Un'operazione filtro definisce i requisiti di sicurezza per la trasmissione dei dati. Le operazioni filtro possono essere definite prima o durante la creazione di un criterio. Gli elenchi di filtri sono disponibili per qualsiasi criterio. Per definire un elenco di filtri, fare clic con il pulsante destro del mouse sul nodo Criteri di sicurezza IP e scegliere Gestisci elenchi filtri IP e operazioni filtro.
Le operazioni filtro possono essere configurate in modo da:
Autorizzare il traffico
IPSec passa il traffico inviato o ricevuto dal driver TCP/IP senza modifiche o senza requisiti di sicurezza. Questo tipo di funzionamento è appropriato per il traffico proveniente da computer che non supportano IPSec. Quando si utilizza questo tipo di operazione filtro è importante limitare al massimo l'ambito dell'elenco di filtri IP, in modo da evitare il passaggio di traffico che dovrebbe essere protetto.
Prendere in considerazione la possibilità di autorizzare il traffico ICMP per la risoluzione dei problemi. Potrebbe inoltre essere necessario consentire a un computer non incluso nel dominio, ad esempio il computer di un consulente, l'accesso a un altro computer del dominio. Per consentire tale accesso è possibile utilizzare l'operazione filtro di autorizzazione.
Importante | |
L'operazione filtro di autorizzazione consente l'accesso senza autenticazione, integrità dei dati o crittografia. Chiunque utilizzi un computer con l'indirizzo IP specificato nell'elenco di filtri è autorizzato all'accesso. Tutto il traffico tra i computer si svolge senza protezione e non viene eseguita alcuna verifica di integrità. |
Bloccare il traffico
IPSec elimina il traffico in modo invisibile all'utente. Quando si utilizza un'operazione filtro di blocco, assicurarsi di utilizzare un elenco di filtri IP che definisca l'ambito di indirizzi IP corretto. L'utilizzo di ambiti più ampi può comportare il blocco del traffico tra computer validi.
Negoziare la sicurezza
Se si attiva l'opzione Accetta comunicazioni non sicure, ma rispondi sempre usando IPSec, IPSec tenterà di negoziare le associazioni di sicurezza (SA, Security Association) e l'invio o la ricezione di traffico protetto tramite IPSec. Se tuttavia il computer peer non può utilizzare IPSec, verranno consentite le comunicazioni senza protezione IPSec. Se si è scelta questa operazione filtro, sarà inoltre possibile eseguire le configurazioni seguenti:
- Metodi di sicurezza e relativo ordinamento. L'elenco di metodi definisce l'ordine in cui i metodi verranno tentati. Verrà utilizzato il primo metodo che ha esito positivo e i metodi restanti non verranno tentati. I metodi vengono in genere ordinati dal più sicuro al meno sicuro, in modo che venga utilizzato il più sicuro.
- Autorizzazione del traffico non protetto in ingresso iniziale (Accetta comunicazioni non protette, ma rispondi sempre usando IPSec). IPSec consente l'ingresso di pacchetti non protetti da IPSec quando questi siano corrispondenti all'elenco di filtri configurato. La risposta in uscita al pacchetto in ingresso deve tuttavia essere protetta. Questa impostazione risulta utile se si utilizza per i client la regola di risposta predefinita. Se un gruppo di server è configurato con una regola che assicura la sicurezza delle comunicazioni con qualsiasi indirizzo IP e accetta la comunicazione non protetta rispondendo solo con comunicazioni protette, l'attivazione della regola di risposta predefinita sui client garantisce che i client risponderanno alle richieste del server per la negoziazione della sicurezza. È consigliabile disattivare questa opzione per i computer sicuri connessi a Internet, allo scopo di evitare attacchi Denial of Service.
- Attivazione della comunicazione con computer non abilitati per IPSec (Consenti comunicazioni non sicure se non è possibile stabilire una connessione sicura). IPSec consente la comunicazione non protetta, se necessario. Anche in questo caso è opportuno limitare l'elenco di filtri IP a un ambito minimo. In caso contrario, infatti, nelle comunicazioni su cui ha effetto la regola in cui risiede questa operazione filtro potrebbe verificarsi l'invio di dati senza sicurezza se la negoziazione avesse esito negativo per qualsiasi motivo. Se si desidera evitare la comunicazione non protetta, è possibile disattivare queste impostazioni. In questo caso, tuttavia, è possibile che venga bloccata la comunicazione con i computer che non possono avviare IPSec, ad esempio i sistemi legacy. È consigliabile disattivare questa opzione per i computer sicuri connessi a Internet, allo scopo di evitare attacchi Denial of Service.
