V tomto dialogovém okně lze přidávat, upravovat nebo odebírat kombinace algoritmů dostupných pro výměnu klíčů během vyjednávání hlavního režimu, nebo měnit jejich prioritu. Je možné zadat více kombinací algoritmů a určit pořadí, ve kterém budou uplatňovány. Bude použita první kombinace v seznamu, která je kompatibilní s oběma partnerskými počítači či zařízeními.
Poznámka | |
Nejlepší metodou je seřadit kombinace algoritmů od nejbezpečnější (nahoře) po nejméně bezpečnou (dole). Tak bude zajištěno, že mezi dvěma vyjednávajícími partnerskými počítači nebo zařízeními bude vždy použit nejbezpečnější dostupný algoritmus. Méně bezpečné algoritmy mohou být použity pro účely zpětné kompatibility. |
Postup pro zobrazení tohoto dialogového okna |
Na stránce modulu snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením konzoly MMC klikněte v části Přehled na položku Vlastnosti brány firewall.
Klikněte na kartu Nastavení protokolu IPsec.
Ve skupinovém rámečku Výchozí nastavení protokolu IPsec klikněte na tlačítko Přizpůsobit.
V části Výměna klíčů (hlavní režim) vyberte možnost Upřesnit a potom klikněte na tlačítko Přizpůsobit.
Metody zabezpečení
Metody zabezpečení představují kombinace algoritmů integrity a šifrovacích algoritmů, které zajišťují ochranu výměny klíčů. Můžete mít tolik kombinací, kolik potřebujete, a můžete je uspořádat do seznamu v upřednostňovaném pořadí. Kombinace jsou aplikovány v pořadí, v jakém jsou zobrazeny. Použije se první sada, na které se počítače obou stran dohodnou. Pokud partnerský počítač nemůže použít žádnou z definovaných kombinací, pokus o připojení se nezdaří.
Některé algoritmy jsou podporovány pouze v počítačích s touto verzí systému Windows. Další informace naleznete v článku
Chcete-li přidat kombinaci do seznamu, kliknutím na tlačítko Přidat otevřete dialogové okno Přidat nebo Upravit metodu zabezpečení.
Pokud chcete změnit pořadí v seznamu, vyberte kombinaci a klikněte na šipku nahoru nebo dolů.
Poznámka | |
Nejvhodnější je seřadit kombinace od nejbezpečnější (v seznamu nahoře) po nejméně bezpečnou (dole). Tím se zajistí, že bude použita metoda s nejvyšším zabezpečením, kterou počítače na obou stranách podporují. |
Životnost klíče
Nastavení životnosti klíče určuje, kdy bude generován nový klíč. Životnost klíče umožňuje vynutit vygenerování nového klíče - po určité době nebo poté, co je pomocí aktuálního klíče uskutečněna ochrana zadaného počtu relací. Použití více klíčů zajistí, že pokud se útočníkovi podaří získat přístup k jednomu klíči, je exponováno pouze malé množství informací, než je vygenerován nový klíč a síťové přenosy jsou opět chráněny. Lze zadat dobu životnosti jak v minutách, tak v počtech relací. Použije se hranice, která bude dosažena nejdříve, a vygeneruje se nový klíč.
Poznámka | |
Toto opakované generování klíčů je určeno pouze pro výměnu klíčů v hlavním režimu. Toto nastavení nemá vliv na nastavení životnosti klíče pro ochranu dat v rychlém režimu. |
Minuty
Pomocí tohoto nastavení můžete nakonfigurovat, jak dlouho (v minutách) vydrží klíč používaný v přidružení zabezpečení hlavního režimu. Po této době je vygenerován nový klíč. Následující relace hlavního režimu použijí tento nový klíč.
Maximální životnost je 2 879 minut (48 hodin). Minimální životnost je 1 minuta. Doporučujeme generovat nové klíče pouze tak často, jak to vyžaduje analýza rizik. Příliš časté generování klíčů může mít dopad na výkon.
