Μια ενέργεια φίλτρου προσδιορίζει τις απαιτήσεις ασφαλείας για τη μεταφορά δεδομένων. Μπορείτε να καθορίσετε τις ενέργειες φίλτρου κατά ή πριν τη δημιουργία μιας πολιτικής. Οι λίστες φίλτρων είναι διαθέσιμες σε όλες τις πολιτικές. Για να καθορίσετε μια λίστα φίλτρων, κάντε κλικ με το δεξιό κουμπί του ποντικιού στον κόμβο Πολιτική ασφαλείας ΙΡ και επιλέξτε Διαχείριση λίστας φίλτρων και ενεργειών φίλτρου.
Τα δεδομένα ενός φίλτρου μπορούν να ρυθμιστούν ώστε:
Να επιτρέπουν την κυκλοφορία
Η ασφάλεια ΙΡ προωθεί την κυκλοφορία προς και από το πρόγραμμα οδήγησης TCP/IP χωρίς τροποποίηση ή απαίτηση ασφαλείας. Αυτό ενδείκνυται για δεδομένα που προέρχονται από υπολογιστές, οι οποίοι δεν διαθέτουν IPsec. Κατά τη χρήση αυτού του τύπου ενεργειών φίλτρου, βεβαιωθείτε ότι έχετε ελαττώσει το εύρος της λίστας φίλτρων IP στο ελάχιστο, ώστε να μην επιτρέπεται η παραλαβή δεδομένων που πρέπει να προστατεύονται.
Μπορείτε να επιτρέψετε την κυκλοφορία ICMP για σκοπούς αντιμετώπισης προβλημάτων. Επίσης, ίσως χρειαστεί να επιτρέψετε σε έναν υπολογιστή που δεν βρίσκεται στον τομέα σας (π.χ. τον υπολογιστή ενός συμβούλου) την πρόσβαση σε κάποιον άλλον υπολογιστή του τομέα. Για να επιτρέψετε την πρόσβαση, μπορείτε να χρησιμοποιήσετε την ενέργεια φίλτρου Παραχώρηση αδείας.
Σημαντικό | |
Η ενέργεια φίλτρου Παραχώρηση αδείας επιτρέπει την πρόσβαση χωρίς έλεγχο ταυτότητας, ακεραιότητα δεδομένων ή κρυπτογράφηση. Πρόσβαση διαθέτει οποιοσδήποτε χρησιμοποιεί έναν υπολογιστή με διεύθυνση ΙΡ που καθορίζεται στη λίστα φίλτρων. Όλη η κυκλοφορία μεταξύ των υπολογιστών γίνεται σε απλό κείμενο. Δεν εκτελούνται έλεγχοι ακεραιότητας. |
Να αποκλείουν την κυκλοφορία
Η ασφάλεια ΙΡ απορρίπτει σιωπηλά την αποκλεισμένη κυκλοφορία. Κατά τη χρήση της ενέργειας αποκλεισμού, βεβαιωθείτε ότι η λίστα φίλτρων ΙΡ που χρησιμοποιείτε καθορίζει τη σωστή εμβέλεια των διευθύνσεων ΙΡ. Η χρήση μεγαλύτερης εμβέλειας αυξάνει την πιθανότητα αποκλεισμού της κυκλοφορίας δεδομένων μεταξύ έγκυρων υπολογιστών.
Να διαπραγματεύονται την ασφάλεια
Εάν ενεργοποιήσετε την επιλογή Αποδοχή της μη ασφαλούς επικοινωνίας, αλλά πάντα απόκριση με ασφάλεια IP, η ασφάλεια IP προσπαθεί να διαπραγματευτεί συσχετίσεις ασφαλείας (SA) και την αποστολή και λήψη κυκλοφορίας που διαθέτει προστασία IPsec. Ωστόσο, εάν ο ομότιμος υπολογιστής δεν μπορεί να χρησιμοποιήσει την ασφάλεια IP, επιτρέπεται η επικοινωνία χωρίς προστασία ασφαλείας ΙΡ. Αφού επιλέξετε αυτή την ενέργεια φίλτρου, μπορείτε να ρυθμίσετε τα ακόλουθα:
- Μέθοδοι ασφαλείας και η σειρά τους. Η λίστα των μεθόδων προσδιορίζει τη σειρά με την οποία θα εφαρμοστούν οι μέθοδοι. Θα χρησιμοποιηθεί η πρώτη επιτυχημένη μέθοδος, ενώ οι υπόλοιπες μέθοδοι δεν θα εφαρμοστούν. Συνήθως, η λίστα θα πρέπει να ξεκινά με τις μεθόδους υψηλότερης ασφάλειας και να καταλήγει στις μεθόδους χαμηλότερης ασφάλειας, ώστε να χρησιμοποιείται η ασφαλέστερη μέθοδος.
