To okno dialogowe służy do konfigurowania oferty algorytmu uwzględniającej integralność danych i poufność danych (szyfrowanie), która jest dostępna podczas negocjowania skojarzeń zabezpieczeń trybu szybkiego. Należy określić zarówno protokół, jak i algorytm używany w celu ochrony integralności danych w pakiecie sieciowym.

Zabezpieczenie protokołu internetowego (IPsec) zapewnia integralność przez obliczenie skrótu generowanego z danych w pakiecie sieciowym. Skrót jest następnie kryptograficznie podpisywany (szyfrowany) i osadzany w pakiecie protokołu IP. Komputer odbiorczy używa tego samego algorytmu w celu obliczenia skrótu i porównuje wynik ze skrótem osadzonym w odebranym pakiecie. Jeśli występuje zgodność, odebrana informacja jest dokładnie taka sama jak informacja wysłana, a pakiet jest akceptowany. W przypadku braku zgodności pakiet jest porzucany.

Korzystanie z zaszyfrowanego skrótu przesyłanych komunikatów w praktyce uniemożliwia zmianę komunikatu bez powodowania niezgodności skrótu. Ma to podstawowe znaczenie, gdy dane są wymieniane za pośrednictwem niezabezpieczonej sieci, takiej jak Internet, i umożliwia stwierdzenie, czy komunikat nie został zmieniony podczas przesyłania.

Oprócz ochrony integralności to okno dialogowe umożliwia określenie algorytmu szyfrowania ułatwiającego zabezpieczenie przed odczytaniem danych w przypadku przechwycenia pakietu sieciowego podczas przesyłania.

Jak uzyskać dostęp do tego okna dialogowego

  1. Na stronie przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi programu MMC, w obszarze Przegląd kliknij opcję Właściwości Zapory systemu Windows.

  2. Kliknij kartę Ustawienia protokołu IPSec.

  3. W obszarze Wartości domyślne IPsec kliknij przycisk Dostosuj.

  4. W obszarze Ochrona danych (tryb szybki) wybierz opcję Zaawansowane, a następnie kliknij przycisk Dostosuj.

  5. W obszarze Integralność i szyfrowanie danych wybierz z listy kombinację algorytmów, a następnie kliknij przyciski Edytuj lub Dodaj.

Protokół

W celu osadzania informacji dotyczących integralności i szyfrowania w pakiecie protokołu IP są używane następujące protokoły.

ESP (zalecany)

Protokół Encapsulating Security Payload (ESP) zapewnia poufność (oraz uwierzytelnianie, integralność i funkcję zapobiegania powtarzaniu) dla ładunku IP. Protokół ESP w trybie transportu nie podpisuje całego pakietu. Chroniony jest tylko ładunek danych IP, a nie nagłówek IP. Protokół ESP może być używany samodzielnie lub w połączeniu z protokołem AH (Authentication Header). W przypadku protokołu ESP obliczenie skrótu obejmuje tylko nagłówek, blok końcowy i ładunek ESP. Protokół ESP zapewnia poufność danych, szyfrując ładunek ESP za pomocą jednego z obsługiwanych algorytmów szyfrowania. Zapobieganie powtarzaniu jest zapewnione przez dołączenie numeru sekwencyjnego do każdego pakietu.

ESP i AH

Ta opcja łączy bezpieczeństwo protokołu ESP z protokołem AH. Protokół Authentication Header (AH) zapewnia uwierzytelnianie, integralność i funkcję zapobiegania powtarzaniu dla całego pakietu (zarówno nagłówka IP, jak i ładunku danych przenoszonego w pakiecie).

Ważne

Protokół AH nie jest kompatybilny z translatorem adresów sieciowych (NAT), ponieważ urządzenia NAT muszą zmieniać informacje w nagłówkach pakietów. Aby umożliwić przepuszczanie ruchu opartego na protokole IPsec przez urządzenie NAT, na komputerach równorzędnych protokołu NAT musi być obsługiwany protokół translacji NAT (NAT-T).

