V tomto dialogovém okně lze konfigurovat nabídku algoritmu integrity dat, která bude k dispozici při vyjednávání přidružení zabezpečení rychlého režimu. Je nutné určit protokol a algoritmus sloužící k ochraně integrity dat v síťovém paketu.
Protokol IPsec (Internet Protocol security) zajišťuje integritu výpočtem hodnoty hash z dat v síťovém paketu. Hodnota hash je poté kryptograficky podepsána (zašifrována) a vložena do IP paketu. Přijímající počítač vypočítá pomocí stejného algoritmu hodnotu hash a porovná výsledek výpočtu s hodnotou hash, která je vložena v přijatém paketu. Pokud se obě hodnoty shodují, je přijatá informace přesně stejná jako informace odeslaná - a paket je přijat. Nejsou-li hodnoty stejné, je paket zahozen.
Při použití šifrované hodnoty hash u přenášené zprávy je nemožné výpočetně tuto zprávu změnit tak, aby obě hodnoty hash zůstaly stejné. To je rozhodující při přenosech dat přes nezabezpečenou síť, jako je Internet, protože tak lze zjistit, zda během přenosu nedošlo ke změně zprávy.
 | Postup pro zobrazení tohoto dialogového okna |
Na stránce modulu snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením konzoly MMC klikněte v části Přehled na položku Vlastnosti brány firewall.
Klikněte na kartu Nastavení protokolu IPsec.
Ve skupinovém rámečku Výchozí nastavení protokolu IPsec klikněte na tlačítko Vlastní.
V části Ochrana dat (rychlý režim) vyberte možnost Upřesnit a potom klikněte na tlačítko Vlastní.
Ve skupinovém rámečku Integrita dat vyberte v seznamu kombinaci protokolu a algoritmu a klikněte na tlačítko Upravit nebo Přidat.
Protokol
Pro vkládání informací o integritě do paketů IP se používají následující protokoly:
ESP (doporučeno)
Protokol ESP zajišťuje ověření, integritu a ochranu proti reprodukci datové části protokolu IP. Protokol ESP používaný v transportním režimu nepodepisuje celý paket. Chráněna je jen datová část protokolu IP, nikoli hlavička IP. Protokol ESP lze použít samostatně nebo v kombinaci s protokolem AH. Při použití protokolu ESP je do výpočtu hodnoty hash zahrnuta jen hlavička, koncová a datová část protokolu ESP. Protokol ESP může volitelně poskytovat služby utajení pomocí šifrování datové části ESP jedním z několika podporovaných šifrovacích algoritmů. Služby pro reprodukci paketu se zajišťují prostřednictvím pořadového čísla zahrnutého do každého paketu.
AH
Protokol AH zajišťuje ověření, integritu a ochranu proti reprodukci celého paketu (v paketu se přenáší hlavička i datová část protokolu IP). Nezajišťuje utajení, což znamená, že data nešifruje. Data lze číst, ale jsou chráněna proti pozměnění. Některá pole, jejichž změna je během cesty dovolena, jsou z výpočtu hodnoty hash vyloučena. Služby pro reprodukci paketu se zajišťují prostřednictvím pořadového čísla zahrnutého do každého paketu.
 | Důležité informace |
Protokol AH není kompatibilní s překladem adres (NAT), protože zařízení NAT mění informace v některých hlavičkách paketů, které jsou zahrnuty do výpočtu hodnoty hash pro zajištění integrity. Chcete-li umožnit, aby přenosy založené na protokolu IPsec procházely zařízením NAT, musíte použít protokol ESP a povolit v účastnických počítačích protokolu IPsec rozhraní NAT Traversal (NAT-T). |
Nulové zapouzdření
Nulové zapouzdření určuje, že nechcete pro síťové přenosy používat ochranu kontrolou integrity ani šifrováním. Ověřování vyžadované pravidly zabezpečení připojení se nadále provádí, ale síťové pakety přenášené prostřednictvím tohoto přidružení zabezpečení nejsou jinak chráněny.
 | Zabezpečení - Poznámka |
Protože tato možnost neposkytuje žádný druh ochrany integrity ani důvěrnosti dat, používejte ji pouze v případě, že musíte podporovat software nebo síťová zařízení, jež nejsou kompatibilní s protokolem ESP nebo AH. |
Algoritmy
Pro počítače s touto verzí systému Windows jsou k dispozici následující algoritmy integrity. Některé z těchto algoritmů nejsou k dispozici v počítačích s jinými verzemi Windows. Pokud musíte vytvářet připojení chráněná protokolem IPsec u počítačů s dřívějšími verzemi Windows, použijte možnosti algoritmů, které jsou kompatibilní s dřívější verzí.
Další informace naleznete v článku
- AES-GMAC 256
- AES-GMAC 192
- AES-GMAC 128
- SHA-1
- MD5
Upozornění Algoritmus MD5 se již nepovažuje za bezpečný a měl by se používat jen pro zkušební účely nebo v případech, kdy vzdálený počítač nemůže použít bezpečnější algoritmus. Je poskytován pouze kvůli zpětné kompatibilitě.
Životnost klíče
Nastavení životnosti klíče určuje, kdy bude generován nový klíč. Životnost klíče umožňuje vynutit vygenerování nového klíče - po určité době nebo po odeslání určitého množství dat. Pokud komunikace trvá např. 100 minut a zadáte životnost klíče 10 minut, vygeneruje se během výměny dat 10 klíčů (každých 10 minut jeden klíč). Více klíčů zajistí, že pokud se útočníkovi podaří získat klíč k jedné části komunikace, nedojde k ohrožení celé komunikace.
 | Poznámka |
Toto opakované generování klíčů je určeno pouze pro zajištění integrity dat v rychlém režimu. Toto nastavení nemá vliv na nastavení životnosti klíče pro výměnu klíčů v hlavním režimu. |
Minuty
Pomocí tohoto nastavení můžete nakonfigurovat, jak dlouho (v minutách) vydrží klíč používaný v přidružení zabezpečení rychlého režimu. Po této době bude vygenerován nový klíč. V následné komunikaci se bude používat nový klíč.
Maximální životnost je 2 879 minut (48 hodin). Minimální životnost je 5 minut. Doporučujeme generovat nové klíče pouze tak často, jak to vyžaduje analýza rizik. Příliš časté generování klíčů může mít dopad na výkon.
kB
Pomocí tohoto nastavení můžete nakonfigurovat, kolik kilobajtů (kB) dat bude odesláno pomocí daného klíče. Po dosažení této prahové hodnoty se počitadlo vynuluje a bude vygenerován nový klíč. V následné komunikaci se bude používat nový klíč.
Maximální životnost je 2 147 483 647 kB. Minimální životnost je 20 480 kB. Doporučujeme generovat nové klíče pouze tak často, jak to vyžaduje analýza rizik. Příliš časté generování klíčů může mít dopad na výkon.