Met een filteractie worden de beveiligingsvereisten voor de gegevensoverdracht bepaald. Filteracties kunnen worden gedefinieerd wanneer u een beleid maakt of voordat u een beleid maakt. Filterlijsten zijn beschikbaar voor elk beleid. Als u een filterlijst wilt definiëren, klikt u met de rechtermuisknop op het knooppunt IP-beveiligingsbeleid en selecteert u Filterlijsten en filteracties beheren.

Een filteractie kan voor de volgende taken worden geconfigureerd:

Verkeer toestaan

Het verkeer wordt door IPSec van en naar het TCP/IP-stuurprogramma gestuurd zonder dat het wordt aangepast of beveiligd. Dit is van belang voor verkeer afkomstig van computers waarop geen IPSec kan worden uitgevoerd. Beperk het bereik van de IP-filterlijst bij dit type filteractie tot een minimum, zodat u geen verkeer toestaat dat wel moet worden beveiligd.

U kunt overwegen ICMP-verkeer toe te staan voor het oplossen van problemen. Mogelijk moet u ook een computer die zich niet in uw domein bevindt (bijvoorbeeld de computer van een consulent), toegang verlenen tot een andere computer in uw domein. U kunt de filteractie Toestaan gebruiken om deze toegang te verlenen.

Belangrijk

Met de filteractie Toestaan kunt u toegang verlenen zonder verificatie, gegevensintegriteit of -versleuteling. Aan iedereen die een computer gebruikt met het IP-adres dat in het filter is opgegeven, wordt toegang verleend. Alle verkeer tussen de computers vindt plaats in niet-versleutelde tekst. Er worden geen integriteitscontroles uitgevoerd.

Verkeer blokkeren

Geblokkeerd verkeer wordt zonder melding door IPSec verwijderd. Zorg ervoor dat uw IP-filterlijst het juiste bereik van IP-adressen definieert wanneer u een blokkerende filteractie gebruikt. Als u werkt met een groter bereik, neemt het risico toe dat u verkeer tussen geldige computers blokkeert.

Onderhandelen over beveiliging

Als u de optie Niet-beveiligde communicatie accepteren, maar altijd reageren met IPSec inschakelt, probeert IPSec te onderhandelen over beveiligingskoppelingen (SA's, Security Associations) en over het verzenden of ontvangen van verkeer dat door IPSec wordt beschermd. Als de peer echter geen IPSec kan gebruiken, wordt de communicatie toegestaan zonder IPSec-beveiliging. Als u deze filteractie hebt gekozen, kunt u ook het volgende configureren:

  • Beveiligingsmethoden en hun volgorde. Deze lijst met methoden bepaalt in welke volgorde de methoden worden geprobeerd. De eerste methode die werkt, wordt gebruikt en de resterende methoden worden verder niet meer geprobeerd. Doorgaans wordt deze lijst geordend van de hoogste tot de laagste beveiliging, zodat altijd de veiligste methode wordt gebruikt.

  • Binnenkomend niet-beveiligd verkeer toestaan (Niet-beveiligde communicatie accepteren, maar altijd reageren met IPSec). Binnenkomende niet-beveiligde pakketten (namelijk niet beveiligd door IPSec) die overeenkomen met de geconfigureerde filterlijst, zijn toegestaan. Het uitgaande antwoord op een binnenkomend pakket moet echter wel zijn beveiligd. Deze instelling is handig wanneer u gebruikmaakt van de standaardantwoordregel voor clients. Wanneer een groep servers is geconfigureerd met een regel waarbij communicatie met een willekeurig IP-adres wordt beveiligd en niet-beveiligde communicatie wordt geaccepteerd, zorgt het inschakelen van de standaardantwoordregel op clientcomputers ervoor dat de clients reageren op het verzoek van de server om te onderhandelen over beveiliging. Ter voorkoming van denial-of-service-aanvallen moet deze optie zijn uitgeschakeld voor beveiligde computers die verbonden zijn met internet.

  • Communicatie met computers zonder IPSec inschakelen (Onbeveiligde communicatie toestaan als geen beveiligde verbinding kan worden gemaakt). Niet-beveiligde communicatie wordt, indien nodig, toegestaan. Ook hier is het verstandig het bereik van de IP-filterlijst tot een minimum te beperken. Anders kan het zijn dat er bij communicatie waarop de regel met deze filteractie van toepassing is, gegevens zonder beveiliging worden verstuurd wanneer de beveiligingsonderhandelingen om welke reden dan ook mislukken. Als u zich zorgen maakt over niet-beveiligde communicatie, kunt u deze instellingen misschien beter uitschakelen. Bedenk wel dat de communicatie met computers waarop geen IPSec kan worden gebruikt, zoals oudere systemen, eveneens wordt geblokkeerd. Ter voorkoming van denial-of-service-aanvallen moet deze optie zijn uitgeschakeld voor beveiligde computers die verbonden zijn met internet.

