתחות ראשיים של מצב ראשי לפני יצירת מפתח ההפעלה החדש של מצב מהיר. PFS של מפתח הפעלה (מצב מהיר) אינו דורש אימות מחדש של מצב ראשי ומשתמש בפחות משאבים מאשר PFS של מפתח ראשי (מצב ראשי).

שיטות אבטחה של IPsec

כל אחת משיטות האבטחה מגדירה את דרישות האבטחה מכל תקשורת שעליה חל הכלל המשויך. יצירת שיטות אבטחה מרובות מגדילה את הסיכוי שתימצא שיטה משותפת לשני מחשבים. רכיב חילופי מפתחות באינטרנט (IKE) קורא את רשימת שיטות האבטחה בסדר יורד ושולח רשימה של שיטות אבטחה מותרות למחשב העמית האחר. נבחרת השיטה המשותפת הראשונה. בדרך כלל, השיטות המאובטחות ביותר מופיעות בראש הרשימה; השיטות המאובטחות פחות מופיעות בתחתית הרשימה.

שיטות אבטחה מוגדרות מראש

שיטות האבטחה הבאות מוגדרות מראש:

הצפנה ותקינות

שימוש בפרוטוקול ESP כדי לספק סודיות נתונים (הצפנה) באמצעות האלגוריתם Triple Data Encryption Standard ‏(3DES)‎, תקינות ואימות נתונים באמצעות אלגוריתם התקינות Secure Hash Algorithm 1 ‏(SHA1) ומשכי חיים של מפתחות המוגדרים כברירת מחדל (100 מגה-בתים (MB), שעה אחת). אם נדרשת הגנה על הנתונים והגנה על הכתובות (כותרת IP) גם יחד, באפשרותך ליצור שיטת אבטחה מותאמת אישית. אם לא נדרשת הצפנה, השתמש באפשרות 'תקינות בלבד'.

תקינות בלבד

שימוש בפרוטוקול ESP כדי לספק תקינות ואימות נתונים באמצעות אלגוריתם התקינות SHA1 ומשכי חיים של מפתחות המוגדרים כברירת מחדל (‎100 MB, שעה אחת). בתצורה זו, ESP אינו מספק סודיות נתונים (הצפנה).

שיטות אבטחה מותאמות אישית

אם הגדרות הצפנה ותקינות או תקינות בלבד המוגדרות מראש אינן עונות על דרישות האבטחה שלך, באפשרותך לציין שיטות אבטחה מותאמות אישית. לדוגמה, באפשרותך להשתמש בשיטות מותאמות אישית כאשר יש צורך לציין הצפנה ותקינות כתובת, אלגוריתמים חזקים יותר או משכי חיים של מפתחות. בעת הגדרת שיטת אבטחה מותאמת אישית, באפשרותך להגדיר את האפשרויות הבאות:

פרוטוקולי אבטחה

ניתן להפעיל הן AH (תקינות כתובות ונתונים ללא הצפנה) והן ESP (תקינות נתונים והצפנה) בשיטת אבטחה מותאמת אישית כאשר נדרשים תקינות כותרת של IP והצפנת נתונים. אם בחרת לאפשר את שניהם, אין צורך לציין אלגוריתם תקינות עבור ESP.

הערה

לא ניתן להשתמש בפרוטוקול AH בהתקני תרגום כתובות רשת (NAT) כיוון שהוא משתמש בקוד Hash של הכותרת. התקני NAT משנים את הכותרת, ועל כן המנה לא מאומתת כראוי.

אלגוריתם תקינות

Message Digest 5 (MD5)‎, המשתמש במפתח של 128 סיביות. אלגוריתם זה כבר לא נחשב כמאובטח ויש להשתמש בו רק כאשר פעילות משולבת דורשת שימוש בו.

SHA1, המשתמש במפתח של 160 סיביות. SHA1 הוא קוד Hash חזק יותר מ- MD5 ותואם ל- Federal Information Processing Standard ‏(FIPS).

אלגוריתם הצפנה

3DES הוא המאובטח ביותר מבין צירופי DES ובעל ביצועים איטיים יותר במידה מסוימת. 3DES מעבד כל אחד מהבלוקים שלוש פעמים, תוך שימוש בשלושה מפתחות ייחודיים של 56 סיביות.