- Αποδοχή αρχικής εισερχόμενης μη ασφαλούς κυκλοφορίας (Αποδοχή της μη ασφαλούς επικοινωνίας, αλλά πάντα απόκριση με ασφάλεια IP). Η ασφάλεια ΙΡ επιτρέπει σε ένα εισερχόμενο μη ασφαλές πακέτο που ταιριάζει με τη επιλεγμένη λίστα φίλτρων να περάσει (δηλαδή δεν προστατεύεται από την ασφάλεια IP). Ωστόσο, η εξερχόμενη απόκριση στο εισερχόμενο πακέτο πρέπει να προστατεύεται. Αυτή η ρύθμιση είναι χρήσιμη, όταν χρησιμοποιείτε τον προεπιλεγμένο κανόνα απόκριση για τους πελάτες. Όταν μια ομάδα διακομιστών λειτουργεί με βάση κάποιον κανόνα προστασίας της επικοινωνίας με οποιαδήποτε διεύθυνση ΙΡ, ενώ ταυτόχρονα αποδέχεται μη ασφαλή επικοινωνία και αποκρίνεται μόνον σε ασφαλείς επικοινωνίες, τότε η ενεργοποίηση της προεπιλεγμένης απόκρισης στους υπολογιστές των πελατών εξασφαλίζει την απόκριση των πελατών στην αίτηση του διακομιστή για έναρξη διαπραγματεύσεων ασφαλείας. Για να προλάβετε επιθέσεις άρνησης υπηρεσιών, αυτή η επιλογή θα πρέπει να είναι απενεργοποιημένη για τους συνδεδεμένους με το Internet ασφαλείς υπολογιστές.
- Ενεργοποίηση επικοινωνίας με υπολογιστές χωρίς ενεργοποιημένη ασφάλεια ΙΡ (Να επιτρέπεται η μη ασφαλής επικοινωνία εάν δεν είναι δυνατή η ασφαλής σύνδεση). Εάν είναι απαραίτητο, η ασφάλεια ΙΡ αποδέχεται μη ασφαλείς επικοινωνίες. Κι εδώ θα πρέπει να περιορίσετε το εύρος της λίστας φίλτρων στο ελάχιστο. Διαφορετικά, σε περίπτωση αποτυχίας των διαπραγματεύσεων για οποιονδήποτε λόγο, οι επικοινωνίες που επηρεάζονται από τον κανόνα, ο οποίος περιλαμβάνει την ενέργεια φίλτρου, μπορεί να έχουν ως αποτέλεσμα την αποστολή δεδομένων χωρίς ασφάλεια. Εάν ανησυχείτε για μια μη ασφαλή επικοινωνία, καλό θα ήταν να απενεργοποιήσετε αυτές τις ρυθμίσεις. Ωστόσο, η επικοινωνία με υπολογιστές που δεν μπορούν να προετοιμάσουν την ασφάλεια ΙΡ, για παράδειγμα τα συστήματα παλαιού τύπου, μπορεί να αποκλειστεί. Για να προλάβετε επιθέσεις άρνησης υπηρεσιών, αυτή η επιλογή θα πρέπει να είναι απενεργοποιημένη για τους συνδεδεμένους με το Internet ασφαλείς υπολογιστές.
