En filterhandling definerer sikkerhetskravene for dataoverføringen. Filterhandlinger kan defineres enten før eller når du oppretter en policy. Filterlister er tilgjengelige for alle policyene. For å definere en filterliste høyreklikker du noden IP-sikkerhetspolicy og velger Behandle IP-filterlister og filterhandlinger.

En filterhandling kan konfigureres til å:

Tillate trafikk

IPSec overfører denne trafikken til og fra TCP/IP-driveren uten endring eller krav til sikkerhet. Dette passer for trafikk fra datamaskiner som ikke er IPSec-kompatible. Pass på at du begrenser IP-filterlisten til et minimalt område når du bruke denne typen filterhandling, slik at du ikke slipper gjennom trafikk som bør være sikret.

Vurder å tillate ICMP-trafikk for feilsøking. Det kan også hende at du må la en datamaskin som ikke er medlem av domenet ditt (for eksempel datamaskinen til en konsulent), få tilgang til en annen datamaskin i domenet. Du kan bruke filterhandlingen Tillat til å gi denne tilgangen.

Viktig!

Filterhandlingen Tillat gir tilgang uten godkjenning, dataintegritet eller kryptering. Alle som bruker en datamaskin med en IP-adresse som er angitt i filterlisten, får tilgang. All trafikk mellom datamaskinene foregår i ren tekst. Det utføres ingen integritetskontroller.

Blokkere trafikk

IPSec forkaster denne trafikken på en stille måte. Når du bruker en filterhandling for blokkering, må du sørge for å bruke en IP-filterliste som definerer korrekt område med IP-adresser. Et område som er for stort, øker sjansen for å blokkere trafikk mellom godkjente datamaskiner.

Forhandle frem sikkerhet

Hvis du aktiverer alternativet Godta usikret kommunikasjon, men svar alltid ved hjelp av IPSec, vil IPSec forhandle sikkerhetstilordninger (SA) og sending eller mottak av IPSec-beskyttet trafikk. Hvis motparten ikke kan bruke IPSec, tillates kommunikasjonen uten IPSec-beskyttelse. Etter at du velger denne filterhandlingen, kan du konfigurere følgende:

  • Sikkerhetsmetoder og rekkefølge Denne listen med metoder definerer i hvilken rekkefølge metodene vil bli forsøkt. Den første metoden som lykkes, vil bli brukt, og de gjenværende vil ikke bli forsøkt. Listen bør normalt ordnes fra høyest til lavest sikkerhet, slik at den sikreste metoden blir brukt.

  • Tillatelse av innledende, innkommende, usikret trafikk (Godta usikret kommunikasjon, men svar alltid ved hjelp av IPSec) IPSec tillater en innkommende pakke som samsvarer med den konfigurerte filterlisten som skal være usikret (ikke beskyttet av IPSec). Det utgående svaret på den innkommende pakken må imidlertid beskyttes. Denne innstillingen er nyttig når du bruker standardsvarregelen for klienter. Når en gruppe med servere konfigureres med en regel som sikrer kommunikasjon med en hvilken som helst IP-adresse og godtar usikret kommunikasjon, og bare svarer på sikret kommunikasjon, sikrer aktivering av standardsvarregelen på klientmaskiner at klientene svarer på serverforespørselen for å forhandle frem sikkerhet. Dette alternativet må deaktiveres for sikre datamaskiner som er koblet til Internett for å forhindre tjenestenektangrep.

  • Aktivering av kommunikasjon med datamaskiner som ikke er IPSec-aktivert (Tillat usikret kommunikasjon hvis en sikker tilkobling ikke kan opprettes) IPSec går tilbake til usikret kommunikasjon hvis nødvendig. Du må også her kanskje begrense IP-filterlisten til et minst mulig område. Hvis ikke, kan kommunikasjoner som påvirkes av regelen der denne filterhandlingen ligger, resultere i at data sendes usikret hvis forhandlinger av en eller annen grunn mislykkes. Hvis du er bekymret for usikret kommunikasjon, kan du vurdere å deaktivere disse innstillingene. Kommunikasjon med datamaskiner som ikke kan starte IPSec, for eksempel eldre systemer, kan imidlertid bli blokkert. Dette alternativet må deaktiveres for sikre datamaskiner som er koblet til Internett for å forhindre tjenestenektangrep.