  • Sessiesleutels in de snelle modus genereren uit nieuw sleutelmateriaal in de hoofdmodus (Sessiesleutel voor PFS (Perfect Forward Secrecy) gebruiken). Als u deze optie inschakelt, kan het sleutelmateriaal voor hoofdsleutels in de hoofdmodus slechts voor het genereren van één sessiesleutel in de snelle modus worden gebruikt. Als PFS in de snelle modus is ingeschakeld, wordt er een nieuwe Diffie-Hellman-sleuteluitwisseling uitgevoerd om nieuw sleutelmateriaal voor hoofdsleutels in de hoofdmodus te genereren voordat de nieuwe sessiesleutel in de snelle modus wordt gemaakt. Voor PFS voor sessiesleutels (in de snelle modus) is geen nieuwe verificatie door de hoofdmodus vereist. Hierbij worden minder bronnen gebruikt dan voor PFS voor hoofdsleutels (in de hoofdmodus).

IPSec-beveiligingsmethoden

Met beveiligingsmethoden kunt u de beveiligingsvereisten bepalen voor elke communicatie waarop de bijbehorende regel betrekking heeft. Door meerdere beveiligingsmethoden te maken is de kans groter dat een gemeenschappelijke beveiligingsmethode tussen twee computers kan worden gevonden. De lijst met beveiligingsmethoden wordt in aflopende volgorde door het IKE-onderdeel (Internet Key Exchange) gelezen en er wordt een lijst met toegestane beveiligingsmethoden naar de andere peer gestuurd. De eerste gemeenschappelijke methode is geselecteerd. De veiligste methoden staan over het algemeen boven aan de lijst en de minst veilige onder aan de lijst.

Vooraf gedefinieerde beveiligingsmethoden

De volgende beveiligingsmethoden zijn vooraf gedefinieerd:

Versleuteling en integriteit

Hierbij wordt het ESP-protocol gebruikt voor de beveiliging van vertrouwelijke gegevens (versleuteling) met het 3DES-algoritme (Data Encryption Standard), gegevensintegriteit en verificatie met het integriteitsalgoritme SHA1 (Secure Hash Algorithm 1), en de standaardlevensduur van sleutels (100 MB, 1 uur). Als zowel beveiliging van gegevens als het adres (IP-header) vereist is, kunt u een aangepaste beveiligingsmethode definiëren. Als er geen versleuteling is vereist, gebruikt u Alleen integriteit.

Alleen integriteit

Hierbij wordt het ESP-protocol gebruikt voor gegevensintegriteit en verificatie met het integriteitsalgoritme SHA1, en de standaardlevensduur van sleutels (100 MB, 1 uur). Bij deze configuratie worden er geen vertrouwelijke gegevens beveiligd met ESP (versleuteling).

Aangepaste beveiligingsmethoden

Als de vooraf gedefinieerde instellingen Versleuteling en integriteit of Alleen integriteit niet voldoen aan uw beveiligingsvereisten, kunt u aangepaste beveiligingsmethoden opgeven. U kunt bijvoorbeeld aangepaste methoden gebruiken wanneer u versleutelings- en adresintegriteit, sterkere algoritmen of de levensduur van sleutels wilt opgeven. U kunt voor een aangepaste beveiligingsmethode de volgende items configureren:

Beveiligingsprotocollen

U kunt zowel AH (gegevens- en adresintegriteit zonder versleuteling) als ESP (gegevensintegriteit en -versleuteling) inschakelen in een aangepaste beveiligingsmethode wanneer u IP-headerintegriteit en gegevensversleuteling vereist. Als u beide opties inschakelt, hoeft u geen integriteitsalgoritme op te geven voor ESP.

Opmerking

Het AH-protocol kan niet worden gebruikt via NAT-apparaten (Network Address Translation) omdat bij dit protocol een hash van de header wordt gebruikt. NAT-apparaten wijzigen de header, zodat het pakket niet correct wordt geverifieerd.

Integriteitsalgoritme

MD5 (Message Digest 5), waarbij een 128 bitssleutel wordt gebruikt. Dit algoritme wordt niet meer als veilig beschouwd en mag alleen worden gebruikt wanneer interoperabiliteit dit vereist.

