Mit diesem Dialogfeld können Sie ein Datenintegritätsalgorithmus-Angebot konfigurieren, das beim Aushandeln von Schnellmodus-Sicherheitszuordnungen verfügbar ist. Sie müssen sowohl das Protokoll als auch den Algorithmus definieren, das bzw. der verwendet wird, um die Integrität der Daten im Netzwerkpaket zu schützen.

IPsec (Internet Protocol Security, Internetprotokollsicherheit) stellt die Integrität sicher, indem ein aus den Daten im Netzwerkpaket generierter Hash berechnet wird. Anschließend wird der Hash kryptografisch signiert (verschlüsselt) und in das IP-Paket eingebettet. Der empfangende Computer verwendet denselben Algorithmus, um den Hash zu berechnen, und vergleicht das Ergebnis mit dem Hash, der in das empfangene Paket eingebettet ist. Stimmen die Hashs überein, entsprechen die empfangenen Informationen exakt den gesendeten Informationen, und das Paket wird akzeptiert. Stimmen sie nicht überein, wird das Paket verworfen.

Die Verwendung eines verschlüsselten Hashs der übertragenen Nachricht macht es rechnerisch unmöglich, die Nachricht zu ändern, ohne dass es zu einer Abweichung des Hashs kommt. Dies ist entscheidend, wenn Daten über ein nicht gesichertes Netzwerk, z. B. das Internet, ausgetauscht werden, da es eine Möglichkeit bietet, sich zu vergewissern, dass die Nachricht während der Übertragung nicht geändert wurde.

So öffnen Sie dieses Dialogfeld

  1. Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen unter Übersicht auf Windows-Firewalleigenschaften.

  2. Klicken Sie auf die Registerkarte IPsec-Einstellungen.

  3. Klicken Sie unter IPsec-Standardeinstellungen auf Anpassen.

  4. Wählen Sie unter Datenschutz (Schnellmodus) die Option Erweitert aus, und klicken Sie dann auf Anpassen.

  5. Wählen Sie unter Datenintegrität eine Algorithmuskombination aus der Liste aus, und klicken Sie dann auf Bearbeiten oder Hinzufügen.

Protokoll

Mithilfe der folgenden Protokolle werden die Integritätsinformationen in ein IP-Paket eingebettet.

ESP (empfohlen)

ESP bietet Authentifizierung, Integritäts- und Anti-Replay-Schutz für die IP-Nutzdaten. Wird ESP im Transportmodus verwendet, wird nicht das gesamte Paket signiert. Nur die IP-Nutzdaten (nicht der IP-Header) sind geschützt. ESP kann einzeln oder in Kombination mit AH verwendet werden. Bei ESP umfasst die Berechnung des Hashs den ESP-Header und -Nachspann und die Nutzdaten. ESP kann optional Dienste für Datenvertraulichkeit bieten, indem die ESP-Nutzdaten mit einem der verschiedenen unterstützten Verschlüsselungsalgorithmen verschlüsselt werden. Durch das Hinzufügen einer Sequenznummer zu jedem Paket werden Paketwiedergabedienste bereitgestellt.

AH

AH bietet Authentifizierung, Integrität und Anti-Replay für das gesamte Paket (d. h. sowohl für den IP-Header als auch für die im Paket enthaltenen Daten). Es wird jedoch keine Vertraulichkeit gewährleistet, d.h., die Daten werden nicht verschlüsselt. Die Daten sind lesbar, können jedoch nicht geändert werden. Einige Felder, die während der Übermittlung verändert werden dürfen, sind von der Hashberechnung ausgenommen. Durch das Einbinden einer Sequenznummer für jedes Paket werden Paketwiedergabedienste bereitgestellt.

Wichtig

Das AH-Protokoll ist nicht mit der Netzwerkadressübersetzung (Network Address Translation, NAT) kompatibel, da NAT-Geräte Informationen in einigen Paketheadern ändern, die in den Integritätshash eingeschlossen sind. Damit IPsec-basierter Datenverkehr ein NAT-Gerät passieren kann, müssen Sie ESP verwenden und sicherstellen, dass NAT-T (NAT-Traversal) auf den IPsec-Peercomputern aktiviert ist.