  • Generering av øktsnøkler for hurtigmodus fra nytt nøkkelmateriale for hovedmodus (Øktsnøkkel-PFS (Perfect Forward Secrecy)). Aktivering av øktsnøkkel-PFS sikrer at nøkkelmaterialet for hovedmodus ikke kan brukes til å avlede mer enn én øktsnøkkel for hurtigmodus. Når hurtigmodus-PFS er aktivert, utføres det en ny Diffie-Hellman-nøkkelutveksling for å generere nytt nøkkelmateriale for hovedmodus før den nye hurtigmodusnøkkelen opprettes. Øktsnøkkel-PFS (hurtigmodus-PFS) krever ikke ny hovedmodusgodkjenning og bruker færre ressurser enn hovednøkkel-PFS (hovedmodus-PFS).

IPSec-sikkerhetsmetoder

Hver enkelt sikkerhetsmetode definerer sikkerhetskravene for kommunikasjoner som den tilordnede regelen gjelder for. Hvis du oppretter flere sikkerhetsmetoder, øker sjansen for at det kan bli funnet en felles metode mellom to datamaskiner. IKE-komponenten (Internet Key Exchange) leser listen over sikkerhetsmetoder i synkende rekkefølge og sender en liste over tillatte sikkerhetsmetoder til den andre datamaskinen. Den første metoden som er felles velges. De sikreste metodene plasseres vanligvis øverst på listen, og de minst sikre metodene nederst på listen.

Forhåndsdefinerte sikkerhetsmetoder

Følgende sikkerhetsmetoder er forhåndsdefinerte:

Kryptering og integritet

Bruker ESP-protokollen for å sikre datakonfidensialitet (kryptering) ved hjelp av 3DES-algoritmen, dataintegritet og godkjenning ved hjelp av SHA1-integritetsalgoritmen (Secure Hash Algorithm 1) og standard nøkkellevetid (100 MB, 1 time). Hvis du krever både data- og adresseringsbeskyttelse (IP-hode), kan du opprette en egendefinert sikkerhetsmetode. Hvis du ikke krever kryptering, bruker du Bare integritet.

Bare integritet

Bruker ESP-protokollen for å sikre dataintegritet og godkjenning ved hjelp av SHA1-integritetsalgoritmen og standard nøkkellevetid (100 MB, 1 time). I denne konfigurasjonen er ikke ESP konfigurert til å sikre datakonfidensialitet (kryptering).

Egendefinerte sikkerhetsmetoder

Hvis innstillingene Kryptering og integritet eller Bare integritet ikke oppfyller sikkerhetskravene, kan du angi egendefinerte sikkerhetsmetoder. Du kan for eksempel bruke egendefinerte metoder ved kryptering og adresseintegritet, sterkere algoritmer eller når nøkkellevetider må angis. Når du konfigurerer en egendefinert sikkerhetsmetode, kan du konfigurere følgende:

Sikkerhetsprotokoller

Både AH (data- og adresseintegritet uten kryptering) og ESP (dataintegritet og kryptering) kan aktiveres i en egendefinert sikkerhetsmetode når du krever IP-hodeintegritet og datakryptering. Hvis du valgte å aktivere begge, trenger du ikke å angi en integritetsalgoritme for ESP.

Obs!  

AH-protokollen kan ikke brukes over enheter som bruker nettverksadresseoversetting (NAT), fordi den bruker en nummerverdi fra hodet. NAT-enheter endrer hodet, så pakker vil ikke bli godkjent på riktig måte.

Integritetsalgoritmer

MD5 (meldingssammendrag 5), som bruker en 128-biters nøkkel. Denne algoritmen regnes ikke lenger som sikker, og bør bare brukes når interoperabilitet krever det.

SHA1, som bruker en 160-biters nøkkel SHA1 er en sterkere nummerverdi enn MD5 og er FIPS-kompatibel (Federal Information Processing Standard).

