A szűrőműveletek határozzák meg az adatátvitel biztonsági követelményeit. Szűrőműveletek definiálhatók a házirend létrehozásakor vagy a házirend létrehozása előtt. A szűrőlisták minden házirendben elérhetők. Szűrőlista definiálásához kattintson a jobb gombbal az IP-biztonsági házirend csomópontra és mutasson a Szűrőlisták és szűrőműveletek kezelése elemre.
Egy szűrőművelet a következőképpen működhet:
Forgalom engedélyezése
Az IPsec eszköz a TCP/IP-illesztőprogramtól érkező és afelé haladó forgalmat módosítás és biztonsági követelmény nélkül irányítja. Ez akkor megfelelő eljárás, ha IPsec nélküli számítógépekkel jön létre az adatátvitel. Ilyen szűrőművelet használatakor a lehető legszűkebb hatókört állítsa be az IP-szűrőlistához, hogy az ne engedje át a titkosítani kívánt forgalmat.
Fontolja meg az ICMP-forgalom engedélyezését hibaelhárítási okokból. Szükséges lehet a tartományon kívüli számítógép (például egy tanácsadó számítógépe) hozzáférésének engedélyezése a tartományban működő egyik számítógéphez. A szűrőművelet engedélyezése művelet használható a hozzáférés engedélyezésére.
Fontos! | |
A szűrőművelet engedélyezése művelet hitelesítés, sértetlenség vagy titkosítás nélkül biztosít hozzáférést. Bármely számítógép, amely a szűrőlistában megadott IP-címet használja, hozzáférést kap. A számítógépek között minden forgalom egyszerű szövegként történik, nincs sértetlenségi ellenőrzés. |
Forgalom letiltása
Az IPsec üzenet nélkül figyelmen kívül hagyja letiltott adatforgalmat. Letiltott szűrőművelet használatakor, mindenképp használjon egy IP szűrőlistát az IP-címek pontos körének meghatározásához. Nagyobb hatáskör használata növeli az érvényes számítógépek közötti forgalom blokkolásának lehetőségét.
Biztonsági szint egyeztetése
Amennyiben bejelöli a Nem biztonságos kommunikáció fogadása, de válasz IPsec-kel jelölőnégyzetet, az IPsec egyezteti a biztonsági társításokat (SA) és az IPsec-védelemmel rendelkező adatforgalom küldését és fogadását. Ha azonban a társ nem tudja használni az IPsec alkalmazást, a kommunikáció IPsec védelem nélkül lesz engedélyezve. Ha ilyen szűrőfeltétel mellett dönt, az alábbiakat is beállíthatja:
- A biztonsági módszerek és sorrendjük. Ez a módszerlista határozza meg a végrehajtás sorrendjét. A rendszer az első sikeres módszert használja és a nem hajtja végre a többi módszert. A listának jellemzően a legmagasabb biztonsági szinttől kellene haladnia a legalacsonyabb biztonsági szintig, így a rendszer a legbiztonságosabb módszert használhatja.
- A kezdeti nem biztonságos bejövő forgalom fogadása (Nem biztonságos kommunikáció fogadása, de válasz IPsec-kel). Az IPSec engedélyezi az olyan bejövő csomagokat, amelyeket a beállított szűrőlista nem biztonságosnak (az IPSec által nem védettnek) határoz meg. A kimenő választ ennek ellenére titkosítani kell. Ez a beállítás akkor hasznos, ha az alapértelmezett válaszadási szabályokat használja az ügyfelekhez. Ha kiszolgálók egy csoportja úgy van beállítva, hogy bármely IP-címmel titkosítsa a kommunikációt, és elfogadja a nem biztonságos kommunikációt, de mindig titkosítva válaszoljon, akkor úgy érheti el, hogy az ügyfél válaszoljon a kiszolgáló biztonsági egyeztetési igényére, hogy engedélyezi az alapértelmezett válaszadási szabályokat az ügyfélszámítógépen. Az internetre csatlakozó biztonságos számítógépek esetén ajánlott letiltani ezt a beállítást a szolgáltatás elérhetetlenségét okozó támadások elkerülése érdekében.