- Generazione di chiavi di sessione in modalità rapida da nuovo materiale per le chiavi in modalità principale (chiave di sessione PFS). L'attivazione della chiave di sessione PFS (Perfect Forward Secrecy) garantisce che il materiale per le chiavi master in modalità principale non possa essere utilizzato per generare più di una chiave di sessione in modalità rapida. Se è attivato PFS in modalità rapida, prima di creare la nuova chiave in modalità rapida viene eseguito un altro scambio di chiavi Diffie-Hellman per generare nuovo materiale per le chiavi master in modalità principale. La chiave di sessione PFS in modalità rapida non richiede la riautenticazione in modalità principale e comporta un utilizzo di risorse inferiore rispetto alla chiave master PFS in modalità principale.
Metodi di sicurezza IPSec
Ogni metodo di sicurezza definisce i requisiti di sicurezza di tutte le comunicazioni a cui viene applicata la regola associata. La creazione di più metodi di sicurezza aumenta la possibilità di trovare un metodo comune tra due computer. Il componente IKE (Internet Key Exchange) legge l'elenco dei metodi di sicurezza in ordine decrescente e invia un elenco dei metodi di sicurezza consentiti all'altro peer. Verrà selezionato il primo metodo comune. I metodi più sicuri vengono in genere posizionati all'inizio dell'elenco e i metodi meno sicuri nella parte inferiore.
Metodi di sicurezza predefiniti
Di seguito sono elencati i metodi di sicurezza predefiniti:
Crittografia e integrità
Utilizza il protocollo ESP per garantire la riservatezza (crittografia) dei dati mediante l'algoritmo 3DES (Triple Data Encryption Standard), l'integrità e l'autenticazione dei dati mediante l'algoritmo SHA1 (Secure Hash Algorithm 1) e la durata predefinita delle chiavi (100 MB, 1 ora). Se è necessaria sia la protezione dei dati che quella dell'indirizzamento (intestazione IP), è possibile creare un metodo di sicurezza personalizzato. Se non è necessaria la crittografia, utilizzare Solo integrità.
Solo integrità
Utilizza il protocollo ESP per assicurare l'integrità e l'autenticazione dei dati mediante l'algoritmo di integrità SHA1 e la durata standard delle chiavi (100 MB, 1 ora). In questa configurazione il protocollo ESP non assicura la riservatezza (crittografia) dei dati.
Metodi di sicurezza personalizzati
Se i metodi predefiniti Crittografia e integrità o Solo integrità non soddisfano i requisiti di sicurezza, è possibile specificare metodi di sicurezza personalizzati. I metodi personalizzati possono essere utilizzati, ad esempio, quando è necessario specificare la crittografia e l'integrità degli indirizzi, algoritmi di livello più elevato o le durate delle chiavi. Per un metodo di sicurezza personalizzato è possibile configurare gli elementi seguenti:
Protocolli di sicurezza
Se sono richieste l'integrità dell'intestazione IP e la crittografia dei dati, in un metodo di sicurezza personalizzato possono essere attivati sia AH (integrità dati e indirizzi senza crittografia) che ESP (integrità dati con crittografia). Se si sceglie di attivare entrambi, non è necessario specificare un algoritmo di integrità per ESP.
Nota | |
Non è possibile utilizzare il protocollo AH su dispositivi NAT (Network Address Translation), perché utilizza un hash dell'intestazione. Poiché i dispositivi NAT modificano l'intestazione, il pacchetto non verrebbe autenticato correttamente. |
Algoritmo di integrità
MD5 (Message Digest 5), che utilizza una chiave a 128 bit. Questo algoritmo non è più considerato sicuro e deve essere utilizzato solo per esigenze di interoperabilità.
SHA1, che utilizza una chiave a 160 bit. SHA1 produce un hash di livello più elevato rispetto a MD5 ed è compatibile con lo standard FIPS (Federal Information Processing Standard).
