Akce filtru definuje požadavky zabezpečení přenosu dat. Akce filtru lze definovat buď po vytvoření zásad nebo před tím. Seznamy filtrů jsou k dispozici pro libovolnou zásadu. Chcete-li definovat seznam filtrů, klikněte pravým tlačítkem na uzel Zásad zabezpečení IP a zvolte možnost Správa seznamu filtrů a akcí filtru.
Akci filtru lze konfigurovat pro:
Povolení přenosu
Zabezpečení protokolu IP (IPsec) předává tento přenos do ovladače TCP/IP a naopak bez modifikace nebo požadavku na zabezpečení. To je vhodné pro přenos z počítačů, které nejsou vybaveny zabezpečením IPsec. Nezapomeňte omezit rozsah seznamu filtrů IP na minimum, pokud používáte tento typ akce filtru, abyste nepovolili přenos, který by měl být zabezpečen.
Zvažte povolení přenosů ICMP pro účely řešení potíží. Můžete také potřebovat umožnit počítači, který není ve vaší doméně (například počítač vašeho poradce), přístup k jinému počítači ve vaší doméně. Pro umožnění tohoto přístupu můžete použít akci filtru povolení.
 | Důležité informace |
Akce filtru povolení umožňuje přístup bez ověření, integrity dat nebo šifrování. Každému, kdo používá počítač s IP adresou určenou v seznamu filtru, je umožněn přístup. Veškeré přenosy mezi počítači jsou prováděny v prostém textu a neprovádějí se žádné kontroly integrity. |
Blokování přenosu
IPsec tiše ruší blokovaný přenos. Pokud použijete akci filtru blokování, musíte použít seznam filtru IP, který definuje správný rozsah IP adres. Použití většího rozsahu zvyšuje možnost zablokování přenosu mezi platnými počítači.
Vyjednání zabezpečení
Pokud aktivujete možnost Přijmout nezabezpečenou komunikaci, ale vždy reagovat možností IPSec, IPsec se pokusí vyjednat zabezpečovací asociace (přidružení zabezpečení) a odesílání nebo přijímání přenosů chráněných IPsec. Avšak pokud jiný počítač nemůže IPsec používat, bude komunikace povolena bez ochrany IPsec. Jakmile zvolíte tuto akci filtru, můžete také konfigurovat následující:
- Metody zabezpečení a jejich pořadí. Tento seznam metod definuje, v jakém pořadí budou metody uplatněny. První úspěšná metoda bude použita a zbývající metody nebudou uplatněny. Tento seznam by měl být uspořádán od nejvyššího po nejnižší zabezpečení, aby byla použita nejbezpečnější metoda.
- Přijetí počátečních příchozích nezabezpečených přenosů (Přijmout nezabezpečenou komunikaci, ale vždy reagovat aplikací IPSec). IPsec povolí příchozí paket, který odpovídá nakonfigurovanému seznamu filtru pro nezabezpečené přenosy (tj. přenosy nechráněné IPsec). Avšak odchozí reakce na příchozí paket musí být zabezpečena. Toto nastavení je užitečné, pokud používáte standardní pravidlo reakce pro klienty. Pokud bude skupina serverů nakonfigurována pravidlem, které zabezpečuje komunikaci s libovolnou IP adresou a přijímá nezabezpečenou komunikaci, na kterou reaguje pouze zabezpečenou komunikací, pak aktivace standardního pravidla reakce na klientských počítačích zajistí, že klienti budou reagovat na požadavek serveru na vyjednání zabezpečení. Chcete-li zabránit odmítnutím služby, musíte tuto možnost deaktivovat pro zabezpečené počítače připojené k Internetu.
