Χρησιμοποιήστε αυτό το παράθυρο διαλόγου για να ρυθμίσετε έναν αλγόριθμο ακεραιότητας δεδομένων που να είναι διαθέσιμος κατά τη διαπραγμάτευση συσχετισμών ασφαλείας γρήγορης λειτουργίας. Πρέπει να καθορίσετε το πρωτόκολλο και τον αλγόριθμο που χρησιμοποιούνται για να προστατέψετε την ακεραιότητα των δεδομένων στο πακέτο του δικτύου.

Η ασφάλεια πρωτοκόλλου Internet (IPsec) παρέχει ακεραιότητα υπολογίζοντας έναν κατακερματισμό που δημιουργείται από τα δεδομένα στο πακέτο δικτύου. Στη συνέχεια, ο κατακερματισμός υπογράφεται κρυπτογραφικά (κρυπτογράφηση) και ενσωματώνεται στο πακέτο IP. Ο υπολογιστής που λαμβάνει χρησιμοποιεί τον ίδιο αλγόριθμο για να υπολογίσει τον κατακερματισμό και συγκρίνει το αποτέλεσμα με τον κατακερματισμό που είναι ενσωματωμένος στο πακέτο που λαμβάνει. Αν ταιριάζει, τότε οι πληροφορίες που λαμβάνονται είναι ίδιες με αυτές που στέλνονται και έτσι το πακέτο είναι αποδεκτό. Αν δεν ταιριάζει, το πακέτο απορρίπτεται.

Ο κατακερματισμός ενός εκπεμπόμενου μηνύματος καθιστά υπολογιστικά αδύνατη την αλλαγή του μηνύματος χωρίς να παρουσιαστεί ασυμφωνία με τον κατακερματισμό. Αυτό είναι κρίσιμο όταν η ανταλλαγή δεδομένων γίνεται μέσω ενός μη ασφαλούς δικτύου όπως είναι το Internet, επειδή παρέχει έναν τρόπο να γνωρίζουμε ότι το μήνυμα δεν έχει αλλάξει κατά τη μεταβίβαση.

Πώς μπορείτε να μεταβείτε σε αυτό το παράθυρο διαλόγου

  1. Στη σελίδα του συμπληρωματικού προγράμματος MMC του Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας, στην επιλογή Επισκόπηση, κάντε κλικ στο στοιχείο Ιδιότητες τείχους προστασίας των Windows.

  2. Κάντε κλικ στην καρτέλα Ρυθμίσεις IPSec.

  3. Στο στοιχείο Προεπιλογές IPsec, κάντε κλικ στην επιλογή Προσαρμογή.

  4. Στο στοιχείο Προστασία δεδομένων (γρήγορη λειτουργία), επιλέξτε Για προχωρημένους και, στη συνέχεια κάντε κλικ στην επιλογή Προσαρμογή.

  5. Στην περιοχή Ακεραιότητα δεδομένων, επιλέξτε ένα συνδυασμό αλγορίθμων από τη λίστα και κάντε κλικ στο Επεξεργασία ή Προσθήκη.

Πρωτόκολλο

Τα παρακάτω πρωτόκολλα χρησιμοποιούνται για την ενσωμάτωση των πληροφοριών ακεραιότητας σε ένα πακέτο IP.

ESP (συνιστάται)

Το ESP παρέχει έλεγχο ταυτότητας, ακεραιότητα και προστασία κατά της επανεκτέλεσης για το ωφέλιμο φορτίο IP. Το ESP χρησιμοποιείται στην κατάσταση λειτουργίας μεταφοράς δεν υπογράφει ολόκληρο το πακέτο. Προστατεύεται μόνον το ωφέλιμο φορτίο IP, και όχι η κεφαλίδα ΙΡ. Το ESP μπορεί να χρησιμοποιηθεί μόνο του ή σε συνδυασμό με το πρωτόκολλο ΑΗ. Με το ESP, ο υπολογισμός του αλγορίθμου κατακερματισμού περιλαμβάνει μόνον την κεφαλίδα ESP, το trailer και το ωφέλιμο φορτίο. Το ESP μπορεί να παρέχει υπηρεσίες εμπιστευτικότητας δεδομένων, κρυπτογραφώντας το ωφέλιμο φορτίο ESP με έναν από τους υποστηριζόμενους αλγορίθμους κρυπτογράφησης. Υπηρεσίες αναπαραγωγής πακέτου παρέχονται μέσω της συμπερίληψης ενός αριθμού ακολουθίας για κάθε πακέτο.

