השתמש בתיבת דו-שיח זו כדי לקבוע תצורה של הצעת אלגוריתם של תקינות נתונים הזמינה בעת המשא ומתן על שיוכי אבטחה של מצב מהיר. עליך לציין הן את הפרוטוקול והן את האלגוריתם המשמשים להגנה על תקינות הנתונים במנת הרשת.

'פרוטוקול אבטחת אינטרנט' (IPsec) מספק תקינות על-ידי חישוב קוד Hash שנוצר מהנתונים במנת הרשת. לאחר מכן קוד ה- Hash נחתם באמצעות הצפנה (מוצפן) ומוטמע במנת ה- IP. המחשב המקבל משתמש באותו אלגוריתם כדי לחשב את קוד ה- Hash ומשווה את התוצאה שלו לקוד ה- Hash המוטמע במנה שהתקבלה. אם ישנה התאמה, המידע שהתקבל זהה לחלוטין למידע שנשלח והמנה מתקבלת. אם אין התאמה, המנה תושמט.

שימוש בקוד Hash מוצפן של ההודעה המשודרת אינו מאפשר לשנות את ההודעה באופן חישובי מבלי לגרום לחוסר התאמה של קוד ה- hash. דבר זה קריטי בעת העברת נתונים על-גבי רשת לא מאובטחת, כגון האינטרנט, מכיוון שהוא מספק דרך לדעת שההודעה לא השתנתה במהלך ההעברה.

כדי להגיע לתיבת דו-שיח זו

  1. בעמוד יישום ה- Snap-in מסוג MMC של חומת האש של Windows עם רכיבי אבטחה מתקדמים, במבט כולל, לחץ על מאפייני חומת אש של Windows.

  2. לחץ על הכרטיסיה הגדרות IPsec.

  3. תחת ברירות מחדל של IPsec, לחץ על התאמה אישית.

  4. תחת הגנה על נתונים (מצב מהיר), בחר במתקדםולאחר מכן לחץ על התאמה אישית.

  5. תחת תקינות נתונים, בחר צירוף של אלגוריתמים מהרשימה ולחץ על עריכה או הוספה.

פרוטוקול

הפרוטוקולים הבאים משמשים להטמעת מידע התקינות במנת IP.

ESP (מומלץ)

ESP מספק הגנת אימות, תקינות ואמצעי למניעת הפעלה חוזרת עבור תוכן מנת ה- IP. ESP המשמש במצב תעבורה אינו חותם על כל המנה. רק תוכן מנת ה- IP ולא כותרת IP מוגן. ניתן להשתמש ב- ESP בנפרד או בשילוב עם AH. עם ESP, חישוב קוד ה- Hash כולל את הכותרת, כותרת הסיום ותוכן המנה של ה- ESP בלבד. ל- ESP יש אפשרות לספק שירותי סודיות נתונים על-ידי הצפנת תוכן מנת ה- ESP באמצעות אחד ממספר אלגוריתמים נתמכים של הצפנה. שירותי תגובה למנות ניתנים באמצעות כלילת מספר רצף עבור כל מנה.

AH

פרוטוקול AH מספק אימות, תקינות ואמצעי למניעת הפעלה חוזרת עבור המנה כולה (הן עבור כותרת IP והן עבור נתוני תוכן המנה המועברים). הוא אינו מספק סודיות, כלומר אינו מצפין את הנתונים. הנתונים קריאים, אך מוגנים מפני שינויים. חלק מהשדות שניתן לשנות במהלך המעבר אינם נכללים בחישוב קוד ה- Hash. שירותי הפעלה חוזרת מסופקים דרך הכללת מספר רצף עבור כל מנה.

חשוב

פרוטוקול AH אינו תואם ל'תרגום כתובות רשת' (NAT) מכיוון שהתקני NAT משנים את המידע בחלק מכותרות המנות הנכללות בקוד ה- Hash של התקינות. כדי לאפשר לתעבורה מבוססת-IPsec לעבור דרך התקן NAT, עליך להשתמש ב- ESP ולוודא שחציית NAT ‏(NAT-T) זמינה במחשבים העמיתים מסוג IPsec.

