Met dit dialoogvenster kunt u een algoritme voor gegevensintegriteit opgeven die beschikbaar is tijdens het onderhandelen over de beveiligingskoppelingen in de snelle modus. U moet zowel het protocol als de algoritme opgeven waarmee de integriteit van de gegevens in het netwerkpakket wordt beveiligd.

Bij IPsec (Internet Protocol security) wordt de integriteit van de gegevens beveiligd door een hash te berekenen die is gegenereerd op basis van de gegevens in het netwerkpakket. Deze hash wordt vervolgens cryptografisch ondertekend (versleuteld) en in het IP-pakket ingekapseld. Op de ontvangende computer wordt dezelfde algoritme gebruikt om de hash te berekenen en wordt de uitkomst vergeleken met de hash die is ingekapseld in het ontvangen pakket. Als ze overeenkomen, is de ontvangen informatie identiek aan de verzonden informatie en wordt het pakket geaccepteerd. Zo niet, dan wordt het pakket genegeerd.

Een versleutelde hash van het verzonden bericht maakt het rekenkundig onmogelijk het bericht te wijzigen zonder dat de hash wordt gewijzigd. Dit is van vitaal belang wanneer gegevens worden uitgewisseld via een niet-beveiligd netwerk zoals internet. Op die manier kan namelijk worden gewaarborgd dat het bericht tijdens de verzending niet is gewijzigd.

Dit dialoogvenster weergeven

  1. Klik op de pagina in de MMC-module Windows-firewall met een geavanceerde beveiliging bij Overzicht op Eigenschappen van Windows Firewall.

  2. Klik op de tab IPsec-instellingen.

  3. Klik onder Standaardinstellingen voor IPsec op Aanpassen.

  4. Selecteer onder Gegevensbeveiliging (snelle modus) de optie Geavanceerd en klik vervolgens op Aanpassen.

  5. Selecteer onder Gegevensintegriteit een algoritmecombinatie in de lijst en klik op Bewerken of Toevoegen.

Protocol

De integriteitsgegevens worden met behulp van de volgende protocollen in een IP-pakket ingekapseld.

ESP (aanbevolen)

ESP biedt verificatie, integriteit en anti-replaybeveiliging voor de IP-nettolading. Wanneer ESP in de transportmodus wordt gebruikt, wordt niet het hele pakket ondertekend. Alleen de IP-nettolading wordt beveiligd, niet de IP-header. ESP kan zelfstandig worden gebruikt of in combinatie met AH. Met ESP worden alleen de ESP-header, -trailer en -nettolading in de berekening van de hash opgenomen. ESP kan desgewenst de vertrouwelijkheid van gegevens waarborgen door de ESP-nettolading te versleutelen met een van de ondersteunde algoritmen. Replay van pakketten wordt mogelijk gemaakt door de toevoeging van een volgnummer voor elk pakket.

AH

AH biedt verificatie, integriteit en anti-replay voor het hele pakket (zowel de IP-header als de nettolading die het pakket bevat). AH zorgt niet voor vertrouwelijkheid. Dit betekent dat de gegevens niet worden versleuteld. De gegevens zijn leesbaar, maar kunnen niet worden gewijzigd. Sommige velden die tijdens de verzending mogen veranderen, worden uitgezonderd van de hashberekening. Replay van pakketten wordt mogelijk gemaakt door de toevoeging van een volgnummer voor elk pakket.

Belangrijk

Het AH-protocol is niet compatibel met Netwerkadresomzetting (Network Address Translation, afgekort NAT), omdat NAT-apparaten gegevens wijzigen in sommige van de pakketheaders die deel uitmaken van de integriteitshash. Als u wilt toestaan dat op IPsec gebaseerd verkeer via een NAT-apparaat loopt, moet u ESP gebruiken en ervoor zorgen dat NAT Traversal (NAT-T) is ingeschakeld op de IPsec-peercomputers.