SHA1, dat gebruikmaakt van een 160 bitssleutel. SHA1 is een sterkere hash dan MD5 en is compatibel met FIPS (Federal Information Processing Standard).

Versleutelingsalgoritme

3DES is de veiligste van de DES-combinaties. 3DES levert ietwat lagere prestaties. Met 3DES wordt elk blok drie keer bewerkt aan de hand van drie unieke 56 bitssleutels.

DES, waarbij wordt gewerkt met één 56 bitssleutel, wordt gebruikt wanneer de hogere mate van beveiliging en extra overhead van 3DES niet nodig is. Dit algoritme wordt niet meer als veilig beschouwd en mag alleen worden gebruikt wanneer interoperabiliteit dit vereist.

Met de instellingen voor sessiesleutels (in de snelle modus) bepaalt u wanneer er een nieuwe sleutel moet worden gegenereerd, maar niet hoe deze sleutel wordt gegenereerd. U kunt een levensduur in kilobytes (kB), seconden of beide opgeven. Als de communicatie bijvoorbeeld 10.000 seconden duurt terwijl u een sleutellevensduur van 1000 seconden hebt opgegeven, worden er 10 sleutels gegenereerd om de overdracht te voltooien. Zo zorgt u ervoor dat, zelfs als een inbreker erin slaagt om één sessiesleutel te bepalen en een deel van de communicatie te ontcijferen, niet de hele communicatie kan worden ontcijferd. Nieuwe sleutels in de snelle modus worden standaard elk uur of voor elke 100 MB aan gegevens gegenereerd. Telkens wanneer de sleutellevensduur is bereikt, moet niet alleen de sleutel worden vernieuwd of opnieuw worden gegenereerd, maar moet tevens de SA opnieuw tot stand worden gebracht.

Een filteractie maken met het dialoogvenster Eigenschappen van nieuwe regel
  1. Schakel op het tabblad Regels van het dialoogvenster Eigenschappen van IP-beveiligingsbeleid het selectievakje Toevoegen met wizard uit als u de filteractie wilt maken in het dialoogvenster met eigenschappen. Laat het selectievakje ingeschakeld als u de wizard wilt gebruiken. Klik op Toevoegen. De volgende instructies gelden wanneer u een filterlijst maakt met het dialoogvenster.

  2. Schakel op het tabblad Filteractie van het dialoogvenster Eigenschappen van regel het selectievakje Toevoegen met wizard uit en klik op Toevoegen.

  3. Selecteer op het tabblad Beveiligingsmethoden de methode (actie) die door de regel wordt gebruikt.

  4. (Optioneel) Typ op het tabblad Beschrijving een beschrijving van de filteractie. Deze beschrijving kan u helpen bij het sorteren via filteracties en maakt het mogelijk om snel de gewenste filteractie te vinden zonder dat u de eigenschappen ervan hoeft te openen.

  5. Klik op OK.

  6. Herhaal stap 4 tot en met 8 om extra filteracties toe te voegen aan de lijst.

    Opmerking

    Hoewel de regel meerdere filteracties kan bevatten, kan er slechts één filteractie per regel worden gebruikt.

  7. Selecteer op het tabblad Filteractie de gewenste filteractie voor de regel en klik op OK.

Een filteractie maken met het dialoogvenster Filterlijsten en filteracties beheren
  1. Klik met de rechtermuisknop op het knooppunt IP-beveiligingsbeleid en selecteer IP-filterlijsten en filteracties beheren.

  2. Schakel op het tabblad Filteracties beheren het selectievakje Toevoegen met wizard uit als u de filteractie wilt maken in het dialoogvenster met eigenschappen. Laat het selectievakje ingeschakeld als u de wizard wilt gebruiken. Klik op Toevoegen. De volgende instructies gelden wanneer u een filterlijst maakt met het dialoogvenster. In de onderstaande aanwijzingen wordt geen gebruikgemaakt van de wizard.

  3. Selecteer op het tabblad Beveiligingsmethoden de methode en klik op OK.

  4. Als u de optie Onderhandelen over beveiliging hebt geselecteerd, kunt u meerdere methoden toevoegen en de volgorde opgeven waarin deze methoden worden geprobeerd. Hiervoor klikt u op Toevoegen.

  5. (Optioneel) Typ op het tabblad Beschrijving een beschrijving van het filter. Deze beschrijving kan u helpen bij het sorteren via filters en maakt het mogelijk om snel het gewenste filter te vinden zonder dat u de eigenschappen ervan hoeft te openen.

  6. Klik op OK.

  7. Herhaal stap 4 tot en met 8 om filteracties toe te voegen aan de lijst.

Zie ook