Mit diesem Dialogfeld können Sie ein Algorithmusangebot konfigurieren, das sowohl Datenintegrität als auch Datenvertraulichkeit (Verschlüsselung) einschließt und beim Aushandeln von Schnellmodus-Sicherheitszuordnungen verfügbar ist. Sie müssen sowohl das Protokoll als auch den Algorithmus definieren, das bzw. der verwendet wird, um die Integrität der Daten im Netzwerkpaket zu schützen.

IPsec (Internet Protocol Security, Internetprotokollsicherheit) stellt die Integrität sicher, indem ein aus den Daten im Netzwerkpaket generierter Hash berechnet wird. Anschließend wird der Hash kryptografisch signiert (verschlüsselt) und in das IP-Paket eingebettet. Der empfangende Computer verwendet denselben Algorithmus, um den Hash zu berechnen, und vergleicht das Ergebnis mit dem Hash, der in das empfangene Paket eingebettet ist. Stimmen die Hashs überein, entsprechen die empfangenen Informationen exakt den gesendeten Informationen, und das Paket wird akzeptiert. Stimmen sie nicht überein, wird das Paket verworfen.

Die Verwendung eines verschlüsselten Hashs der übertragenen Nachricht macht es rechnerisch unmöglich, die Nachricht zu ändern, ohne dass es zu einer Abweichung des Hashs kommt. Dies ist entscheidend, wenn Daten über ein nicht gesichertes Netzwerk, z. B. das Internet, ausgetauscht werden, und es bietet eine Möglichkeit, sich zu vergewissern, dass die Nachricht während der Übertragung nicht geändert wurde.

Zusätzlich zum Integritätsschutz können Sie in diesem Dialogfeld einen Verschlüsselungsalgorithmus angeben. Dieser Algorithmus trägt dazu bei, das Lesen der Daten zu verhindern, wenn das Netzwerkpaket während der Übertragung abgefangen wird.

So öffnen Sie dieses Dialogfeld
  1. Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen unter Übersicht auf Windows-Firewalleigenschaften.

  2. Klicken Sie auf die Registerkarte IPsec-Einstellungen.

  3. Klicken Sie unter IPsec-Standardeinstellungen auf Anpassen.

  4. Wählen Sie unter Datenschutz (Schnellmodus) die Option Erweitert aus, und klicken Sie dann auf Anpassen.

  5. Wählen Sie unter Datenintegrität und -verschlüsselung eine Algorithmuskombination aus der Liste aus, und klicken Sie dann auf Bearbeiten oder Hinzufügen.

Protokoll

Mithilfe der folgenden Protokolle werden die Integritäts- und Verschlüsselungsinformationen in ein IP-Paket eingebettet.

ESP (empfohlen)

Encapsulating Security Payload (ESP) bietet neben Authentifizierung, Integrität und Anti-Replay zusätzlich auch Vertraulichkeit für die IP-Nutzdaten. Bei ESP im Transportmodus wird nicht das gesamte Paket signiert. Nur die IP-Nutzdaten (nicht der IP-Header) sind geschützt. ESP kann einzeln oder in Kombination mit AH (Authentication Header) verwendet werden. Bei ESP umfasst die Berechnung des Hashs den ESP-Header und -Nachspann und die Nutzdaten. ESP bietet Dienste für Datenvertraulichkeit, indem die ESP-Nutzdaten mit einem der unterstützten Verschlüsselungsalgorithmen verschlüsselt werden. Durch das Hinzufügen einer Sequenznummer zu jedem Paket werden Paketwiedergabedienste bereitgestellt.

ESP und AH

Diese Option kombiniert die Sicherheit des ESP- und des AH-Protokolls. AH bietet Authentifizierung, Integrität und Anti-Replay für das gesamte Paket (d.h. sowohl für den IP-Header als auch für die im Paket enthaltenen Daten).

Wichtig

Das AH-Protokoll ist nicht mit der Netzwerkadressübersetzung (NAT, Network Address Translation) kompatibel, da NAT-Geräte Informationen in den Paketheadern austauschen müssen. Damit IPsec-basierter Datenverkehr ein NAT-Gerät passieren kann, müssen Sie sicherstellen, dass NAT-Traversal (NAT-T) auf den IPsec-Peercomputern unterstützt wird.

Algorithmen

Verschlüsselungsalgorithmus

Für Computer, auf denen diese Version von Windows ausgeführt wird, sind die folgenden Verschlüsselungsalgorithmen verfügbar. Einige dieser Algorithmen sind für Computer, auf denen frühere Windows-Versionen ausgeführt werden, nicht verfügbar. Wenn Sie IPsec-geschützte Verbindungen mit einem Computer herstellen müssen, auf dem eine frühere Version von Windows ausgeführt wird, müssen Sie Algorithmusoptionen angeben, die mit der früheren Version kompatibel sind.

