Suodatustoiminto määrittää tiedonsiirron suojausvaatimukset. Suodatustoiminnot voidaan määrittää käytännön luomisen yhteydessä tai ennen käytännön luomista. Suodatinluettelot ovat kaikkien käytäntöjen käytettävissä. Jos haluat määrittää suodatinluettelon, napsauta IP-suojauskäytännön solmua hiiren kakkospainikkeella ja valitse Hallitse suodatinluetteloita ja suodatustoimintoja.
Suodatustoiminnolle voidaan määrittää seuraavat asetukset:
Tietoliikenteen salliminen
IP-suojaus eli IPsec välittää tietoliikenteen TCP/IP-ohjaimelle ja -ohjaimelta niin, että tietoliikennettä ei suojata eikä muokata. Tätä kannattaa käyttää tietokoneiden väliseen tietoliikenteeseen silloin, kun tietokoneet eivät tue IP-suojausta. Tätä suodatustoimintoa käytettäessä IP-suodatinluettelo kannattaa määrittää mahdollisimman tarkaksi, jotta se ei salli suojattavaa lähetystä vahingossa ilman suojausta.
Tietyissä tilanteissa voidaan sallia ICMP-tietoliikenne vianmääritystä varten. Joskus voi myös olla tarpeen sallia toimialueeseen kuulumattoman tietokoneen (esimerkiksi konsultin tietokoneen) käyttää toista toimialueen tietokonetta. Tällöin käyttö voidaan sallia Salli-suodatustoiminnon avulla.
Tärkeää | |
Salli-suodatustoiminto sallii käytön ilman todennusta, tietojen aitouden tarkistusta tai salausta. Käyttö sallitaan kaikille, jotka käyttävät tietokonetta, jolla on suodatinluettelossa määritetty IP-osoite. Kaikki tietokoneiden välinen tietoliikenne on suojaamatonta; aitoutta ei tarkisteta. |
Tietoliikenteen estäminen
IPsec hylkää estetyn tietoliikenteen ilmoittamatta siitä. Kun käytät Estä-suodatustoimintoa, käytä IP-suodatinluetteloa, joka määrittää IP-osoitteet oikealla laajuudella. Laajempia luetteloita käytettäessä sallittujen tietokoneiden välinen tietoliikenne saattaa estyä.
Suojauksen neuvottelu
Jos valitset Hyväksy suojaamaton tietoliikenne, mutta käytä vastaukseen IPSeciä -asetuksen, IPsec yrittää neuvotella suojaussidoksista ja IPsec-suojatun tietoliikenteen lähettämisestä tai vastaanottamisesta. Jos vertaiskone ei kuitenkaan voi käyttää IPsec-suojausta, tietoliikenne sallitaan ilman sitä. Kun olet valinnut tämän suodatustoiminnon, voit määrittää myös seuraavat:
- Suojausmenetelmät ja niiden järjestys Ensimmäinen menetelmäluettelo määrittää, missä järjestyksessä menetelmiä yritetään. Ensimmäistä onnistunutta menetelmää käytetään eikä muita menetelmiä enää yritetä. Yleensä luettelo järjestetään korkeimmasta suojaustasosta alimpaan suojaustasoon, jotta käytettävä suojausmenetelmä olisi turvallisin.
- Suojaamattoman tietoliikenteen hyväksyminen aluksi (Hyväksy suojaamaton tietoliikenne, mutta käytä vastaukseen IPSeciä) IPsec sallii suojaamattoman (eli muun kuin IPsec-suojatun) saapuvan paketin, joka vastaa määritettyä suodatinluetteloa. Saapuvaan pakettiin lähetettävän vastauksen on kuitenkin oltava suojattu. Tämä asetus on hyödyllinen, kun asiakkaille käytetään oletusvastaussääntöä. Kun palvelinryhmälle on määritetty sääntö, joka suojaa tietoliikenteen minkä tahansa IP-osoitteen kanssa ja hyväksyy suojaamattoman tietoliikenteen niin, että vastauksessa käytetään suojattua tietoliikennettä, oletusvastaussäännön ottaminen käyttöön asiakastietokoneissa varmistaa, että asiakkaat vastaavat palvelimen pyyntöön suojauksen neuvottelemisesta. Jotta palvelun esto -hyökkäykset voitaisiin estää, tämän asetuksen tulisi olla pois käytöstä Internet-yhteydessä olevissa tietokoneissa.
