V tomto dialogovém okně lze konfigurovat nabídku algoritmů zahrnující jak integritu dat, tak důvěrnost dat (šifrování), která je k dispozici při vyjednávání přidružení zabezpečení rychlého režimu. Je nutné určit protokol a algoritmus sloužící k ochraně integrity dat v síťovém paketu.

Protokol IPsec (Internet Protocol security) zajišťuje integritu výpočtem hodnoty hash z dat v síťovém paketu. Hodnota hash je poté kryptograficky podepsána (zašifrována) a vložena do IP paketu. Přijímající počítač vypočítá pomocí stejného algoritmu hodnotu hash a porovná výsledek výpočtu s hodnotou hash, která je vložena v přijatém paketu. Pokud se obě hodnoty shodují, je přijatá informace přesně stejná jako informace odeslaná - a paket je přijat. Nejsou-li hodnoty stejné, je paket zahozen.

Při použití šifrované hodnoty hash u přenášené zprávy je nemožné výpočetně tuto zprávu změnit tak, aby obě hodnoty hash zůstaly stejné. To je rozhodující při přenosech dat přes nezabezpečenou síť, jako je internet, protože tak lze zjistit, zda během přenosu nedošlo ke změně zprávy.

Kromě ochrany integrity lze v tomto dialogovém okně zadat šifrovací algoritmus, který zabraňuje přečtení dat v případě, že je síťový paket během přenosu zachycen.

Postup pro zobrazení tohoto dialogového okna
  1. Na stránce modulu snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením konzoly MMC klikněte v části Přehled na položku Vlastnosti brány firewall.

  2. Klikněte na kartu Nastavení protokolu IPsec.

  3. Ve skupinovém rámečku Výchozí nastavení protokolu IPsec klikněte na tlačítko Přizpůsobit.

  4. V části Ochrana dat (rychlý režim) vyberte možnost Upřesnit a potom klikněte na tlačítko Přizpůsobit.

  5. Ve skupinovém rámečku Integrita a šifrování dat vyberte v seznamu kombinaci algoritmu a klikněte na tlačítko Upravit nebo Přidat.

Protokol

Pro vkládání informací o integritě a šifrování do paketů IP se používají následující protokoly.

ESP (doporučeno)

Protokol ESP (Encapsulating Security Payload) zajišťuje utajení datové části IP (včetně ověření, integrity a znemožnění reprodukce). Protokol ESP v transportním režimu nepodepisuje celý paket. Chráněna je jen datová část protokolu IP, nikoli hlavička IP. Protokol ESP lze použít samostatně nebo v kombinaci s protokolem AH (Authentication Header). Při použití protokolu ESP je do výpočtu hodnoty hash zahrnuta jen hlavička, koncová a datová část protokolu ESP. Protokol ESP poskytuje služby utajení pomocí šifrování datové části ESP jedním z podporovaných šifrovacích algoritmů. Služby pro reprodukci paketu se zajišťují prostřednictvím pořadového čísla zahrnutého do každého paketu.

ESP a AH

Tato možnost slučuje zabezpečení pomocí protokolu ESP s protokolem AH. Protokol AH zajišťuje ověření, integritu a ochranu proti reprodukci celého paketu (v paketu se přenáší hlavička i datová část protokolu IP).

Důležité informace

Protokol AH není slučitelný s překladem síťové adresy (NAT), protože zařízení NAT potřebují změnit informace v hlavičkách paketů. Chcete-li umožnit, aby přenosy založené na protokolu IPsec procházely zařízením NAT, je nutné zajistit v účastnických počítačích protokolu IPsec podporu rozhraní NAT Traversal (NAT-T).

Algoritmy

Šifrovací algoritmus

Pro počítače s touto verzí systému Windows jsou k dispozici následující šifrovací algoritmy. Některé z těchto algoritmů nejsou k dispozici v počítačích s dřívějšími verzemi systému Windows. Pokud musíte vytvářet připojení chráněná protokolem IPsec u počítačů s dřívějšími verzemi Windows, použijte možnosti algoritmů, které jsou kompatibilní s dřívější verzí.

Další informace naleznete v článku Algoritmy protokolu IPsec a metody podporované v systému Windows (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

Zabezpečení - Poznámka

Použití algoritmu DES nedoporučujeme. Je poskytován pouze kvůli zpětné kompatibilitě.

Poznámka

Pokud zadáte pro šifrování algoritmus AES-GCM, je třeba zadat stejný algoritmus pro integritu.

Algoritmus integrity

Pro počítače s touto verzí systému Windows jsou k dispozici následující algoritmy integrity. Některé z těchto algoritmů nejsou k dispozici v počítačích s jinými verzemi Windows. Pokud musíte vytvářet připojení chráněná protokolem IPsec u počítačů s dřívějšími verzemi Windows, použijte možnosti algoritmů, které jsou kompatibilní s dřívější verzí.

Další informace naleznete v článku Algoritmy protokolu IPsec a metody podporované v systému Windows (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

Zabezpečení - Poznámka

Použití algoritmu MD5 nedoporučujeme. Je poskytován pouze kvůli zpětné kompatibilitě.

Poznámka

Pokud zadáte pro integritu algoritmus AES-GCM, je třeba zadat stejný algoritmus pro šifrování.

Životnost klíče

Nastavení životnosti klíče určuje, kdy bude generován nový klíč. Životnost klíče umožňuje vynutit vygenerování nového klíče - po určité době nebo po odeslání určitého množství dat. Pokud komunikace trvá například 100 minut a zadáte životnost klíče 10 minut, vygeneruje se během výměny dat 10 klíčů (každých 10 minut jeden klíč). Více klíčů zajistí, že pokud se útočníkovi podaří získat klíč k jedné části komunikace, nedojde k ohrožení celé komunikace.

Poznámka

Toto opakované generování klíčů je určeno pro zajištění integrity a šifrování dat v rychlém režimu a nemá vliv na nastavení životnosti klíče pro výměnu klíčů v hlavním režimu.

Minuty

Pomocí tohoto nastavení můžete nakonfigurovat, jak dlouho (v minutách) vydrží klíč používaný v přidružení zabezpečení rychlého režimu. Po této době bude vygenerován nový klíč. V následné komunikaci se bude používat nový klíč.

Maximální životnost je 2 879 minut (48 hodin). Minimální životnost je 5 minut. Doporučujeme generovat nové klíče pouze tak často, jak to vyžaduje analýza rizik. Příliš časté generování klíčů může mít dopad na výkon.

kB

Pomocí tohoto nastavení můžete nakonfigurovat, kolik kilobajtů (kB) dat bude odesláno pomocí daného klíče. Po dosažení této prahové hodnoty se počitadlo vynuluje a bude vygenerován nový klíč. V následné komunikaci se bude používat nový klíč.

Maximální životnost je 2 147 483 647 kB. Minimální životnost je 20 480 kB. Doporučujeme generovat nové klíče pouze tak často, jak to vyžaduje analýza rizik. Příliš časté generování klíčů může mít dopad na výkon.

Další odkazy


Obsah