Krypteringsalgoritme

3DES er den sikreste av DES-kombinasjonene og noe langsommere i ytelsen. 3DES behandler hver blokk tre ganger og bruker tre unike 56-biters nøkler.

DES bruker én enkelt 56-biters nøkkel og brukes når den høye sikkerheten og hodet til 3DES ikke er nødvendig. Denne algoritmen regnes ikke lenger som sikker, og bør bare brukes når interoperabilitet krever det.

Innstillinger for øktsnøkkel (hurtigmodus) bestemmer når, ikke hvordan, en ny nøkkel genereres. Du kan angi en levetid i kB, sekunder eller begge deler. Hvis kommunikasjonen for eksempel tar 10.000 sekunder og du angir nøkkellevetiden til 1 000 sekunder, genereres det 10 nøkler for å fullføre overføringen. Dette sikrer at dechiffrering av hele kommunikasjonen ikke er mulig selv om en angriper får tak i én øktsnøkkel og dechiffrerer en del av en kommunikasjon. Som standard genereres nye øktsnøkler for hver 100 MB med data eller hver time. Når en nøkkellevetid oppnås, forhandles også sikkerhetstilordning på nytt i tillegg til at nøkkelen oppdateres eller genereres på nytt.

Slik oppretter du en filterhandling ved å bruke dialogboksen Egenskaper for ny regel
  1. I kategorien Regler i dialogboksen Egenskaper for IP-sikkerhetspolicy fjerner du avmerkingen for Bruk veiviser for å legge til hvis du vil opprette filterhandlingen i dialogboksen Egenskaper. Hvis du vil bruke veiviseren, lar du avmerkingsboksen være merket av. Klikk Legg til. Under følger instruksjoner om hvordan du oppretter en filterliste ved å bruke dialogboksen.

  2. I kategorien Filterhandling i dialogboksen Regelegenskaper fjerner du avmerkingen for Bruk veiviser for å legge til og velger Legg til.

  3. I kategorien Sikkerhetsmetoder velger du metoden (handlingen) som regelen skal bruke.

  4. (Valgfritt) I kategorien Beskrivelse skriver du inn en beskrivelse av filterhandlingen. Denne beskrivelsen gjør det enklere å finne frem i filterhandlingene, og du vil kunne identifisere dem uten å måtte åpne egenskapene deres.

  5. Klikk OK.

  6. Gjenta trinn 4 til og med 8 for å legge til flere filterhandlinger i listen

    Obs!  

    Selv om regelen kan ha en liste med flere filterhandlinger, kan bare én filterhandling brukes per regel.

  7. I kategorien Filterhandling velger du filterhandlingen du vil aktivere for denne regelen, og klikker OK.

Slik oppretter du en filterliste ved å bruke dialogboksen Behandle filterlister og filterhandlinger
  1. Høyreklikk noden IP-sikkerhetspolicy og velg Behandle IP-filterlister og filterhandlinger.

  2. I kategorien Behandle filterhandlinger fjerner du avmerkingen for Bruk veiviser for å legge til hvis du vil opprette filterhandlingen i dialogboksen Egenskaper. Hvis du vil bruke veiviseren, lar du avmerkingsboksen være merket av. Klikk Legg til. Under følger instruksjoner om hvordan du oppretter en filterliste ved å bruke dialogboksen. Fremgangsmåten under bruker ikke veiviseren.

  3. I kategorien Sikkerhetsmetoder velger du en metode og klikker OK.

  4. Hvis du valgte alternativet Forhandle frem sikkerhet, kan du legge til flere metoder og angi rekkefølgen de skal forsøkes. Du gjør dette ved å klikke Legg til.

  5. (Valgfritt) I kategorien Beskrivelse skriver du inn en beskrivelse av filteret. Denne beskrivelsen gjør det enklere å finne frem i filtrene, og du vil kunne identifisere dem uten å måtte åpne egenskapene deres.

  6. Klikk OK.

  7. Gjenta trinn 4 til og med 8 for å legge filterhandlinger til listen

Se også