DES משתמש במפתח בודד של 56 סיביות ונעשה בו שימוש כאשר האבטחה הגבוהה יותר והתקורה של 3DES אינם נחוצים. אלגוריתם זה כבר לא נחשב כמאובטח ויש להשתמש בו רק כאשר פעילות משולבת דורשת שימוש בו.

הגדרות מפתח הפעלה (מצב מהיר) קובעות את מועד היצירה של מפתח חדש אך לא את אופן יצירתו. באפשרותך לציין משך חיים בקילו-בתים (KB), בשניות או בשתי המידות. לדוגמה, אם התקשורת נמשכת 10,000 שניות ומשך חיי המפתח שצוין הוא 1000 שניות, ייווצרו 10 מפתחות כדי להשלים את ההעברה. פעולה זו מבטיחה שגם אם תוקף יצליח לגלות מפתח הפעלה אחד ולפענח חלק מהתקשורת, הוא לא יוכל לפענח את כל התקשורת. כברירת מחדל, מפתחות הפעלה חדשים נוצרים כל ‎100 MB של נתונים או מדי שעה. בכל פעם שתם משך חיים של מפתח, מתחיל גם משא ומתן מחודש על שיוך האבטחה בנוסף לרענון או ליצירה מחדש של המפתח.

כדי ליצור פעולת סינון באמצעות תיבת הדו-שיח 'מאפייני כלל חדש'
  1. בכרטיסיה כללים שבתיבת הדו-שיח מאפייני מדיניות אבטחת IP, נקה את תיבת הסימון השתמש באשף ההוספה אם ברצונך ליצור את פעולת הסינון בתיבת הדו-שיח מאפיינים. אם ברצונך להשתמש באשף, השאר את תיבת הסימון מסומנת. לחץ על הוספה. ההוראות הבאות מיועדות ליצירת רשימת מסננים באמצעות שימוש בתיבת הדו-שיח.

  2. בכרטיסיה פעולת סינון שבתיבת הדו-שיח מאפייני כלל נקה את תיבת הסימון השתמש באשף ההוספה ולחץ על הוספה.

  3. בכרטיסיה שיטות אבטחה, בחר את השיטה (הפעולה) שבה הכלל ישתמש.

  4. (אופציונלי) בכרטיסיה תיאור הקלד תיעוד של פעולת הסינון. תיאור זה יסייע לך לערוך מיון בפעולות הסינון ומאפשר לך לזהות במהרה את פעולת הסינון מבלי לפתוח את המאפיינים שלה.

  5. לחץ על אישור.

  6. חזור על שלבים 4 עד 8 כדי להוסיף פעולות סינון לרשימה.

    הערה

    על אף שהכלל יכול להכיל רשימה של מספר פעולות סינון, ניתן להשתמש בפעולת סינון אחת בכל כלל.

  7. בכרטיסיה פעולת סינון, בחר את פעולת הסינון המתאימה לכלל ולחץ על אישור.

כדי ליצור פעולת סינון על-ידי שימוש בתיבת הדו-שיח 'ניהול רשימות מסננים ופעולות סינון'
  1. לחץ באמצעות לחצן העכבר הימני על צומת מדיניות אבטחת IP ובחר ניהול רשימות מסננים ופעולות סינון.

  2. בכרטיסיה ניהול פעולות סינון, נקה את תיבת הסימון השתמש באשף ההוספה אם ברצונך ליצור את פעולת הסינון בתיבת הדו-שיח מאפיינים. אם ברצונך להשתמש באשף, השאר את תיבת הסימון מסומנת. לחץ על הוספה. ההוראות הבאות מיועדות ליצירת רשימת מסננים באמצעות שימוש בתיבת הדו-שיח. ההוראות שלהלן אינן מיועדות לשימוש באשף.

  3. בכרטיסיה שיטות אבטחה בחר בשיטה ולחץ על אישור.

  4. אם בחרת באפשרות 'נהל משא ומתן אודות אבטחה', באפשרותך להוסיף שיטות מרובות ולציין את הסדר לשימוש בהן. כדי לבצע זאת לחץ על הוספה.

  5. (אופציונלי) בכרטיסיה תיאור הקלד תיעוד של המסנן. תיאור זה יסייע לך לערוך מיון במסננים ומאפשר לך לזהות במהרה את המסנן מבלי לפתוח את המאפיינים.

  6. לחץ על אישור.

  7. חזור על שלבים 4 עד 8 כדי להוסיף פעולות סינון לרשימה.

למידע נוסף