- Δημιουργία κλειδιών γρήγορης περιόδου λειτουργίας από νέο υλικό δημιουργίας κλειδιών κύριας λειτουργίας (Κλειδί περιόδου λειτουργίας με άριστη και άμεση εμπιστευτικότητα (PFS)). Η ενεργοποίηση ενός κλειδιού περιόδου λειτουργίας με PFS εξασφαλίζει ότι το υλικό κύριων κλειδιών στην κύρια κατάσταση λειτουργίας δεν θα μπορεί να χρησιμοποιηθεί για τη δημιουργία περισσότερων του ενός κλειδιών γρήγορης περιόδου λειτουργίας. Όταν η επιλογή κλειδιού γρήγορης περιόδου λειτουργίας με PFS είναι ενεργοποιημένη, εκτελείται μια νέα ανταλλαγή κλειδιών Diffie-Hellman ώστε να δημιουργηθεί νέο υλικό κύριων κλειδιών κύριας κατάστασης λειτουργίας πριν δημιουργηθεί το νέο κλειδί γρήγορης περιόδου λειτουργίας. Το κλειδί περιόδου λειτουργίας (γρήγορη κατάσταση λειτουργίας) με PFS δεν απαιτεί εκ νέου έλεγχο ταυτότητας κύριας κατάστασης λειτουργίας και χρησιμοποιεί λιγότερους πόρους απ' ό,τι το κύριο κλειδί (κύρια κατάσταση λειτουργίας) με PFS.
Μέθοδοι ασφαλείας IPsec
Κάθε μέθοδος ασφαλείας προσδιορίζει τις απαιτήσεις ασφαλείας για οποιαδήποτε επικοινωνία, στην οποία εφαρμόζεται ο συσχετισμένος κανόνας. Η δημιουργία πολλαπλών μεθόδων ασφαλείας αυξάνει τις πιθανότητες εύρεσης μιας κοινής μεθόδου μεταξύ των δύο υπολογιστών. Το στοιχείο Ανταλλαγή κλειδιών Internet (ΙΚΕ) διαβάζει τη λίστα μεθόδων ασφαλείας με σειρά προτεραιότητας και αποστέλλει μια λίστα επιτρεπόμενων μεθόδων ασφαλείας στον ομότιμο υπολογιστή. Επιλέγεται η πρώτη κοινή μέθοδος. Συνήθως, στην αρχή της λίστας εμφανίζονται οι ασφαλέστερες μέθοδοι. Οι λιγότερο ασφαλείς μέθοδοι εμφανίζονται στο τέλος της λίστας.
Προκαθορισμένες μέθοδοι ασφαλείας
Οι ακόλουθες μέθοδοι ασφαλείας είναι προκαθορισμένες:
Κρυπτογράφηση και ακεραιότητα
Χρησιμοποιεί το πρωτόκολλο ESP για να εξασφαλίσει εμπιστευτικότητα δεδομένων (κρυπτογράφηση) με τον τριπλό αλγόριθμο Data Encryption Standard (3DES), ακεραιότητα δεδομένων και έλεγχο ταυτότητας με τον αλγόριθμο ακεραιότητας Secure Hash Algorithm 1 (SHA1), καθώς και προεπιλεγμένη διάρκεια ζωής κλειδιών (100 megabyte (MB), 1 ώρα). Εάν χρειάζεστε ταυτόχρονα προστασία δεδομένων και διεύθυνσης (επικεφαλίδα ΙΡ), μπορείτε να δημιουργήσετε μια προσαρμοσμένη μέθοδο ασφαλείας. Εάν δεν χρειάζεστε κρυπτογράφηση, χρησιμοποιήστε τη μέθοδο Μόνο ακεραιότητα.
Μόνο ακεραιότητα
Χρησιμοποιεί το πρωτόκολλο ESP για να εξασφαλίσει ακεραιότητα δεδομένων και έλεγχο ταυτότητας με τον αλγόριθμο ακεραιότητας SHA1, καθώς και προεπιλεγμένη διάρκεια ζωής κλειδιών (100 MB, 1 ώρα). Με αυτή τη ρύθμιση παραμέτρων, το ESP δεν εξασφαλίζει εμπιστευτικότητα δεδομένων (κρυπτογράφηση).
Προσαρμοσμένες μέθοδοι ασφαλείας
Εάν οι προκαθορισμένες ρυθμίσεις Κρυπτογράφηση ή Μόνο ακεραιότητα δεν καλύπτουν τις ανάγκες σας σε ασφάλεια, μπορείτε να προσαρμόσετε τις μεθόδους ασφαλείας. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε προσαρμοσμένες μεθόδους για να καθορίσετε την κρυπτογράφηση, την ακεραιότητα της διεύθυνσης, ισχυρότερους αλγορίθμους ή τη διάρκεια ζωής κλειδιών. Κατά τη ρύθμιση των παραμέτρων μιας προσαρμοσμένης μεθόδου ασφαλείας, μπορείτε να ρυθμίσετε τα ακόλουθα:
Πρωτόκολλα ασφαλείας
Τόσο το ΑΗ (ακεραιότητα δεδομένων και διευθύνσεων χωρίς κρυπτογράφηση) όσο και το ESP (ακεραιότητα δεδομένων και κρυπτογράφηση) μπορούν να ενεργοποιηθούν με τη μέθοδο προσαρμοσμένης ασφάλειας, εάν χρειάζεστε μια ακέραιη επικεφαλίδα ΙΡ και κρυπτογράφηση δεδομένων. Εάν επιλέξτε να ενεργοποιήσετε και τα δύο, δεν θα χρειαστεί να καθορίσετε αλγόριθμο ακεραιότητας για το ESP.
