Met dit dialoogvenster kunt u een algoritmeaanbod configureren dat zowel gegevensintegriteit als gegevensvertrouwelijkheid (versleuteling) omvat en beschikbaar is bij onderhandelingen over de snelle-modusbeveiligingskoppelingen. U moet zowel het protocol als de algoritme opgeven waarmee de integriteit van de gegevens in het netwerkpakket wordt beveiligd.

Bij IPsec (Internet Protocol security) wordt de integriteit van de gegevens beveiligd door een hash te berekenen die is gegenereerd op basis van de gegevens in het netwerkpakket. Deze hash wordt vervolgens cryptografisch ondertekend (versleuteld) en in het IP-pakket ingekapseld. Op de ontvangende computer wordt dezelfde algoritme gebruikt om de hash te berekenen en wordt de uitkomst vergeleken met de hash die is ingekapseld in het ontvangen pakket. Als ze overeenkomen, is de ontvangen informatie identiek aan de verzonden informatie en wordt het pakket geaccepteerd. Zo niet, dan wordt het pakket genegeerd.

Een versleutelde hash van het verzonden bericht maakt het rekenkundig onmogelijk het bericht te wijzigen zonder dat de hash wordt gewijzigd. Dit is van vitaal belang wanneer gegevens worden uitgewisseld via een niet-beveiligd netwerk zoals internet. Op die manier kan namelijk worden gewaarborgd dat het bericht tijdens de verzending niet is gewijzigd.

Naast integriteitsbeveiliging kunt u in dit dialoogvenster ook een versleutelingsalgoritme opgeven waarmee kan worden voorkomen dat de gegevens worden gelezen als het netwerkpakket onderweg wordt onderschept.

Dit dialoogvenster weergeven

  1. Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging, bij Overzicht, op Eigenschappen van Windows Firewall.

  2. Klik op de tab IPsec-instellingen.

  3. Klik onder Standaardinstellingen voor IPsec op Aanpassen.

  4. Selecteer onder Gegevensbeveiliging (snelle modus) de optie Geavanceerd en klik vervolgens op Aanpassen.

  5. Selecteer onder Gegevensintegriteit en -versleuteling een algoritmecombinatie in de lijst en klik op Bewerken of Toevoegen.

Protocol

De integriteits- en versleutelingsgegevens worden met behulp van de volgende protocollen in een IP-pakket ingekapseld.

ESP (aanbevolen)

ESP (Encapsulating Security Payload) biedt vertrouwelijkheid (naast verificatie, integriteit en anti-replay) voor de IP-nettolading. Met ESP in de transportmodus wordt niet het hele pakket ondertekend. Alleen de IP-nettolading wordt beveiligd, niet de IP-header. ESP kan zelfstandig worden gebruikt of in combinatie met AH (Authentication Header). Met ESP worden alleen de ESP-header, -trailer en -nettolading in de berekening van de hash opgenomen. Met ESP wordt de vertrouwelijkheid van gegevens gewaarborgd door de ESP-nettolading te versleutelen met een van de ondersteunde algoritmen. Replay van pakketten wordt mogelijk gemaakt door de toevoeging van een volgnummer voor elk pakket.

ESP en AH

Met deze optie wordt de beveiliging van het ESP-protocol gecombineerd met het AH-protocol. AH geeft verificatie, integriteit en anti-replay voor het hele pakket (zowel de IP-header als de nettolading aan gegevens die het pakket bevat).

Belangrijk

Het AH-protocol is niet compatibel met de netwerkadresomzetter (Network Address Translation, afgekort NAT), omdat NAT-apparaten gegevens moeten wijzigen in de pakketheaders. Als u op IPsec gebaseerd verkeer via een NAT-apparaat wilt toestaan, moet u ervoor zorgen dat NAT Traversal (NAT-T) op uw IPsec-peercomputers wordt ondersteund.

Algoritmen

Versleutelingsalgoritme

De volgende versleutelingsalgoritmen zijn beschikbaar voor computers waarop deze versie van Windows wordt uitgevoerd. Niet al deze algoritmen zijn beschikbaar op computers waarop eerdere versies van Windows worden uitgevoerd. Als u met IPsec beveiligde verbindingen tot stand moet brengen met een computer waarop een eerdere versie van Windows wordt uitgevoerd, moet u algoritmeopties opnemen die compatibel zijn met die eerdere versie.