- Tietoliikenteen mahdollistaminen IPseciä tukemattomien tietokoneiden kanssa (Salli suojaamaton tietoliikenne, jos suojattua yhteyttä ei voi muodostaa) IPsec siirtyy tarvittaessa käyttämään suojaamatonta tietoliikennettä. Tätäkin vaihtoehtoa käytettäessä IP-suodatinluettelo tulisi määrittää mahdollisimman tarkaksi. Muussa tapauksessa (jos neuvottelu epäonnistuu jostakin syystä) tämän suodatustoiminnon sisältämän säännön määrittämä tietoliikenne saattaa vahingossa päästä lähtemään ilman suojausta. Jos suojaamaton tietoliikenne huolestuttaa, kannattaa ehkä poistaa nämä asetukset käytöstä. Tietoliikenne IPseciä tukemattomien tietokoneiden, kuten vanhempia käyttöjärjestelmiä käyttävien tietokoneiden, kanssa saattaa estyä. Jotta palvelun esto -hyökkäykset voitaisiin estää, tämän asetuksen tulisi olla pois käytöstä Internet-yhteydessä olevissa tietokoneissa.
- Pikatilan istuntoavainten luominen uudesta päätilan avaintenluontimateriaalista (PFS (Perfect Forward Secrecy) -istuntoavain) PFS-istuntoavaimen ottaminen käyttöön varmistaa, että päätilan pääavaimenluontimateriaalia ei käytetä kuin yhden pikatilan istuntoavaimen muodostamiseen. Kun pikatilan PFS-istuntoavain on käytössä, päätilan pääavaimenluontimateriaali muodostetaan uudella Diffie-Hellman-avaintenvaihtoprokotokollan avulla ennen uuden pikatilan istuntoavaimen luomista. PFS-istuntoavain (pikatila) ei edellytä päätilan uudelleentodentamista, joten se käyttää vähemmän resursseja kuin PFS-pääavain (päätila).
IPsec-suojausmenetelmät
Kukin suojausmenetelmä määrittää sellaisen tietoliikenteen suojausvaatimukset, joita niiden säännöt koskevat. Useiden suojausmenetelmien luominen lisää mahdollisuutta, että kahdesta tietokoneesta löytyy samanlainen menetelmä. IKE (Internet Key Exchange) -osa lukee suojausmenetelmäluettelon laskevassa järjestyksessä ja lähettää sallittujen suojausmenetelmien luettelon toiselle vertaiskoneelle. Ensimmäinen yhteinen menetelmä valitaan. Yleensä suojatuimmat menetelmät ovat luettelon yläosassa ja vähemmän suojatut alaosassa.
Valmiiksi määritetyt suojausmenetelmät
Seuraavat suojausmallit ovat valmiiksi määritettyjä:
Salaus ja alkuperäisyys
ESP-protokollaa käytetään varmistamaan tietojen luottamuksellisuus (salaus) kolminkertaisella DES-algoritmilla (3DES), tietojen aitous eli alkuperäisyys ja todentaminen SHA1 (Secure Hash Algorithm 1) -aitousalgoritmilla sekä avainten elinaika oletusarvon avulla (100 megatavua tai 1 tunti). Jos haluat suojata sekä lähetettävät tiedot että osoitetiedot (IP-otsikon), voit luoda mukautetun suojausmenetelmän. Jos et halua salata tietoja, valitse Vain alkuperäisyys.
Vain alkuperäisyys
ESP-protokollaa käytetään varmistamaan tietojen aitous eli alkuperäisyys ja todentaminen SHA1-aitousalgoritimilla sekä avainten elinaika oletusarvon avulla (100 megatavua tai 1 tunti). Tässä määrityksessä ESP-protokolla ei varmista tietojen luottamuksellisuutta (salausta).
Mukautetut suojausmenetelmät
Jos valmiiksi määritetyt asetukset Salaus ja alkuperäisyys tai Vain alkuperäisyys eivät täytä suojausvaatimuksia, voit määrittää mukautettuja suojausmenetelmiä. Voit esimerkiksi käyttää mukautettua menetelmää, kun tietoliikenteessä on määritettävä salaus, osoitteen aitous, vahvempi salausalgoritmi tai avainten elinajat. Kun määrität mukautettua suojausmenetelmää, voit määrittää seuraavat ominaisuudet:
Suojausprotokollat
Sekä AH (tietojen ja osoitteen aitouden tarkistus ilman salausta) että ESP (tietojen aitouden tarkistus ja salaus) voidaan ottaa käyttöön mukautetulle suojausmenetelmälle, kun tarvitaan IP-otsikoiden aitouden tarkistusta ja tietojen salausta. Jos otat molemmat käyttöön, sinun ei tarvitse määrittää ESP:lle aitouden tarkistusalgoritmia.
Huomautus | |
AH-protokollaa ei voida käyttää verkko-osoitteen tulkintaa (NAT) käyttävien laitteiden kanssa, koska se käyttää otsikon hajautusarvoa. NAT-laitteet muuttavat otsikkoa, joten pakettia ei todenneta oikein. |
Aitouden tarkistusalgoritmi
MD5 (Message Digest 5) käyttää 128-bittistä avainta. Tätä algoritmia ei enää pidetä varmana, ja sitä tulee käyttää vain, kun yhteensopivuus edellyttää sen käyttämistä.