- Umožnění komunikace s počítači, které nemají ochranu IPsec (Umožnit nezabezpečenou komunikaci, pokud nelze zajistit zabezpečené spojení). IPsec se uchýlí k nezabezpečené komunikaci, pokud to bude nutné. Opět byste měli omezit seznam IP filtru na minimum. Jinak pokud vyjednávání z nějakého důvodu selže, jakákoliv komunikace ovlivněná tímto pravidlem by mohla mít za následek odeslání dat bez zabezpečení. Pokud máte obavy, že by mohlo dojít k nezabezpečené komunikaci, můžete zvážit deaktivaci těchto nastavení. Avšak komunikace s počítači, které nemohou spustit IPsec, jako jsou starší verze systémů, by mohla být zablokována. Chcete-li zabránit odmítnutím služby, musíte tuto možnost deaktivovat pro zabezpečené počítače připojené k Internetu.
- Generování klíčů relace v rychlém režimu z nových materiálů v hlavním režimu (Klíč relace PFS (dokonalé utajení přeposílání)). Aktivace klíče relace PFS zajistí, že hlavní klíč v hlavním režimu nemůže být použit pro odvození víc než jednoho klíče relace v rychlém režimu. Jakmile je aktivován klíč relace PFS v rychlém režimu, provede se výměna nového klíče Diffie-Hellman pro vytvoření nového materiálu hlavního klíče v hlavním režimu před vytvořením nového klíče relace. Klíč relace (rychlý režim) PFS nevyžaduje opakované ověření hlavního režimu a využívá méně zdrojů než hlavní klíč (hlavní režim) PFS.
Metody zabezpečení IPsec
Každá metoda zabezpečení definuje požadavky na zabezpečení jakékoliv komunikace, na kterou se vztahuje připojené pravidlo. Vytvoření více metod zabezpečení zvyšuje pravděpodobnost, že oba počítače naleznou metodu, která jim bude společná. Vyjednávání výměny klíčů po Internetu (IKE) čte seznam metod zabezpečení v sestupném pořadí a odesílá seznam povolených metod zabezpečení druhému počítači. Je zvolena první metoda, kterou mají počítače společnou. Tento seznam běžně začíná nejbezpečnějšími metodami a nejméně bezpečné metody jsou na jeho konci.
Předem definované metody zabezpečení
Toto jsou předem definované metody zabezpečení:
Šifrování a integrita
Používá protokol ESP pro zajištění důvěrnosti dat (šifrování) pomocí algoritmu trojité Normy šifrování dat (3DES), integrity dat a ověřování Algoritmem zabezpečení Hash 1 (SHA1), a pomocí standardní životnosti klíčů (100 megabytů (MB), 1 hodina). Pokud požadujete jak ochranu dat, tak ochranu adres (hlaviček IP), můžete vytvořit uživatelskou metodu zabezpečení. Pokud nepožadujete šifrování, používejte jen integritu.
Pouze integrita
Používá ESP protokol pro zajištění integrity dat a ověření pomocí algoritmu integrity SHA1 a standardní životnosti klíčů (100 MB, 1 hodina). V této konfiguraci nezajišťuje ESP důvěrnost dat (šifrování).
Uživatelské metody zabezpečení
Pokud předem daná nastavení možností Šifrování a integrita nebo Pouze integrita nesplňují požadavky na zabezpečení, můžete určit uživatelské metody zabezpečení. Například můžete použít uživatelské metody, když je třeba určit integritu šifrování a adresy, silnější algoritmy nebo delší životnost klíčů. Pokud konfigurujete uživatelskou metodu zabezpečení, můžete konfigurovat následující:
Protokoly zabezpečení
Pokud požadujete integritu hlavičky IP a šifrování dat, lze aktivovat AH (integrita dat a adresy bez šifrování) a ESP (integrita a šifrování dat) pro vytvoření uživatelské metody zabezpečení. Pokud se rozhodnete aktivovat oboje, nemusíte určovat algoritmus integrity pro ESP.
 | Poznámka |
Protokol AH nelze používat pro převod síťové adresy (NAT), protože používá hash hlavičky. NAT mění hlavičku a paket se správně neověří. |
Algoritmus integrity
Výtah ze zprávy 5 (MD5), který používá 128 bitový klíč. Tento algoritmus není již považován za zabezpečený a měl by být používán pouze pokud jeho použití vyžaduje interoperabilita.