Relace
Relace je jasně odlišená zpráva nebo sada zpráv, které jsou chráněny přidružením zabezpečení rychlého režimu. Toto nastavení určuje, kolik relací generování klíčů v rychlém režimu lze chránit pomocí stejných informací o klíči hlavního režimu. Po dosažení této prahové hodnoty se počitadlo vynuluje a bude vygenerován nový klíč. V následné komunikaci se bude používat nový klíč. Maximální hodnota je 2 147 483 647 relací. Minimální hodnota je 0 relací.
Nulová (0) hranice relací zajišťuje, že generování nového klíče bude určeno pouze nastavením Životnost klíče v minutách.
Při nastavení výrazně odlišné životnosti klíčů pro hlavní režim a klíče rychlého režimu postupujte s rozvahou. Například nastavení životnosti klíče hlavního režimu na 8 hodin a životnosti klíčů v rychlém režimu na 2 hodiny by mohlo ponechat přidružení zabezpečení rychlého režimu v platnosti po dobu téměř 2 hodin po vypršení platnosti přidružení zabezpečení hlavního režimu. Tato situace nastane, pokud je přidružení zabezpečení rychlého režimu vygenerováno bezprostředně před vypršením platnosti přidružení zabezpečení hlavního režimu.
Důležité informace | |
Čím vyšší bude počet povolených relací pro klíč hlavního režimu, tím větší je šance, že klíč hlavního režimu bude odhalen. Pokud chcete omezit počet opakovaných použití, můžete zadat limit počtu použití klíčů rychlého režimu. |
Zabezpečení - Poznámka | |
Chcete-li konfigurovat metodu PFS (Perfect Forward Secrecy) v hlavním režimu, nastavte hodnotu Životnost klíče v relacích na 1. Tato konfigurace zajišťuje významné zvýšení ochrany, nese však s sebou také výrazně vyšší požadavky na výpočetní výkon a zatížení sítě. Při každé nové relaci v rychlém režimu je znovu vygenerován materiál pro klíče hlavního režimu, což přináší nutnost opakovaného ověření příslušných dvou počítačů. Doporučujeme povolit metodu PFS pouze v prostředích, kde mohou být přenosy protokolu IPsec vystaveny rafinovaným útočníkům, kteří se mohou pokusit prolomit silnou kryptografickou ochranu zajišťovanou protokolem IPsec. |
Možnosti výměny klíčů
Při výměně klíčů použít algoritmus Diffie-Hellman pro rozšířené zabezpečení
Systém Windows Vista a novější verze systému Windows podporují kromě protokolu IKE (Internet Key Exchange) navíc protokol AuthIP (Authenticated IP), který umožňuje vytvořit počáteční zabezpečené připojení, ve kterém je vyjednána zbývající část parametrů protokolu IPsec. Protokol IKE používá k výměně dat pouze algoritmus Diffie-Hellman. Při použití protokolu AuthIP není vyžadován protokol pro výměnu klíčů pomocí algoritmu Diffie-Hellman. Namísto toho je při požadavku na ověřování protokolem Kerberos verze 5 použit místo hodnoty algoritmu Diffie-Hellman tajný klíč lístku služby protokolu Kerberos verze 5. V případě požadavku na ověření pomocí certifikátu nebo ověření protokolem NTLM je vytvořena relace protokolu TLS (Transport Level Security) a její tajný klíč je použit místo hodnoty algoritmu Diffie-Hellman.
Pokud zaškrtnete toto políčko, proběhne výměna dat prostřednictvím algoritmu Diffie-Hellman, bez ohledu na vybraný typ ověřování, a k zabezpečení zbývající části vyjednávání protokolu IPsec je použit tajný klíč algoritmu Diffie-Hellman. Použijte je v případě, že požadavky předpisů stanovují nutnost použití algoritmu Diffie-Hellman při výměně dat.