Weitere Informationen finden Sie im Thema zu IPsec-Algorithmen und -Methoden, die in Windows unterstützt werden (möglicherweise in englischer Sprache) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

Sicherheit Hinweis

Es wird empfohlen, DES nicht zu verwenden. Er wird nur noch aus Gründen der Abwärtskompatibilität bereitgestellt.

Hinweis

Wenn Sie einen AES-GCM-Algorithmus für die Verschlüsselung angeben, müssen Sie denselben Algorithmus für die Integrität angeben.

Integritätsalgorithmus

Für Computer, auf denen diese Version von Windows ausgeführt wird, sind die folgenden Integritätsalgorithmen verfügbar. Einige dieser Algorithmen sind für Computer, auf denen andere Windows-Versionen ausgeführt werden, nicht verfügbar. Wenn Sie IPsec-geschützte Verbindungen mit einem Computer herstellen müssen, auf dem eine frühere Version von Windows ausgeführt wird, müssen Sie Algorithmusoptionen angeben, die mit der früheren Version kompatibel sind.

Weitere Informationen finden Sie im Thema zu IPsec-Algorithmen und -Methoden, die in Windows unterstützt werden (möglicherweise in englischer Sprache) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

Sicherheit Hinweis

Es wird empfohlen, MD5 nicht zu verwenden. Er wird nur noch aus Gründen der Abwärtskompatibilität bereitgestellt.

Hinweis

Wenn Sie einen AES-GCM-Algorithmus für die Integrität angeben, müssen Sie denselben Algorithmus für die Verschlüsselung angeben.

Schlüsselgültigkeitsdauer

Einstellungen der Gültigkeitsdauer legen den Zeitpunkt fest, zu dem ein neuer Schlüssel erzeugt wird. Die Schlüsselgültigkeitsdauer ermöglicht die erzwungene Generierung neuer Schlüssel nach einer bestimmten Zeitspanne oder nach der Übertragung einer bestimmten Datenmenge. Wenn eine Kommunikation z. B. 100 Minuten dauert und die Schlüsselgültigkeitsdauer zehn Minuten beträgt, müssen während des Austauschs zehn Schlüssel erzeugt werden, also alle zehn Minuten ein Schlüssel. Die Verwendung mehrerer Schlüssel stellt sicher, dass nicht die gesamte Kommunikation offen gelegt wird, selbst wenn es ein Angreifer schaffen sollte, den Schlüssel eines Teiles der Kommunikation zu erhalten.

Hinweis

Diese Schlüsselneuerstellung betrifft nur die Datenintegrität und Verschlüsselung im Schnellmodus. Diese Einstellungen haben keine Auswirkungen auf die Einstellungen für die Schlüsselgültigkeitsdauer, die den Schlüsselaustausch im Hauptmodus betreffen.

Minuten

Mit dieser Einstellung können Sie festlegen, wie lange (in Minuten) der in Schnellmodus-Sicherheitszuordnungen verwendete Schlüssel bestehen bleibt. Nach dieser Zeitspanne wird der Schlüssel neu erstellt. Alle darauf folgende Kommunikation verwendet den neuen Schlüssel.

Der Höchstwert beträgt 2.879 Minuten (48 Stunden). Der Mindestwert beträgt 5 Minuten. Es wird empfohlen, Schlüssel nur so oft neu zu erstellen, wie es, basierend auf der Risikoanalyse, erforderlich ist. Eine übertrieben häufige Schlüsselneuerstellung kann sich nachteilig auf die Leistung auswirken.

KB

Mit dieser Einstellung können Sie festlegen, wie viele Kilobytes (KB) an Daten mithilfe des Schlüssels gesendet werden können. Wenn dieser Schwellenwert erreicht ist, wird der Zähler zurückgesetzt und der Schlüssel neu erstellt. Alle darauf folgende Kommunikation verwendet den neuen Schlüssel.

Der Höchstwert beträgt 2.147.483.647 KB. Der Mindestwert beträgt 20.480 KB. Es wird empfohlen, Schlüssel nur so oft neu zu erstellen, wie es, basierend auf der Risikoanalyse, erforderlich ist. Eine übertrieben häufige Schlüsselneuerstellung kann sich nachteilig auf die Leistung auswirken.

Siehe auch


Inhaltsverzeichnis