AH

Το ΑΗ παρέχει έλεγχο ταυτότητας, ακεραιότητα και αντι-αναπαραγωγή για ολόκληρο το πακέτο (τόσο για την κεφαλίδα ΙΡ όσο και για το ωφέλιμο φορτίο δεδομένων που μεταφέρεται από το πακέτο). Δεν παρέχει εμπιστευτικότητα, δηλαδή δεν κρυπτογραφεί τα δεδομένα. Τα δεδομένα μπορούν να αναγνωστούν, αλλά προστατεύονται από τροποποιήσεις. Ορισμένα πεδία που επιτρέπεται να αλλάξουν σε μεταφορά εξαιρούνται από τον υπολογισμό αλγόριθμου κατακερματισμού. Υπηρεσίες αναπαραγωγής πακέτου παρέχονται μέσω της συμπερίληψης ενός αριθμού ακολουθίας για κάθε πακέτο.

Σημαντικό

Το πρωτόκολλο AH δεν είναι συμβατό με μετάφραση διεύθυνσης δικτύου (NAT) επειδή οι συσκευές NAT αλλάζουν πληροφορίες σε ορισμένες από τις κεφαλίδες πακέτων που περιλαμβάνονται στον αλγόριθμο κατακερματισμού ακεραιότητας. Για να επιτρέψετε στην κυκλοφορία που στηρίζεται στην ασφάλεια ΙΡ να περάσει από μια συσκευή ΝΑΤ, πρέπει να χρησιμοποιήσετε το ESP και να διασφαλίσετε ότι οι ομότιμοι υπολογιστές ΙΡsec υποστηρίζουν IPsec διέλευση ΝΑΤ (NAT-T).

Ενθυλάκωση null

Η ενθυλάκωση null καθορίζει ότι δεν θέλετε να χρησιμοποιήσετε καμία προστασία ακεραιότητας ή κρυπτογράφησης στην κυκλοφορία δικτύου. Ο έλεγχος ταυτότητας εκτελείται ακόμη όπως απαιτείται από τους κανόνες ασφάλειας σύνδεσης, αλλά δεν παρέχεται άλλη προστασία στα πακέτα δικτύου που ανταλλάσσονται μέσω αυτού του συσχετισμού ασφαλείας.

Ασφάλεια Σημείωση

Επειδή αυτή η επιλογή δεν παρέχει ακεραιότητα ή προστασία ιδιωτικού απορρήτου κάποιου είδους, συνιστάται να τη χρησιμοποιείται μόνο για υποστήριξη λογισμικού ή συσκευών δικτύου που δεν είναι συμβατά με ESP ή AH.

Αλγόριθμοι

Οι ακόλουθοι αλγόριθμοι ακεραιότητας είναι διαθέσιμοι σε υπολογιστές που χρησιμοποιούν αυτήν την έκδοση των Windows. Κάποιοι από αυτούς τους αλγόριθμούς δεν είναι διαθέσιμοι σε υπολογιστές που χρησιμοποιούν άλλες εκδόσεις των Windows. Πρέπει να δημιουργήσετε συνδέσεις που προστατεύονται από IPsec με έναν υπολογιστή που χρησιμοποιεί μια προγενέστερη έκδοση των Windows, στη συνέχεια πρέπει να συμπεριλάβετε επιλογές αλγορίθμων που είναι συμβατοί με την προγενέστερη έκδοση.