Zie IPsec-algoritmen en -methoden die in Windows worden ondersteund (de pagina is mogelijk Engelstalig) (https://go.microsoft.com/fwlink/?LinkID=129230) voor meer informatie.

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

Beveiliging Opmerking

Het gebruik van DES wordt ontraden. Dit protocol is alleen aanwezig met het oog op de compatibiliteit met eerdere versies.

Opmerking

Als u een AES-GCM-algoritme opgeeft voor de versleuteling, moet u dezelfde algoritme opgeven voor de integriteit.

Integriteitsalgoritme

De volgende integriteitsalgoritmen zijn beschikbaar voor computers waarop deze versie van Windows wordt uitgevoerd. Niet al deze algoritmen zijn beschikbaar op computers waarop andere versies van Windows worden uitgevoerd. Als u met IPsec beveiligde verbindingen tot stand moet brengen met een computer waarop een eerdere versie van Windows wordt uitgevoerd, moet u algoritmeopties opnemen die compatibel zijn met die eerdere versie.

Zie IPsec-algoritmen en -methoden die in Windows worden ondersteund (de pagina is mogelijk Engelstalig) (https://go.microsoft.com/fwlink/?LinkID=129230) voor meer informatie.

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

Beveiliging Opmerking

Het gebruik van MD5 wordt ontraden. Dit protocol is alleen aanwezig met het oog op de compatibiliteit met eerdere versies.

Opmerking

Als u een AES-GCM-algoritme opgeeft voor de integriteit, moet u dezelfde algoritme opgeven voor de versleuteling.

Sleutellevensduur

Met de instellingen voor de levensduur bepaalt u wanneer er een nieuwe sleutel moet worden gegenereerd. Door een sleutellevensduur in te stellen kunt u afdwingen dat er een nieuwe sleutel wordt gegenereerd na een bepaald tijdsinterval of nadat de opgegeven hoeveelheid gegevens is verzonden. Als de communicatie bijvoorbeeld 100 minuten duurt en u een sleutellevensduur van 10 minuten opgeeft, worden tijdens de hele uitwisseling 10 sleutels gegenereerd. Door meerdere sleutels te gebruiken zorgt u ervoor dat niet de hele communicatie gevaar loopt wanneer een kwaadwillende gebruiker een sleutel weet te bemachtigen.

Opmerking

De sleutel wordt opnieuw gegenereerd met het oog op de gegevensintegriteit en versleuteling in de snelle modus en is niet van invloed op de sleutellevensduur die is ingesteld voor sleuteluitwisseling in de hoofdmodus.

Minuten

Met deze instelling kunt u de geldigheid (in minuten) opgeven voor de sleutel die wordt gebruikt in de beveiligingskoppeling voor de snelle modus. Na dit interval wordt de sleutel opnieuw gegenereerd. De nieuwe sleutel wordt tijdens daaropvolgende communicatie gebruikt.

De maximumlevensduur is 2.879 minuten (48 uur). De minimumlevensduur is 5 minuten. Het is raadzaam niet vaker opnieuw een sleutel te genereren dan op grond van uw risicoanalyse vereist is. Als er te vaak nieuwe sleutels worden gegenereerd, kan dat de prestaties nadelig beïnvloeden.

KB

Met deze instelling kunt u opgeven hoeveel kilobytes (kB) aan gegevens met de sleutel worden verzonden. Als deze drempel is bereikt, wordt de teller opnieuw ingesteld en wordt de sleutel opnieuw gegenereerd. De nieuwe sleutel wordt tijdens daaropvolgende communicatie gebruikt.

De maximumlevensduur is 2.147.483.647 kB. De minimumlevensduur is 20.480 kB. Het is raadzaam niet vaker opnieuw een sleutel te genereren dan op grond van uw risicoanalyse vereist is. Als er te vaak nieuwe sleutels worden gegenereerd, kan dat de prestaties nadelig beïnvloeden.

Zie ook

Inhoudsopgave