Nullinkapseling

Nullinkapseling betekent dat u geen beveiliging op basis van integriteit of versleuteling wilt gebruiken voor uw netwerkverkeer. Verificatie wordt nog wel uitgevoerd in overeenstemming met de regels voor verbindingsbeveiliging, maar de netwerkpakketten die via deze beveiligingskoppeling worden uitgewisseld worden op geen enkele andere manier beveiligd.

Beveiliging Opmerking

Aangezien deze optie geen enkele beveiliging op basis van integriteit of versleuteling biedt, is het raadzaam deze alleen te gebruiken voor de ondersteuning van software of netwerkapparaten die niet compatibel zijn met ESP of AH.

Algoritmen

De volgende integriteitsalgoritmen zijn beschikbaar voor computers waarop deze versie van Windows wordt uitgevoerd. Niet al deze algoritmen zijn beschikbaar op computers waarop andere versies van Windows worden uitgevoerd. Als u met IPsec beveiligde verbindingen tot stand moet brengen met een computer waarop een eerdere versie van Windows wordt uitgevoerd, moet u algoritmeopties opnemen die compatibel zijn met die eerdere versie.

Zie IPsec-algoritmen en -methoden die in Windows worden ondersteund (de pagina is mogelijk Engelstalig) (https://go.microsoft.com/fwlink/?LinkID=129230) voor meer informatie.

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    Waarschuwing

    MD5 wordt niet meer als veilig beschouwd en mag alleen worden gebruikt voor testdoeleinden of wanneer op de externe computer geen veiliger algoritme kan worden gebruikt. Dit protocol is alleen aanwezig met het oog op de compatibiliteit met eerdere versies.

Sleutellevensduur

Met de instellingen voor de levensduur bepaalt u wanneer er een nieuwe sleutel moet worden gegenereerd. Door een sleutellevensduur in te stellen kunt u afdwingen dat er een nieuwe sleutel wordt gegenereerd na een bepaald tijdsinterval of nadat de opgegeven hoeveelheid gegevens is verzonden. Als de communicatie bijvoorbeeld 100 minuten duurt en u een sleutellevensduur van 10 minuten opgeeft, worden tijdens de hele uitwisseling 10 sleutels gegenereerd. Door meerdere sleutels te gebruiken zorgt u ervoor dat niet de hele communicatie gevaar loopt wanneer een kwaadwillende gebruiker een sleutel weet te bemachtigen.

Opmerking

Deze sleutel wordt alleen opnieuw gegenereerd met het oog op de gegevensintegriteit in de snelle modus. Deze instellingen zijn niet van invloed op de sleutellevensduur die is ingesteld voor de sleuteluitwisseling in de hoofdmodus.

Minuten

Met deze instelling kunt u de geldigheid (in minuten) opgeven voor de sleutel die wordt gebruikt in de beveiligingskoppeling voor de snelle modus. Na dit interval wordt er een nieuwe sleutel gegenereerd. De nieuwe sleutel wordt tijdens daaropvolgende communicatie gebruikt.

De maximumlevensduur is 2.879 minuten (48 uur). De minimumlevensduur is 5 minuten. Het is raadzaam niet vaker opnieuw een sleutel te genereren dan op grond van uw risicoanalyse vereist is. Als er te vaak nieuwe sleutels worden gegenereerd, kan dat de prestaties nadelig beïnvloeden.

KB

Met deze instelling kunt u opgeven hoeveel kilobytes (kB) aan gegevens met de sleutel worden verzonden. Als deze drempel is bereikt, wordt de teller opnieuw ingesteld en wordt de sleutel opnieuw gegenereerd. De nieuwe sleutel wordt tijdens daaropvolgende communicatie gebruikt.

De maximumlevensduur is 2.147.483.647 kB. De minimumlevensduur bedraagt 20.480 kB. Het is raadzaam niet vaker opnieuw een sleutel te genereren dan op grond van uw risicoanalyse vereist is. Als er te vaak nieuwe sleutels worden gegenereerd, kan dat de prestaties nadelig beïnvloeden.

Zie ook

Inhoudsopgave