Nullkapselung

Mit der Nullkapselung geben Sie an, dass Sie für den Netzwerkverkehr keinen Integritäts- oder Verschlüsselungsschutz verwenden möchten. Die Authentifizierung erfolgt weiterhin gemäß den Verbindungssicherheitsregeln; für die Netzwerkpakete, die über diese Sicherheitszuordnung ausgetauscht werden, wird jedoch kein weiterer Schutz bereitgestellt.

Sicherheit Hinweis

Da diese Option überhaupt keinen Integritäts- oder Vertraulichkeitsschutz bietet, empfiehlt es sich, diese Option nur dann zu verwenden, wenn Sie Software oder Netzwerkgeräte unterstützen müssen, die nicht mit ESP oder AH kompatibel sind.

Algorithmen

Für Computer, auf denen diese Version von Windows ausgeführt wird, sind die folgenden Integritätsalgorithmen verfügbar. Einige dieser Algorithmen sind für Computer, auf denen andere Windows-Versionen ausgeführt werden, nicht verfügbar. Wenn Sie IPsec-geschützte Verbindungen mit einem Computer herstellen müssen, auf dem eine frühere Version von Windows ausgeführt wird, müssen Sie Algorithmusoptionen angeben, die mit der früheren Version kompatibel sind.

Weitere Informationen finden Sie im Thema zu IPsec-Algorithmen und -Methoden, die in Windows unterstützt werden (möglicherweise in englischer Sprache) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    Vorsicht

    MD5 wird nicht mehr als sicher eingestuft und sollte nur zu Testzwecken oder in Fällen verwendet werden, in denen der Remotecomputer keinen sichereren Algorithmus unterstützt. Er wird nur noch aus Gründen der Abwärtskompatibilität bereitgestellt.

Schlüsselgültigkeitsdauer

Einstellungen der Gültigkeitsdauer legen den Zeitpunkt fest, zu dem ein neuer Schlüssel erzeugt wird. Die Schlüsselgültigkeitsdauer ermöglicht die erzwungene Generierung neuer Schlüssel nach einer bestimmten Zeitspanne oder nach der Übertragung einer bestimmten Datenmenge. Wenn eine Kommunikation z. B. 100 Minuten dauert und die Schlüsselgültigkeitsdauer zehn Minuten beträgt, müssen während des Austauschs zehn Schlüssel erzeugt werden, also alle zehn Minuten ein Schlüssel. Die Verwendung mehrerer Schlüssel stellt sicher, dass nicht die gesamte Kommunikation offen gelegt wird, selbst wenn es ein Angreifer schaffen sollte, den Schlüssel eines Teiles der Kommunikation zu erhalten.

Hinweis

Diese Schlüsselneugenerierung betrifft nur die Datenintegrität im Schnellmodus. Diese Einstellungen haben keine Auswirkungen auf die Einstellungen für die Schlüsselgültigkeitsdauer, die den Schlüsselaustausch im Hauptmodus betreffen.

Minuten

Mit dieser Einstellung können Sie festlegen, wie lange (in Minuten) der in Schnellmodus-Sicherheitszuordnungen verwendete Schlüssel bestehen bleibt. Nach dieser Zeitspanne wird ein neuer Schlüssel generiert. Alle darauf folgende Kommunikation verwendet den neuen Schlüssel.

Der Höchstwert beträgt 2.879 Minuten (48 Stunden). Der Mindestwert beträgt 5 Minuten. Es wird empfohlen, Schlüssel nur so oft neu zu erstellen, wie es, basierend auf der Risikoanalyse, erforderlich ist. Eine übertrieben häufige Schlüsselneuerstellung kann sich nachteilig auf die Leistung auswirken.

KB

Mit dieser Einstellung können Sie festlegen, wie viele Kilobytes (KB) an Daten mithilfe des Schlüssels gesendet werden können. Wenn dieser Schwellenwert erreicht ist, wird der Zähler zurückgesetzt und der Schlüssel neu erstellt. Alle darauf folgende Kommunikation verwendet den neuen Schlüssel.

Der Höchstwert beträgt 2.147.483.647 KB. Der Mindestwert beträgt 20.480 KB. Es wird empfohlen, Schlüssel nur so oft neu zu erstellen, wie es, basierend auf der Risikoanalyse, erforderlich ist. Eine übertrieben häufige Schlüsselneuerstellung kann sich nachteilig auf die Leistung auswirken.

Siehe auch

Inhaltsverzeichnis