Σημείωση | |
Το πρωτόκολλο ΑΗ δεν μπορεί να χρησιμοποιηθεί με συσκευές μετάφρασης διευθύνσεων δικτύου (ΝΑΤ), καθώς χρησιμοποιεί αλγόριθμο κατακερματισμού της επικεφαλίδας. Οι συσκευές ΝΑΤ μεταβάλλουν την επικεφαλίδα και εμποδίζουν το σωστό έλεγχο ταυτότητας του πακέτου. |
Αλγόριθμος ακεραιότητας
Συμπύκνωση παράστασης μηνυμάτων 5 (MD5) με χρήση ενός κλειδιού 128-bit. Αυτός ο αλγόριθμος δεν θεωρείται πλέον ασφαλής και θα πρέπει να χρησιμοποιείται μόνον για λόγους διαλειτουργικότητας.
SHA1 με χρήση ενός κλειδιού 160-bit. Ο SHA1 είναι ένας ισχυρότερος αλγόριθμος κατακερματισμού από τον MD5 και συμμορφώνεται με το πρότυπο Federal Information Processing Standard (FIPS).
Αλγόριθμος κρυπτογράφησης
Ο 3DES είναι ο ασφαλέστερος από τους συνδυασμούς DES και λίγο βραδύτερος ως προς τις επιδόσεις. Ο 3DES επεξεργάζεται κάθε μπλοκ τρεις φορές με χρήση τριών μοναδικών κλειδιών 56-bit.
Ο DES χρησιμοποιεί ένα μεμονωμένο κλειδί 56-bit και χρησιμοποιείται όταν δεν υπάρχει ανάγκη για τον υψηλότερο βαθμό ασφαλείας και την επιβάρυνση που συνεπάγεται ο 3DES. Αυτός ο αλγόριθμος δεν θεωρείται πλέον ασφαλής και θα πρέπει να χρησιμοποιείται μόνον για λόγους διαλειτουργικότητας.
Οι ρυθμίσεις των κλειδιών περιόδου λειτουργίας (γρήγορη κατάσταση λειτουργίας) καθορίζουν πότε, και όχι πώς, θα δημιουργηθεί ένα νέο κλειδί. Μπορείτε να προσδιορίσετε τη διάρκεια ζωής σε kilobyte (KB), δευτερόλεπτα ή και τα δύο. Για παράδειγμα, εάν η επικοινωνία διαρκεί 10 000 δευτερόλεπτα και έχετε καθορίσει τη διάρκεια ζωής του κλειδιού στα 1 000 δευτερόλεπτα, έως την ολοκλήρωση της επικοινωνίας θα δημιουργηθούν 10 κλειδιά. Με αυτό τον τρόπο εξασφαλίζεται η προστασία της υπόλοιπης επικοινωνίας, ακόμη κι αν κάποιος επιτιθέμενος καταφέρει να ανακαλύψει ένα κλειδί περιόδου λειτουργίας και να αποκρυπτογραφήσει ένα μέρος της επικοινωνίας. Από προεπιλογή, νέα κλειδιά γρήγορης κατάστασης λειτουργίας δημιουργούνται ανά 100 ΜΒ δεδομένων ή ανά μία ώρα. Κάθε φορά που συμπληρώνεται η διάρκεια ζωής ενός κλειδιού, γίνεται εκ νέου διαπραγμάτευση της συσχέτισης ασφαλείας, παράλληλα με την ανανέωση ή εκ νέου δημιουργία του κλειδιού.
