Bruk denne dialogboksen til å konfigurere et tilbud om en dataintegritetsalgoritme som er tilgjengelig under forhandling av sikkerhetstilordninger i hurtigmodus. Du må angi både protokollen og algoritmen som skal brukes til å beskytte integriteten i dataene i nettverkspakken.
Internet Protocol-sikkerhet (IPsec) gir integritet ved å beregne en hash-kode generert fra dataene i nettverkspakken. Hash-koden blir deretter kryptografisk signert (kryptert) og bygd inn i IP-pakken. Mottaksdatamaskinen bruker samme algoritme til å beregne hash-koden og sammenligner resultatet med hash-koden som er innebygd i den mottatte pakken. Hvis kodene er like, er informasjonen som ble mottatt, nøyaktig den samme som informasjonen som ble sendt. Dermed godtas pakken. Hvis kodene ikke er like, droppes pakken.
Ved å bruke en kryptert hash-kode for den overførte meldingen blir det beregningsmessig ugjennomførbart å endre meldingen uten at det ødelegger samsvaret mellom hash-kodene. Dette er svært viktig når data utveksles via et usikret nettverk, for eksempel Internett, fordi det gjør det mulig å finne ut om meldingen har blitt endret under overføring.
Slik åpner du denne dialogboksen |
På siden i MMC-snapin-modulen Windows-brannmur med avansert sikkerhet klikker du Egenskaper for Windows-brannmur under Oversikt.
Klikk kategorien IPsec-innstillinger.
Klikk Tilpass under IPsec-standarder.
Velg Avansert under Databeskyttelse (hurtigmodus), og klikk deretter Tilpass.
Velg en algoritmekombinasjon fra listen under Dataintegritet, og klikk Rediger eller Legg til.
Protokoll
Protokollene nedenfor brukes til å bygge inn integritetsinformasjonen i en IP-pakke.
ESP (anbefales)
ESP gir godkjenning, integritet og beskyttelse mot nye avspillinger for IP-nyttelasten. ESP brukt i transportmodus signerer ikke hele pakken. Bare IP-nyttelasten beskyttes, ikke IP-hodet. ESP kan brukes alene eller sammen med AH-hodet. Med ESP tar beregningen av hash-kode bare med ESP-hodet, -halen og -nyttelasten. ESP kan eventuelt tilby datakonfidensialitetstjenester ved å kryptere ESP-nyttelasten med én av flere krypteringsalgoritmer som støttes. Tjenester for pakkegjenavspilling er gjort tilgjengelige ved hjelp av et sekvensnummer for hver pakke.
AH
AH gir godkjenning og integritet for hele pakken og gir beskyttelse mot nye avspillinger av pakken (både IP-hodet og datanyttelasten i pakken). Det gir ikke konfidensialitet, som betyr at dataene ikke blir kryptert. Dataene kan leses, men er beskyttet mot endring. Noen felt som du kan endre under overføring, tas ikke med i beregningen av hash-kode. Tjenester for ny avspilling av pakke er gjort tilgjengelige ved hjelp av et sekvensnummer for hver pakke.
Viktig! | |
AH-protokollen er ikke kompatibel med nettversadresseoversetting (NAT), ettersom NAT-enheter endrer informasjon i noen av pakkehodene som er inkludert i hash-koden for integritet. Hvis du vil tillate at IPsec-basert trafikk passerer gjennom en NAT-enhet, må du bruke ESP og sikre at NAT-traversering (NAT-T) er aktivert på de likestilte IPsec-datamaskinene. |
Nullinnkapsling
Nullinnkapsling angir at du ikke vil bruke noen integritets- eller krypteringsbeskyttelse på nettverkstrafikken. Godkjenning utføres fortsatt som angitt i sikkerhetsreglene for tilkobling, men ingen annen beskyttelse brukes på nettverkspakkene som utveksles via denne sikkerhetstilordningen.
Sikkerhet Obs! | |
Ettersom dette alternativet ikke gir noen integritets- eller konfidensialitetsbeskyttelse, anbefaler vi at du bare bruker det hvis du må støtte programvare- eller nettverksenheter som ikke er kompatible med ESP eller AH. |
Algoritmer
Integritetsalgoritmene nedenfor er tilgjengelige for datamaskiner som kjører denne versjonen av Windows. Noen av disse algoritmene er ikke tilgjengelige på datamaskiner som kjører andre versjoner av Windows. Hvis du må opprette IPsec-beskyttede tilkoblinger til en datamaskin som kjører en tidligere versjon av Windows, må du inkludere algoritmealternativer som er kompatible med den tidligere versjonen.
Hvis du vil ha mer informasjon, kan du se
- AES-GMAC 256
- AES-GMAC 192
- AES-GMAC 128
- SHA-1
- MD5
Forsiktig! MD5 regnes ikke lenger som sikker og bør bare brukes til testing eller i tilfeller der den eksterne datamaskinen ikke kan bruke en sikrere algoritme. Den tilbys bare av hensyn til bakoverkompatibilitet.
Levetider for nøkkel
Levetidsinnstillinger bestemmer når en ny nøkkel genereres. Med levetider for nøkkel kan du fremtvinge generering av en ny nøkkel etter et bestemt intervall eller når en bestemt mengde data er overført. Hvis kommunikasjonen for eksempel tar 100 minutter og du angir nøkkellevetiden til 10 minutter, genereres det 10 nøkler (en hvert 10. minutt) under overføringen. Hvis du bruker flere nøkler, sikrer du at ikke hele kommunikasjonen settes i fare hvis en angriper får tak i nøkkelen til en del av en kommunikasjon.
Obs! | |
Denne nøkkelregenereringen er bare for dataintegritet i hurtigmodus. Disse innstillingene har ikke innvirkning på innstillingene for nøkkellevetid for nøkkelutveksling i hovedmodus. |
Minutter
Bruk denne innstillingen til å konfigurere hvor lenge nøkkelen for sikkerhetstilordninger for hurtigmodus varer, i minutter. Etter dette intervallet blir en ny nøkkel generert. Påfølgende kommunikasjon vil bruke den nye nøkkelen.
Maksimumslevetiden er 2 879 minutter (48 timer). Minimumslevetiden er 5 minutter. Vi anbefaler at du bare genererer nye nøkler så ofte som risikoanalysen krever. Hvis nye nøkler genereres for ofte, kan det påvirke ytelsen.
kB
Bruk denne innstillingen til å konfigurere hvor mange kilobyte (kB) data som sendes ved hjelp av nøkkelen. Når denne terskelen er nådd, tilbakestilles telleren, og nøkkelen genereres på nytt. Påfølgende kommunikasjon vil bruke den nye nøkkelen.
Maksimumslevetiden er 2 147 483 647 kB. Minimumslevetiden er 20 480 kB. Vi anbefaler at du bare genererer nye nøkler så ofte som risikoanalysen krever. Hvis nye nøkler genereres for ofte, kan det påvirke ytelsen.