SHA1, který používá 160 bitový klíč. SHA1 je silnější hash než MD5 a je kompatibilní s Federální normou pro zpracování informací (FIPS).
Šifrovací algoritmus
3DES je nejbezpečnější kombinace DES a je poněkud pomalejší. 3DES zpracovává každý blok třikrát pomocí tří jedinečných 56 bitových klíčů.
DES používá jediný 56 bitový klíč a používá se tehdy, pokud není požadováno vyšší zabezpečení a 3DES. Tento algoritmus není již považován za zabezpečený a měl by být používán pouze pokud jeho použití vyžaduje interoperabilita.
Nastavení klíče relace (rychlý režim) určuje, kdy a nikoliv jak se bude generovat nový klíč. Životnost klíče můžete určit v kilobajtech (KB), v sekundách nebo obojím způsobem. Například pokud komunikace trvá 10 000 sekund a vy určíte životnost klíče na 1 000 sekund, bude pro dokončení přenosu generováno 10 klíčů. To zajistí, že i když útočník dokáže určit jeden klíč relace a dešifrovat část komunikace, nedokáže dešifrovat celou komunikaci. Standardně se nové klíče relace v rychlém režimu generují pro každých 100 MB dat každou hodinu. Kdykoliv je dosaženo konce životnosti klíče, přidružení zabezpečení, je kromě jeho obnovení tento klíč také znovu vyjednán.
 | Vytvoření akce filtru pomocí dialogu Vlastnosti nového pravidla |
Pokud chcete v dialogu vlastností vytvořit akci filtru, pak na kartě Pravidla dialogu Vlastnosti zásad zabezpečení IP odstraňte zaškrtnutí políčka Použít průvodce přidávání . Pokud chcete průvodce použít, nechte toto políčko zaškrtnuté. Klikněte na tlačítko Přidat. Následující pokyny se týkají vytvoření seznamu filtru pomocí dialogu.
Na kartě Akce filtru dialogu Vlastnosti zásad odstraňte volbu Použít průvodce přidávání a klikněte na tlačítko Přidat.
Na kartě Metody zabezpečení zvolte metodu (akci), kterou bude pravidlo používat.
(Nebo) Na kartě Popis napište popis akce filtru. Tento popis může pomoci vybrat akce filtru a umožňuje rychle určit akci bez nutnosti otevírat její vlastnosti.
Klikněte na tlačítko OK.
Kroky 4 až 8 opakujte pro přidání dalších akcí filtru do seznamu.
Poznámka I když toto pravidlo může do seznamu zařadit několik akcí filtru, pro každé pravidlo lze použít pouze jednu.
Na kartě Akce filtru vyberte příslušnou akci filtru pro dané pravidlo a klikněte na tlačítko OK.
| Tvorba akce filtru pomocí dialogu Správa seznamu filtru a akcí filtru |
Klikněte pravým tlačítkem na uzel Zásady zabezpečení IP a zvolte možnost Správa seznamu filtru a akcí filtru.
Pokud chcete vytvořit akci filtru pomocí dialogu vlastností, pak na kartě Správa akcí filtru odstraňte zaškrtnutí políčka Použít průvodce přidávání . Pokud chcete průvodce použít, nechte toto políčko zaškrtnuté. Klikněte na tlačítko Přidat. Následující pokyny se týkají vytvoření seznamu filtru pomocí dialogu. Pokyny uvedené níže nepoužívají průvodce.
Na kartě Metody zabezpečení zvolte metodu a klikněte na tlačítko OK.
Pokud jste vybrali možnost Vyjednat zabezpečení, můžete přidat více metod a určit pořadí, v jakém budou uplatňovány. V tomto případě klikněte na tlačítko Přidat.
(Nepovinné) Na kartě Popis napište popis filtru. Tento popis může pomoci vybrat filtr a umožňuje rychle určit filtr bez nutnosti otevírat jeho vlastnosti.
Klikněte na tlačítko OK.
Kroky 4 až 8 opakujte pro přidání dalších vlastností do seznamu.