SHA1 käyttää 160-bittistä avainta. SHA1 on vahvempi hajautusalgoritmi kuin MD5, ja se on FIPS (Federal Information Processing Standard) -yhteensopiva.
Salausalgoritmi
3DES antaa DES-yhdistelmistä parhaan suojauksen, mutta se on hieman muita hitaampi. 3DES käsittelee kunkin lohkon kolme kertaa käyttäen kolmea yksilöllistä 56-bittistä avainta.
DES-algoritmi käyttää 56-bittistä avainta, ja sitä käytetään, kun 3DES-algoritmin antamaa erittäin tehokasta tietoturvaa, joka käyttää paljon resursseja, ei tarvita. Tätä algoritmia ei enää pidetä varmana, ja sitä tulee käyttää vain, kun yhteensopivuus edellyttää sen käyttöä.
Istuntoavainasetukset (pikatila) määrittävät, milloin uusi avain luodaan. Elinaika voidaan määrittää kilotavuina, sekunteina tai molempina. Jos esimerkiksi tiedonsiirto kestää 10 000 sekuntia ja määrität avaimen elinajaksi 1 000 sekuntia, järjestelmä muodostaa tiedonsiirtoa varten 10 avainta. Tämä varmistaa sen, että vaikka hyökkääjä onnistuisi saamaan haltuunsa yhden istuntoavaimen ja selvittämään osan tietoliikennettä, hän ei pysty selvittämään koko tietoliikennettä. Oletusarvoisesti uudet pikatilan istuntoavaimet luodaan tunnin välein tai kun 100 megatavua tietoa on siirretty. Kun jonkin avaimen elinaika päättyy, avaimen päivittämisen ja uudelleenmuodostamisen lisäksi myös suojaussidoksesta neuvotellaan uudelleen.
Suodatustoiminnon luominen Ominaisuudet: Uusi sääntö -valintaikkunan avulla |
Poista Ominaisuudet: IP-suojauskäytäntö -ikkunan Säännöt-välilehdestä Ohjattu lisääminen -valintaruudun valinta, jos haluat luoda suodatustoiminnon ominaisuusikkunassa. Jos haluat käyttää ohjattua toimintoa, jätä valintaruutu valituksi. Valitse Lisää. Seuraavat ohjeet koskevat suodatinluettelon luomista valintaikkunan avulla.
Poista säännönOminaisuudet: Sääntö -valintaikkunan Suodatustoiminto-välilehdestä Ohjattu lisääminen -valintaruudun valinta ja valitse Lisää.
Valitse Suojausmenetelmät-välilehdestä menetelmä (toiminto), jota sääntö käyttää.
(Valinnainen) Kirjoita Kuvaus-välilehteen suodatustoiminnon kuvaus. Kuvauksen avulla voidaan lajitella suodatustoimintoja ja tunnistaa suodatustoiminto nopeasti avaamatta sen ominaisuusikkunaa.
Valitse OK.
Lisää luetteloon suodatustoimintoja toistamalla vaiheet 4–8.
Huomautus Vaikka säännön luettelossa voi olla useita suodatustoimintoja, sääntöä kohti voidaan käyttää vain yhtä suodatustoimintoa.
Valitse Suodatustoiminto-välilehdestä säännölle sopiva suodatustoiminto ja valitse OK.
Suodatustoiminnon luominen Hallitse suodatinluetteloita ja suodatustoimintoja -valintaikkunan avulla |
Napsauta IP-suojauskäytännön solmua hiiren kakkospainikkeella ja valitse Hallitse IP-suodatinluetteloita ja suodatustoimintoja.
Poista Suodatustoimintojen hallinta -välilehden Ohjattu lisääminen -valintaruudun valinta, jos haluat luoda suodatustoiminnon ominaisuusikkunan avulla. Jos haluat käyttää ohjattua toimintoa, jätä valintaruutu valituksi. Valitse Lisää. Seuraavat ohjeet koskevat suodatinluettelon luomista valintaikkunan avulla. Seuraavissa ohjeissa ei käytetä ohjattua toimintoa.
Valitse Suojausmenetelmät-välilehdestä menetelmä ja valitse OK.
Jos valitsit Neuvottele suojausasetuksista -vaihtoehdon, voit lisätä useita menetelmiä ja määrittää järjestyksen, jossa niitä yritetään. Valitse tällöin Lisää.
(Valinnainen) Kirjoita Kuvaus-välilehteen suodattimen kuvaus. Kuvauksen avulla voit lajitella suodattimia ja tunnistaa suodattimen nopeasti avaamatta sen ominaisuuksia.
Valitse OK.
Lisää luetteloon suodatustoimintoja toistamalla vaiheet 4 - 8.