Ezen a párbeszédpanelen beállíthat egy algoritmusjavaslatot, amely mind adatsértetlenséget, mind adatbizalmasságot (titkosítást) tartalmaz, és amely elérhető a gyors módú biztonsági társítások egyeztetése során. Meg kell adnia a hálózati csomagban lévő adatok sértetlenségének biztosítására használt protokollt és algoritmust is.

Az IPsec úgy biztosítja az adatok sértetlenségét, hogy a hálózati csomagban lévő adatok alapján kiszámít egy kivonatot. Ezt a kivonatot aztán kriptográfiai aláírással látja el (titkosítja), és beágyazza az IP-csomagba. A fogadó számítógép ugyanazt az algoritmust használja a kivonat számítására, és összehasonlítja az eredményt a fogadott csomagba beágyazott kivonattal. Ha egyezik, akkor a fogadott információ pontosan megfelel az elküldött információnak, és a rendszer elfogadja a csomagot. Ha nem egyezik, a csomagot a rendszer elveti.

A küldött üzenet titkosított kivonatának használatával számítástechnikai úton lehetetlen úgy módosítani az üzenetet, hogy az ne ütközzön a kivonattal. Ez elengedhetetlen az olyan, nem biztonságos hálózatokon végzett adatcsere során, mint az internet, mivel ellenőrizhetővé teszi, hogy az üzenet az átvitel során nem változott.

A sértetlenség védelme mellett ez a párbeszédpanel lehetővé teszi egy olyan titkosító algoritmus megadását, amely segít az adatok olvasásának megakadályozásában abban az esetben, ha egy hálózati csomaghoz átvitel közben hozzáfér valaki.

A párbeszédpanel elérése

  1. A Fokozott biztonságú Windows tűzfal MMC beépülő modul Áttekintés területén kattintson a Windows tűzfal tulajdonságai elemre.

  2. Kattintson az IPsec-beállítások fülre.

  3. Az IPsec-alapértelmezések területen kattintson a Testreszabás gombra.

  4. Az Adatvédelem (gyors mód) területen válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.

  5. Az Adatsértetlenség és -titkosítás területen válasszon ki a listából egy algoritmuskombinációt, és kattintson a Szerkesztés vagy a Hozzáadás gombra.

Protokoll

A következő protokollok a sértetlenségi és titkosítási adatok IP-csomagba való beágyazására használhatók.

ESP (ajánlott)

Az ESP protokoll biztosítja az IP-tartalom titkosítását (a hitelesítésen, a sértetlenségen és a visszajátszás elleni védelmen túl). Az ESP az átviteli módban nem írja alá a teljes csomagot. Csak az IP adattartalmát védi (az IP-fejlécet nem). Az ESP használható önmagában vagy hitelesítési fejléccel együtt. Az ESP használata esetén a kivonat kiszámítása csak az ESP-fejlécet, -lezárót és -tartalmat foglalja magában. Az ESP úgy kínál adatvédelmi szolgáltatásokat, hogy egy vagy több támogatott titkosító algoritmussal titkosítja az ESP adattartalmat. A csomag-visszajátszási szolgáltatásokat a csomagok sorszámozása teszi lehetővé.

ESP és AH

Ez a beállítás egyesíti az ESP és az AH protokoll biztonságát. Az AH protokoll hitelesítést, sértetlenséget és visszajátszást biztosít a teljes csomagnak (az IP-fejlécnek és a csomagban szállított adattartalomnak is).

Fontos!

Az AH protokoll nem kompatibilis a hálózati címfordítással (NAT), mert a NAT-eszközök információcserét igényelnek a csomag fejlécekben. Az IPsec-alapú forgalom NAT-eszközökön való átjutásához meg kell győződnie arról, hogy az IPsec-társszámítógépek támogatják a NAT-átjárást (NAT-T).

Algoritmusok

Titkosítási algoritmus

A Windows ezen verzióját futtató számítógépeken a következő titkosítási algoritmusok használhatók. Ezen algoritmusok egy része nem érhető el a Windows régebbi verzióit futtató számítógépeken. Ha a Windows egy korábbi verzióját futtató számítógéppel szeretne az IPsec által védett kapcsolatot létesíteni, akkor olyan algoritmust kell választania, amely kompatibilis a korábbi verzióval.