Algoritmo di crittografia
3DES è la combinazione DES che offre maggiore sicurezza e, di conseguenza, prestazioni leggermente minori in termini di velocità. 3DES elabora ogni blocco tre volte, utilizzando tre chiavi univoche a 56 bit.
DES impiega una sola chiave a 56 bit e viene utilizzato quando la maggiore sicurezza e il relativo sovraccarico che caratterizzano 3DES non sono richiesti. Questo algoritmo non è più considerato sicuro e deve essere utilizzato solo per esigenze di interoperabilità.
Le impostazioni delle chiavi di sessione in modalità rapida determinano il momento e non il modo in cui viene generata una nuova chiave. È possibile specificare una durata in kilobyte (KB), secondi o entrambi. Se ad esempio la comunicazione richiede 10.000 secondi e si specifica una durata della chiave di 1.000 secondi, per completare il trasferimento verranno generate 10 chiavi. Ciò garantisce che un eventuale utente non autorizzato che riuscisse a ottenere una chiave della sessione, potrebbe decifrare una parte della comunicazione, ma non tutta. Per impostazione predefinita, vengono generate nuove chiavi in modalità rapida ogni ora oppure ogni 100 MB di dati. Ogni volta che scade una chiave, oltre all'aggiornamento o alla rigenerazione della chiave viene anche rinegoziata l'associazione di sicurezza (SA).
Per creare un'operazione filtro utilizzando la finestra di dialogo Proprietà nuova regola |
Se si desidera creare l'operazione filtro nella finestra di dialogo delle proprietà, nella scheda Regole della finestra di dialogo Proprietà criterio di sicurezza IP deselezionare la casella di controllo Utilizza Aggiunta guidata. Se si desidera utilizzare la procedura guidata, lasciare selezionata la casella di controllo. Fare clic su Aggiungi. Le istruzioni seguenti si riferiscono alla creazione di un elenco di filtri tramite la finestra di dialogo.
Nella scheda Operazione filtro della finestra di dialogo Proprietà regola deselezionare la casella di controllo Utilizza Aggiunta guidata e fare clic su Aggiungi.
Nella scheda Metodi di sicurezza selezionare il metodo (operazione) che verrà utilizzato dalla regola.
(Facoltativo) Nella scheda Descrizione digitare una descrizione dell'operazione filtro. Tale descrizione faciliterà l'ordinamento delle operazioni filtro e ne consentirà l'identificazione rapida senza che sia necessario esaminarne le proprietà.
Fare clic su OK.
Ripetere i passaggi da 4 a 8 per aggiungere ulteriori operazioni filtro all'elenco.
Nota Benché in ogni regola sia possibile elencare diverse operazioni filtro, ne verrà utilizzata solo una.
Nella scheda Operazione filtro selezionare l'operazione filtro appropriata per la regola e fare clic su OK.
Per creare un'operazione filtro utilizzando la finestra di dialogo Gestisci elenchi filtri IP e operazioni filtro |
Fare clic con il pulsante destro del mouse sul nodo Criteri di sicurezza IP e scegliere Gestisci elenchi filtri IP e operazioni filtro.
Se si desidera creare l'operazione filtro utilizzando la finestra di dialogo delle proprietà, nella scheda Gestione operazioni filtro deselezionare la casella di controllo Utilizza Aggiunta guidata. Se si desidera utilizzare la procedura guidata, lasciare selezionata la casella di controllo. Fare clic su Aggiungi. Le istruzioni seguenti si riferiscono alla creazione di un elenco di filtri tramite la finestra di dialogo. In queste istruzioni non viene utilizzata la procedura guidata.
Nella scheda Metodi di sicurezza selezionare il metodo e fare clic su OK.
Se è stata selezionata l'opzione Negozia sicurezza, sarà possibile aggiungere più metodi e specificare l'ordine in cui questi verranno tentati. A tale scopo, fare clic su Aggiungi.
(Facoltativo) Nella scheda Descrizione digitare una descrizione del filtro. Tale descrizione faciliterà l'ordinamento dei filtri e ne consentirà l'identificazione rapida senza che sia necessario esaminarne le proprietà.
Fare clic su OK.
Ripetere i passaggi da 4 a 8 per aggiungere operazioni filtro all'elenco.