Bruk denne dialogboksen til å konfigurere et algoritmetilbud som omfatter både dataintegritet og datakonfidensialitet (kryptering), og som er tilgjengelig ved forhandling av sikkerhetstilordninger for hurtigmodus. Du må angi både protokollen og algoritmen som skal brukes til å beskytte integriteten i dataene i nettverkspakken.

Internet Protocol-sikkerhet (IPsec) gir integritet ved å beregne en hash-kode generert fra dataene i nettverkspakken. Hash-koden blir deretter kryptografisk signert (kryptert) og bygd inn i IP-pakken. Mottaksdatamaskinen bruker samme algoritme til å beregne hash-koden og sammenligner resultatet med hash-koden som er innebygd i den mottatte pakken. Hvis kodene er like, er informasjonen som ble mottatt, nøyaktig den samme som informasjonen som ble sendt. Dermed godtas pakken. Hvis kodene ikke er like, droppes pakken.

Ved å bruke en kryptert hash-kode for den overførte meldingen blir det beregningsmessig ugjennomførbart å endre meldingen uten at det ødelegger samsvaret mellom hash-kodene. Dette er svært viktig når data utveksles via et usikret nettverk, for eksempel Internett, og gjør det mulig å finne ut om meldingen har blitt endret under overføring.

I tillegg til integritetsbeskyttelse gjør denne dialogboksen det mulig å angi en krypteringsalgoritme som bidrar til å forhindre at dataene leses hvis nettverkspakken blir stoppen underveis i overføringen.

Slik åpner du denne dialogboksen
  1. I MMC-snapin-modulen Windows-brannmur med avansert sikkerhet klikker du Egenskaper for Windows-brannmur under Oversikt.

  2. Klikk kategorien IPsec-innstillinger.

  3. Klikk Tilpass under IPsec-standarder.

  4. Velg Avansert under Databeskyttelse (hurtigmodus), og klikk deretter Tilpass.

  5. Velg en algoritmekombinasjon fra listen under Dataintegritet og kryptering, og klikk Rediger eller Legg til.

Protokoll

Protokollene nedenfor brukes til å bygge inn integritets- og krypteringsinformasjonen i en IP-pakke.

ESP (anbefales)

ESP (Encapsulating Security Payload) gir konfidensialitet (i tillegg til godkjenning, integritet og beskyttelse mot nye avspillinger) til IP-lasten. ESP i transportmodus signerer ikke hele pakken. Bare IP-datanyttelasten beskyttes, ikke IP-hodet. ESP kan brukes alene eller sammen med AH (Authentication Header). Med ESP tar beregningen av hash-kode bare med ESP-hodet, -halen og -nyttelasten. ESP tilbyr datakonfidensialitetstjenester ved å kryptere ESP-nyttelasten med én av krypteringsalgoritmene som støttes. Tjenester for pakkegjenavspilling er gjort tilgjengelige ved hjelp av et sekvensnummer for hver pakke.

ESP og AH

Dette alternativet kombinerer sikkerheten til ESP-protokollen med AH-protokollen. AH gir godkjenning og integritet for hele pakken, og gir beskyttelse mot gjenavspilling av pakken (både IP-hodet og dataene i pakken).

Viktig!

AH-protokollen er ikke kompatibel med nettverksadresseoversetting (NAT) fordi NAT-enheter må endre informasjon i pakkehodene. Hvis du vil tillate IPsec-basert trafikk å passere gjennom en NAT-enhet, må du kontrollere at det er støtte for NAT-T (NAT-traversering) på IPsec-motpartsdatamaskinenene.

Algoritmer

Krypteringsalgoritme

Krypteringsalgoritmene nedenfor er tilgjengelige for datamaskiner som kjører denne versjonen av Windows. Noen av disse algoritmene er ikke tilgjengelige på datamaskiner som kjører tidligere versjoner av Windows. Hvis du må opprette IPsec-beskyttede tilkoblinger til en datamaskin som kjører en tidligere versjon av Windows, må du inkludere algoritmealternativer som er kompatible med den tidligere versjonen.

Hvis du vil ha mer informasjon, kan du se IPsec-algoritmer og -metoder støttet i Windows (siden kan være på engelsk) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

Sikkerhet Obs!  

Vi anbefaler at du ikke bruker DES. Den tilbys bare av hensyn til bakoverkompatibilitet.

Obs!  

Hvis du angir en AES-GCM-algoritme for kryptering, må du angi samme algoritme for integritet.

Integritetsalgoritmer

Integritetsalgoritmene nedenfor er tilgjengelige for datamaskiner som kjører denne versjonen av Windows. Noen av disse algoritmene er ikke tilgjengelige på datamaskiner som kjører andre versjoner av Windows. Hvis du må opprette IPsec-beskyttede tilkoblinger til en datamaskin som kjører en tidligere versjon av Windows, må du inkludere algoritmealternativer som er kompatible med den tidligere versjonen.

Hvis du vil ha mer informasjon, kan du se IPsec-algoritmer og -metoder støttet i Windows (siden kan være på engelsk) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

Sikkerhet Obs!  

Vi anbefaler at du ikke bruker MD5. Den tilbys bare av hensyn til bakoverkompatibilitet.

Obs!  

Hvis du angir en AES-GCM-algoritme for integritet, må du angi samme algoritme for kryptering.

Levetider for nøkkel

Levetidsinnstillinger bestemmer når en ny nøkkel genereres. Med levetider for nøkkel kan du fremtvinge generering av en ny nøkkel etter et bestemt intervall eller når en bestemt mengde data er overført. Hvis kommunikasjonen for eksempel tar 100 minutter og du angir nøkkellevetiden til 10 minutter, genereres det 10 nøkler (en hvert 10. minutt) under overføringen. Hvis du bruker flere nøkler, sikrer du at ikke hele kommunikasjonen settes i fare hvis en angriper får tak i nøkkelen til en del av en kommunikasjon.

Obs!  

Denne nye genereringen av nøkkel er for integritet og kryptering for hurtigmodus og har ikke innvirkning på innstillingene for nøkkellevetid for nøkkelutveksling for hovedmodus.

Minutter

Bruk denne innstillingen til å konfigurere hvor lenge nøkkelen for sikkerhetstilordninger for hurtigmodus varer, i minutter. Etter dette intervallet vil nøkkelen bli generert på nytt. Påfølgende kommunikasjon vil bruke den nye nøkkelen.

Maksimumslevetiden er 2 879 minutter (48 timer). Minimumslevetiden er 5 minutter. Vi anbefaler at du bare genererer nye nøkler så ofte som risikoanalysen krever. Hvis nye nøkler genereres for ofte, kan det påvirke ytelsen.

kB

Bruk denne innstillingen til å konfigurere hvor mange kilobyte (kB) data som sendes ved hjelp av nøkkelen. Når denne terskelen er nådd, tilbakestilles telleren og nøkkelen genereres på nytt. Påfølgende kommunikasjon vil bruke den nye nøkkelen.

Maksimumslevetiden er 2 147 483 647 kB. Minimumslevetiden er 20 480 kB. Vi anbefaler at du bare genererer nye nøkler så ofte som risikoanalysen krever. Hvis nye nøkler genereres for ofte, kan det påvirke ytelsen.

Se også


Innholdsfortegnelse