További információt a Windows rendszerben támogatott IPsec-algoritmusokat és módszereket ismertető cikkben (előfordulhat, hogy a lap angol nyelven jelenik meg) (https://go.microsoft.com/fwlink/?LinkID=129230) talál.

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES (Data Encryption Standard)

Biztonsági Megjegyzés

Azt javasoljuk, hogy ne használja a DES szabványt. Csak a korábbi verziókkal való kompatibilitás megőrzésére szolgál.

Megjegyzés

Ha egy AES-GCM algoritmust ad meg a titkosításhoz, ugyanezt az algoritmust kell megadnia a sértetlenséghez is.

Sértetlenségi algoritmus

A következő adatsértetlenségi algoritmusok csak a Windows ezen verzióját futtató számítógépeken használhatók. Ezen algoritmusok egy része nem érhető el a Windows más verzióit futtató számítógépeken. Ha a Windows egy korábbi verzióját futtató számítógéppel szeretne az IPsec által védett kapcsolatot létesíteni, akkor olyan algoritmust kell választania, amely kompatibilis a korábbi verzióval.

További információt a Windows rendszerben támogatott IPsec-algoritmusokat és módszereket ismertető cikkben (előfordulhat, hogy a lap angol nyelven jelenik meg) (https://go.microsoft.com/fwlink/?LinkID=129230) talál.

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

Biztonsági Megjegyzés

Az MD5 használata nem javasolt. Csak a korábbi verziókkal való kompatibilitás megőrzésére szolgál.

Megjegyzés

Ha AES-GCM algoritmust ad meg a sértetlenséghez, akkor ugyanezt az algoritmust kell megadnia a titkosításhoz is.

Kulcsok élettartama

Az új kulcsok létrehozásának időpontját az élettartam-beállítások határozzák meg. A kulcsok élettartama lehetővé teszi az új kulcsok létrehozásának kikényszerítését egy adott időtartam vagy egy adott mennyiségű elküldött adat után. Ha a kommunikáció például 100 percig tart és a kulcs élettartama 10 perc, az adatcsere során a rendszer minden tizedik percben hoz létre egy új kulcsot (azaz összesen 10 kulcsot generál). Több kulcs használatával biztosítható, hogy ha a behatoló megszerzi a kommunikáció egy részéhez tartozó kulcsot, a kommunikáció akkor sincs veszélyben.

Megjegyzés

Ez a kulcsregeneráció a gyors módú adatsértetlenségre és -titkosításra vonatkozik, és nem befolyásolja az alapmódú kulcscsere kulcsélettartamának beállításait.

Perc

Ezzel a beállítással megadhatja (percekben), hogy milyen hosszú a gyors módú biztonsági társításhoz használt kulcs élettartama. Ezután az intervallum után a kulcs regenerálódik. Az ezt követő kommunikációs folyamatok már az új kulcsot használják.

A maximális élettartam 2 879 perc (48 óra). A minimális élettartam 5 perc. Azt ajánljuk, hogy csak olyan gyakran hozzon létre újra kulcsot, ahogy a kockázatelemzés igényli. A túl gyakori kulcsváltás hatással lehet a teljesítményre.

KB

Ezzel a beállítással konfigurálhatja, hogy hány kilobájtnyi (KB) adat küldhető át egy adott kulccsal. A küszöbérték elérése után a számláló visszaáll alaphelyzetbe, és a rendszer újragenerálja a kulcsot. Az ezt követő kommunikációs folyamatok már az új kulcsot használják.

A maximális élettartam 2 147 483 647 kilobájt lehet. A minimális élettartam 20 480 KB lehet. Azt ajánljuk, hogy csak olyan gyakran hozzon létre újra kulcsot, ahogy a kockázatelemzés igényli. A túl gyakori kulcsváltás hatással lehet a teljesítményre.

Lásd még

Tartalom