עטיפת נתונים מסוג Null

עטיפת נתונים מסוג Null מציינת שאין ברצונך להשתמש בהגנת תקינות או הצפנה מכל סוג שהוא בתעבורת הרשת. האימות עדיין מתבצע כנדרש על-ידי כללי האבטחה של החיבור, אך לא מסופקת אף הגנה אחרת למנות הרשת המועברות דרך שיוך אבטחה זה.

אבטחה הערה

מכיוון שאפשרות זו אינה מספקת הגנת תקינות או סודיות מכל סוג שהוא, אנו ממליצים שתשתמש בה רק אם עליך לתמוך בתוכנה או בהתקני רשת שאינם תואמים ל- ESP או ל- AH.

אלגוריתמים

אלגוריתמי התקינות הבאים זמינים למחשבים שבהם פועלת גירסה זו של Windows. חלק מאלגוריתמים אלה אינם זמינים במחשבים שבהם פועלות גירסאות אחרות של Windows. אם עליך ליצור חיבורים שמוגנים על-ידי IPsec באמצעות מחשב שבו פועלת גירסה מוקדמת של Windows, עליך לכלול אפשרויות אלגוריתמים התואמים לגירסה המוקדמת.

לקבלת מידע נוסף, ראה אלגוריתמים ושיטות של IPsec הנתמכים ב- Windows ‏(https://go.microsoft.com/fwlink/?linkid=129230) (ייתכן שהעמוד יוצג באנגלית).

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    שים לב

    MD5 אינו נחשב עוד כמאובטח ויש להשתמש בו רק למטרות בדיקה או במקרים שבהם למחשב המרוחק אין אפשרות להשתמש באלגוריתם מאובטח יותר. הוא מסופק עבור תאימות לאחור בלבד.

אורך חיים של מפתח

הגדרות אורך החיים קובעות את מועד היצירה של מפתח חדש. אורך החיים של מפתח מאפשר לך לכפות יצירה של מפתח חדש לאחר מרווח זמן שצוין או לאחר שהועברה כמות נתונים שצוינה. לדוגמה, אם התקשורת נמשכת 100 דקות ואורך החיים של המפתח נקבע ל- 10 דקות, יופקו 10 מפתחות (מפתח אחד בכל 10 דקות) במהלך חילופי הנתונים. שימוש במספר רב של מפתחות מבטיח שאם תוקף מצליח להשיג את המפתח לחלק אחד של התקשורת, התקשורת כולה לא תיחשף.

הערה

פעולה זו של יצירה מחדש של מפתחות מיועדת לתקינות נתונים של מצב מהיר בלבד. הגדרות אלה אינן משפיעות על הגדרות אורך החיים של המפתח עבור חילופי מפתחות של מצב ראשי.

דקות

השתמש בהגדרה זו כדי לקבוע את אורך חייו, בדקות, של המפתח המשמש בשיוכי אבטחה של מצב מהיר. לאחר פרק זמן זה, מפתח חדש ייווצר. פעילויות תקשורת עוקבות ישתמשו במפתח החדש.

אורך החיים המקסימלי הוא 2,879 דקות (48 שעות). אורך החיים המינימלי הוא 15 דקות. מומלץ שתיצור מחדש מפתחות רק בתדירות שדורש ניתוח הסיכונים. יצירה מחדש מוגזמת של מפתחות עשויה להשפיע על הביצועים.

KB

השתמש בהגדרה זו כדי לקבוע את כמות הנתונים בקילו-בתים (KB) שנשלחים באמצעות המפתח. לאחר שהמכסה מתמלאת, המונה מאופס והמפתח נוצר מחדש. פעילויות תקשורת עוקבות ישתמשו במפתח החדש.

אורך החיים המקסימלי הוא ‎2,147,483,647 KB. אורך החיים המינימלי הוא 20,480‎ KB‎‎. אנו ממליצים שתיצור מחדש מפתחות רק בתדירות שדורש ניתוח הסיכונים. יצירה מחדש מוגזמת של מפתחות עשויה להשפיע על הביצועים.

למידע נוסף


תוכן העניינים