Algorytmy

Algorytm szyfrowania

W komputerach z tą wersją systemu Windows są dostępne następujące algorytmy szyfrowania. Niektóre z tych algorytmów są niedostępne na komputerach ze starszymi wersjami systemu Windows. Jeśli konieczne jest ustanawianie połączeń zabezpieczonych protokołem IPsec z komputerami ze starszą wersją systemu Windows, należy uwzględnić opcje algorytmu zgodne ze starszą wersją.

Aby uzyskać więcej informacji, zobacz temat Algorytmy IPsec i metody obsługiwane w systemie Windows (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/??LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

Uwaga dotycząca zabezpieczeń

Zaleca się nieużywanie algorytmu DES. Jest on udostępniany wyłącznie w celu zachowania zgodności z poprzednimi wersjami.

Uwaga

Jeśli algorytm AES-GCM zostanie określony dla szyfrowania, ten sam algorytm należy określić dla integralności.

Algorytm integralności

W komputerach z tą wersją systemu Windows są dostępne następujące algorytmy integralności. Niektóre z tych algorytmów są niedostępne na komputerach z innymi wersjami systemu Windows. Jeśli konieczne jest ustanawianie połączeń zabezpieczonych protokołem IPsec z komputerami ze starszą wersją systemu Windows, należy uwzględnić opcje algorytmu zgodne ze starszą wersją.

Aby uzyskać więcej informacji, zobacz temat Algorytmy IPsec i metody obsługiwane w systemie Windows (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/??LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

Uwaga dotycząca zabezpieczeń

Zaleca się nieużywanie algorytmu MD5. Jest on udostępniany wyłącznie w celu zachowania zgodności z poprzednimi wersjami.

Uwaga

Jeśli algorytm AES-GCM zostanie określony dla spójności, ten sam algorytm należy określić dla szyfrowania.

Okresy istnienia klucza

Ustawienia okresu istnienia klucza określają, kiedy generowany jest nowy klucz. Okresy istnienia klucza pozwalają na wymuszenie wygenerowania klucza po upływie określonego czasu lub przesłaniu określonej ilości danych. Jeśli na przykład komunikacja trwa 100 minut i określony jest okres istnienia klucza równy 10 minut, podczas wymiany zostanie wygenerowanych 10 kluczy, jeden co 10 minut. Korzystanie z wielu kluczy zapewnia, że nawet gdy osoba nieupoważniona zdoła złamać klucz do części komunikacji, nie odczyta dzięki niemu całości przekazu.

Uwaga

Ponowne generowanie klucza dotyczy spójności danych i szyfrowania trybu szybkiego i nie ma wpływu na ustawienia okresu istnienia kluczy dla wymiany kluczy trybu głównego.

Minuty

To ustawienie służy do skonfigurowania (w minutach) okresu użycia klucza w skojarzeniach zabezpieczeń trybu szybkiego. Po tym okresie klucz będzie regenerowany. Kolejne procesy komunikacji będą używały nowego klucza.

Maksymalny okres istnienia to 2879 minut (48 godzin). Minimalny okres istnienia to 5 minut. Zaleca się ponowne tworzenie klucza z częstotliwością nie większą niż wymagana przez analizę ryzyka. Zbyt częste ponowne tworzenie klucza może wpłynąć na wydajność.

KB

To ustawienie służy do skonfigurowania ilości danych (w KB) wysłanych przy użyciu klucza. Po osiągnięciu wartości progowej licznik jest zerowany i klucz jest regenerowany. Kolejne procesy komunikacji będą używały nowego klucza.

Maksymalny okres istnienia to 2 147 483 647 KB. Minimalny okres istnienia to 20 480 KB. Zaleca się ponowne tworzenie klucza z częstotliwością nie większą niż wymagana przez analizę ryzyka. Zbyt częste ponowne tworzenie klucza może wpłynąć na wydajność.

Zobacz też

Spis treści