- Nem biztonságos kommunikáció engedélyezése IPsec nélküli számítógéppel (Visszatérés a nem biztonságos kommunikációra). Az IPsec szükség esetén nem biztonságos kommunikációra vált vissza. Ilyenkor is a lehető legszűkebb hatókörre korlátozza az IP-szűrőlistát. Ellenkező esetben a rendszer titkosítás nélkül küldheti az adatokat a szabály hatókörébe eső olyan kommunikáció esetén, amelynél az egyeztetés bármilyen okból sikertelen. Ha aggódik a nem biztonságos kommunikáció miatt, tiltsa le ezeket a beállításokat. Azonban az IPSec használatára nem képes számítógépekkel (például a régi rendszerekkel) történő kommunikációt blokkolhatja a rendszer. Az internetre csatlakozó biztonságos számítógépek esetén ajánlott letiltani ezt a beállítást a szolgáltatás elérhetetlenségét okozó támadások elkerülése érdekében.
- Gyors módú munkamenetkulcsok létrehozása új kulcsalapból (A munkamenetkulcs sérülés utáni titkosságvédelme (PFS)). A munkamenetkulcs PFS-védelmének engedélyezése biztosítja, hogy az alapmódú főkulcsalapot ne lehessen egynél több gyors módú munkamenetkulcs létrehozására használni. Amikor a gyors módú PFS-védelem engedélyezett, az új gyors módú munkamenetkulcs létrehozását megelőzően új Diffie-Hellman kulcscserére kerül sor, hogy új alapmódú főkulcsalap jöjjön létre. A (gyors módú) munkamenetkulcs PFS-védelme nem igényel alapmódú újrahitelesítést, és kevesebb erőforrást használ, mint a főkulcs (alapmódú) PFS-védelme.
IPsec biztonsági eljárások
Valamennyi biztonsági módszer azon kapcsolatok biztonsági követelményeit határozza meg, amelyekre a módszerhez tartozó szabály vonatkozik. Több biztonsági módszer létrehozása esetén nagyobb az esélye annak, hogy a két számítógép rendelkezik közös módszerrel. Az Internetes kulcscsere (IKE) komponens csökkenő sorrendben beolvassa a biztonsági módszerek listáját, majd a másik félnek elküldi az engedélyezett biztonsági módszerek listáját. Az első közös módszert választja ki. Általában a legbiztonságosabb módszerek kerülnek a lista elejére, a legkevésbé biztonságosak a lista végére.
Előre definiált biztonsági módszerek
A következő előre definiált biztonsági módszerek léteznek:
Titkosítás és sértetlenség
Az ESP protokoll garantálja az adatbiztonságot (titkosítás) a 3DES algoritmussal, és az adatok integritását és hitelesítését az SHA1 integritási algoritmussal, alapértelmezett kulcsélettartam (100 megabájt (MB), 1 óra) mellett. Az adatok és a címek védelmének együttes biztosítására egyéni biztonsági módszer hozható létre. Ha nincs szükség titkosításra, használható a Csak sértetlenség beállítás.
Csak sértetlenség
Az ESP protokoll használatos az adatok integritásának és hitelességének elérésére, az SHA1 integritás-algoritmussal és az alapértelmezett kulcsélettartammal (100 MB, 1 óra). Ezen beállítás mellett az ESP nem biztosítja az adatok titkosítását.
Egyéni biztonsági módszerek
Ha az előre megadott Titkosítás és sértetlenség vagy Csak sértetlenség beállítás nem felel meg biztonsági elvárásainak, megadhat egyéni biztonsági beállításokat. Használhat egyéni beállításokat akkor, ha például titkosítást és címzési integritást, erősebb algoritmusokat vagy más kulcsélettartamot szeretne megadni. Az egyéni biztonsági módszer megadása során az alábbiakat állíthatja be:
Biztonsági protokoll
Mind az Adatok és címek sértetlensége titkosítás nélkül (AH), mind az Adatok sértetlensége és titkosítás (ESP) beállítás engedélyezhető az egyéni biztonsági beállítások megadásakor, amennyiben szükséges az IP-címek sértetlensége és az adatok titkosítása. Ha mindkettő engedélyezett, nem szükséges az ESP számára integritási algoritmust megadnia.
Megjegyzés | |
Az AH-protokoll nem használható a hálózati címfordításon (NAT) keresztül, mert kivonatot használ a fejlécekben. A hálózati címfordítás eszközök felülírják a fejlécet, így a csomag nem hitelesít megfelelően. |
Sértetlenségi algoritmus
128 bites kulcsot használó MD5 (Message Digest 5) algoritmus. Ez az algoritmus a továbbiakban nem minősül biztonságosnak és csak akkor használható, ha az együttműködés ezt megkívánja.