Για να δημιουργήστε μια ενέργεια φίλτρου με χρήση του παράθυρου διαλόγου Ιδιότητες νέου κανόνα |
Στην καρτέλα Κανόνες του παράθυρου διαλόγου Ιδιότητες πολιτικής ασφαλείας ΙΡ, απενεργοποιήστε το πλαίσιο ελέγχου Χρήση του οδηγού προσθήκης, εάν θέλετε να δημιουργήσετε μια ενέργεια φίλτρου από το παράθυρο διαλόγου Ιδιότητες Εάν θέλετε να χρησιμοποιήσετε τον οδηγό, μην απενεργοποιείτε το επιλεγμένο πλαίσιο ελέγχου. Κάντε κλικ στο κουμπί Προσθήκη. Οι ακόλουθες οδηγίες θα σας βοηθήσουν να δημιουργήσετε μια λίστα φίλτρων με χρήση του παράθυρου διαλόγου.
Στην καρτέλα Ενέργεια φίλτρου του παράθυρου διαλόγου Ιδιότητες κανόνα, απενεργοποιήστε το πλαίσιο ελέγχου Χρήση του οδηγού προσθήκης και κάντε κλικ στο κουμπί Προσθήκη.
Από την καρτέλα Μέθοδοι ασφαλείας, επιλέξτε τη μέθοδο (ενέργεια) που θα χρησιμοποιεί ο κανόνας.
(Προαιρετικό) Στην καρτέλα Περιγραφή, πληκτρολογήστε μια περιγραφή της ενέργειας φίλτρου. Η περιγραφή αυτή μπορεί να σας βοηθήσει να κατανοήσετε τις ενέργειες φίλτρου και σας επιτρέπει να τις εντοπίσετε γρήγορα, χωρίς να ανοίξετε τις ιδιότητες.
Κάντε κλικ στο κουμπί ΟΚ.
Για να προσθέσετε επιπλέον ενέργειες φίλτρου στη λίστα, επαναλάβετε τα βήματα 4 έως 8.
Σημείωση Αν και ο κανόνας μπορεί να περιέχει πολλές ενέργειες φίλτρου, για κάθε κανόνα μπορεί να χρησιμοποιηθεί μόνον μια ενέργεια.
Από την καρτέλα Ενέργεια φίλτρου, επιλέξτε την κατάλληλη ενέργεια φίλτρου για τον κανόνα και κάντε κλικ στο κουμπί OK.
Για να δημιουργήστε μια ενέργεια φίλτρου με χρήση του παράθυρου διαλόγου Διαχείριση λίστας φίλτρων IP και ενεργειών φίλτρου |
Κάντε κλικ με το δεξιό κουμπί του ποντικιού στον κόμβο Πολιτική ασφαλείας ΙΡ και επιλέξτε Διαχείριση λίστας φίλτρων IP και ενεργειών φίλτρου.
Στην καρτέλα Διαχείριση ενεργειών φίλτρου, απενεργοποιήστε το πλαίσιο ελέγχου Χρήση του οδηγού προσθήκης, εάν θέλετε να δημιουργήσετε μια ενέργεια φίλτρου στο παράθυρο διαλόγου Ιδιότητες. Εάν θέλετε να χρησιμοποιήσετε τον οδηγό, μην απενεργοποιείτε το επιλεγμένο πλαίσιο ελέγχου. Κάντε κλικ στο κουμπί Προσθήκη. Οι ακόλουθες οδηγίες θα σας βοηθήσουν να δημιουργήσετε μια λίστα φίλτρων με χρήση του παράθυρου διαλόγου. Οι οδηγίες που ακολουθούν δεν προβλέπουν χρήση του οδηγού.
Από την καρτέλα Μέθοδοι ασφαλείας, επιλέξτε τη μέθοδο και κάντε κλικ στο κουμπί OK.
Εάν έχετε επιλέξει Διαπραγμάτευση ασφαλείας, μπορείτε να προσθέσετε πολλές μεθόδους και να καθορίσετε τη σειρά με την οποία θα εφαρμοστούν. Για να το επιτύχετε αυτό, κάντε κλικ στο κουμπί Προσθήκη.
(Προαιρετικό) Στην καρτέλα Περιγραφή, πληκτρολογήστε μια περιγραφή του φίλτρου. Η περιγραφή αυτή μπορεί να σας βοηθήσει να κατανοήσετε τα φίλτρα και σας επιτρέπει να εντοπίσετε γρήγορα το φίλτρο, χωρίς να ανοίξετε τις ιδιότητες.
Κάντε κλικ στο κουμπί ΟΚ.
Για να προσθέσετε ενέργειες φίλτρου στη λίστα, επαναλάβετε τα βήματα 4 έως 8.