Για περισσότερες πληροφορίες, ανατρέξτε στην επιλογή Αλγόριθμοι IPsec και μέθοδοι που υποστηρίζονται στα Windows (η σελίδα ενδέχεται να υπάρχει στα Αγγλικά) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    Προσοχή

    Ο αλγόριθμος MD5 δεν θεωρείτε πλέον ασφαλής και θα πρέπει να χρησιμοποιείται μόνο για δοκιμές ή σε περιπτώσεις όπου ο απομακρυσμένος υπολογιστής δεν μπορεί να χρησιμοποιήσει έναν πιο ασφαλή αλγόριθμο. Παρέχεται μόνο για συμβατότητα με παλαιότερα προγράμματα.

Διάρκεια ζωής κλειδιών

Οι ρυθμίσεις διάρκειας ζωής καθορίζουν πότε θα δημιουργηθεί ένα νέο κλειδί. Η διάρκεια ζωής σάς επιτρέπει να επιβάλετε τη δημιουργία ενός νέου κλειδιού έπειτα από συγκεκριμένο χρονικό διάστημα ή έπειτα από συγκεκριμένο όγκο δεδομένων που έχουν μεταβιβαστεί. Για παράδειγμα, εάν η επικοινωνία διαρκεί 100 λεπτά και έχετε καθορίσει τη διάρκεια ζωής του κλειδιού στα 10 λεπτά, κατά την ανταλλαγή θα δημιουργηθούν 10 κλειδιά (ένα κάθε 10 λεπτά). Η χρήση πολλών κλειδιών εξασφαλίζει ότι η επικοινωνία δεν θα κινδυνεύσει εάν κάποιος επιτιθέμενος καταφέρει να αποκτήσει το κλειδί για ένα τμήμα της επικοινωνίας αυτής.

Σημείωση

Αυτή η αναδημιουργία κλειδιών αφορά μόνο στην ακεραιότητα δεδομένων στη γρήγορη λειτουργία. Αυτές οι ρυθμίσεις δεν επηρεάζουν τις ρυθμίσεις διάρκειας ζωής κατά την ανταλλαγή κλειδιών σε κύρια λειτουργία.

Λεπτά

Χρησιμοποιήστε αυτήν την επιλογή για να ρυθμίσετε τη διάρκεια ζωής, σε λεπτά,του κλειδιού, το οποίο χρησιμοποιείται στη συσχέτιση ασφάλειας γρήγορης λειτουργίας. Μετά από αυτό το διάστημα, θα δημιουργηθεί ένα νέο κλειδί. Οι επόμενες επικοινωνίες θα χρησιμοποιήσουν το νέο κλειδί.

Η μέγιστη διάρκεια ζωής είναι 2879 λεπτά (48 ώρες). Η ελάχιστη διάρκεια ζωής είναι 5 λεπτά. Σας συνιστούμε να επαναλαμβάνετε τα κλειδιά μόνο όσο συχνά το απαιτεί η ανάλυση κινδύνων. Η υπερβολικά συχνή επανάληψη κλειδιών μπορεί να επηρεάσει την απόδοση.

KB

Χρησιμοποιήστε αυτήν τη ρύθμιση για να καθορίσετε την ποσότητα δεδομένων σε KB που αποστέλλεται με χρήση του κλειδιού. Όταν επιτευχθεί αυτό το όριο, ο μετρητής μηδενίζεται και το κλειδί αναδημιουργείται. Οι επόμενες επικοινωνίες θα χρησιμοποιήσουν το νέο κλειδί.

Η μέγιστη διάρκεια ζωής είναι 2147483647 KB. Η ελάχιστη διάρκεια ζωής είναι 20480 KB. Σας συνιστούμε να επαναλαμβάνετε τα κλειδιά μόνο όσο συχνά το απαιτεί η ανάλυση κινδύνων. Η υπερβολικά συχνή επανάληψη κλειδιών μπορεί να επηρεάσει την απόδοση.

Βλ. επίσης

Πίνακας περιεχομένων