160 bites kulcsot használó SHA1 algoritmus. A SHA1 erősebb kivonat az MD5 algoritmusnál és megfelel a Federal Information Processing Standard (szövetségi adatfeldolgozási szabvány - FIPS) szabványnak.
Titkosítási algoritmus
A 3DES a legbiztonságosabb DES-beállítás, bár a teljesítménye kicsit kisebb. A 3DES minden blokkot háromszor dolgoz fel, minden alkalommal egyedi 56 bites kulccsal.
A DES egyetlen 56 bites kulccsal dolgozik, használata akkor indokolt, ha a magasabb biztonsági szintre vagy a 3DES algoritmusra nincs szükség. Ez az algoritmus a továbbiakban nem minősül biztonságosnak és csak akkor használható, ha az együttműködés ezt megkívánja.
A (gyors módú) munkamenetkulcs beállításai az új kulcs generálásának idejét határozzák meg, nem a módját. Kulcsélettartam megadható kilobájtban (KB), másodpercben vagy mindkettőben. Ha a kommunikáció például 10 000 másodpercig tart, és a kulcsélettartam 1000 másodperc, akkor az átvitel során 10 kulcsot hoz létre a rendszer. Ezáltal, ha egy támadó hozzáfér az egyik kulcshoz, és a kommunikáció egy részét megfejti, a kommunikáció egészét nem tudja megfejteni. Alapértelmezés szerint minden 100 MB adatra és minden órára új gyors módú kulcs jön létre. Bármelyik kulcs élettartamának lejárta után a kulcs frissítésén vagy újbóli létrehozásán kívül a biztonsági társítás újbóli egyeztetését is végre kell hajtani.
Új szűrőművelet létrehozása az Új szabály tulajdonságai párbeszédpanellel |
Az IP-biztonság házirend tulajdonságai párbeszédpanelen található Szabályok lapon törölje a Hozzáadás varázsló jelölőnégyzet jelölését, amennyiben a tulajdonságok párbeszédpanelen kívánja létrehozni a szűrőműveletet. A varázsló használatához hagyja bejelölve a jelölőnégyzetet. Kattintson a Hozzáadás gombra. A következő utasítások a szűrőlista párbeszédpanelen történő létrehozását segítik.
A Szabály tulajdonságai párbeszédpanelen található Szűrőfeltétel lapon törölje a Hozzáadás varázsló jelölőnégyzet jelölését és kattintson a Hozzáadás gombra.
A Biztonsági módszerek lapon jelölje be a szabály által használt módszert.
(Nem kötelező) A Leírás lapon írja be a szűrőművelet leírását. Ez a leírás segít a szűrőműveletek rendezésében és gyors azonosításában a szűrőműveletek tulajdonságainak megnyitása nélkül.
Kattintson az OK gombra.
Ismételje meg a 4-8. lépést a további szűrőműveletek listához adásához.
Megjegyzés A szabály ugyan számos szűrőműveletet felsorol, egy szabályban csak egy szűrőművelet használható.
A Szűrőműveletek lapon jelölje be a szabálynak megfelelő szűrőműveletet, majd kattintson az OK gombra.
Új szűrőművelet létrehozása a Szűrőlisták és szűrőműveletek kezelése párbeszédpanellel |
Kattintson a jobb gombbal az IP-biztonsági házirend csomópontra és jelölje be az IP szűrőlisták és szűrőműveletek kezelése elemet.
A Szűrőműveletek kezelése lapon törölje a Hozzáadás varázsló jelölőnégyzet jelölését, amennyiben a tulajdonságok párbeszédpanelen kívánja létrehozni a szűrőműveletet. A varázsló használatához hagyja bejelölve a jelölőnégyzetet. Kattintson a Hozzáadás gombra. A következő utasítások a szűrőlista párbeszédpanelen történő létrehozását segítik. Az alábbi utasításokat követve a varázsló nem használható.
A Biztonsági módszerek lapon jelölje be a módszert és kattintson az OK gombra.
Amennyiben a Biztonsági szint egyeztetése beállítást választja, a program több módszer hozzáadását és a végrehajtási sorrend meghatározását teszi lehetővé. Ehhez kattintson a Hozzáadás elemre.
(Nem kötelező) A Leírás lapon írja be a szűrő leírását. Ez a leírás segít a szűrők rendezésében és a gyors azonosításban a szűrők tulajdonságainak megnyitása nélkül.
Kattintson az OK gombra.
Ismételje meg az utasításokat a négyestől a nyolcas lépésig további szűrőműveletek listához adásához.