To okno dialogowe służy do konfigurowania oferty algorytmu integralności danych dostępnej podczas negocjowania skojarzeń zabezpieczeń trybu szybkiego. Należy określić zarówno protokół, jak i algorytm używany w celu ochrony integralności danych w pakiecie sieciowym.

Zabezpieczenie protokołu internetowego (IPsec) zapewnia integralność przez obliczenie skrótu generowanego z danych w pakiecie sieciowym. Skrót jest następnie kryptograficznie podpisywany (szyfrowany) i osadzany w pakiecie protokołu IP. Komputer odbiorczy używa tego samego algorytmu w celu obliczenia skrótu i porównuje wynik ze skrótem osadzonym w odebranym pakiecie. Jeśli występuje zgodność, odebrana informacja jest dokładnie taka sama jak informacja wysłana, a pakiet jest akceptowany. W przypadku braku zgodności pakiet jest porzucany.

Korzystanie z zaszyfrowanego skrótu przesyłanych komunikatów w praktyce uniemożliwia zmianę komunikatu bez powodowania niezgodności skrótu. Ma to podstawowe znaczenie, gdy dane są wymieniane za pośrednictwem niezabezpieczonej sieci, takiej jak Internet, ponieważ daje możliwość stwierdzenia, że komunikat nie został zmieniony podczas przesyłania.

Jak uzyskać dostęp do tego okna dialogowego
  1. Na stronie przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi programu MMC, w obszarze Przegląd kliknij opcję Właściwości Zapory systemu Windows.

  2. Kliknij kartę Ustawienia protokołu IPSec.

  3. W obszarze Wartości domyślne IPsec kliknij przycisk Dostosuj.

  4. W obszarze Ochrona danych (tryb szybki) wybierz opcję Zaawansowane, a następnie kliknij przycisk Dostosuj.

  5. W obszarze Integralność danych wybierz z listy kombinację algorytmów, a następnie kliknij przyciski Edytuj lub Dodaj.

Protokół

Następujące protokoły są używane w celu osadzania informacji dotyczących integralności w pakiecie protokołu IP.

ESP (zalecany)

Protokół ESP zapewnia uwierzytelnianie, integralność i funkcję zapobiegania powtarzaniu dla ładunku IP. Protokół ESP używany w trybie transportu nie podpisuje całego pakietu. Chroniony jest tylko ładunek IP, a nie nagłówek IP. Protokół ESP może być używany samodzielnie lub w połączeniu z protokołem AH. W przypadku protokołu ESP obliczenie skrótu obejmuje tylko nagłówek, blok końcowy i ładunek ESP. Protokół ESP może opcjonalnie zapewnić poufność danych, szyfrując ładunek ESP za pomocą jednego z kilku obsługiwanych algorytmów szyfrowania. Zapobieganie powtarzaniu jest zapewnione przez dołączenie numeru sekwencyjnego do każdego pakietu.

AH

Protokół Authentication Header (AH) zapewnia uwierzytelnianie, integralność i funkcję zapobiegania powtarzaniu dla całego pakietu (zarówno nagłówka IP, jak i ładunku danych przenoszonego w pakiecie). Nie zapewnia on poufności, co oznacza, że nie szyfruje danych. Dane są czytelne, ale są chronione przed modyfikacją. Niektóre pola, które mogłyby się zmienić podczas przesyłania, są wykluczone z obliczeń skrótu. Zapobieganie powtarzaniu jest zapewnione przez dołączenie numeru sekwencyjnego do każdego pakietu.

Ważne

Protokół AH nie jest zgodny z translatorem adresów sieciowych (NAT), ponieważ urządzenia NAT zmieniają informacje w niektórych nagłówkach pakietów uwzględnionych w skrócie spójności. Aby umożliwić przepuszczanie ruchu opartego na protokole IPsec przez urządzenie NAT, należy użyć protokołu ESP i upewnić się że na komputerach równorzędnych protokołu IPsec obsługiwany jest protokół translacji NAT (NAT-T).

Hermetyzacja zerowa

Użycie hermetyzacji zerowej oznacza, że ruch sieciowy nie ma być objęty ochroną integralności ani ochroną za pomocą szyfrowania. Uwierzytelnianie jest nadal wykonywane zgodnie z wymaganiami reguł zabezpieczeń połączeń, ale nie jest zapewniana inna ochrona pakietów sieciowych wymienianych przez dane skojarzenie zabezpieczeń.

Uwaga dotycząca zabezpieczeń

Ponieważ ta opcja nie zapewnia żadnej ochrony integralności ani poufności, zaleca się jej używanie tylko w przypadku konieczności obsługiwania oprogramowania lub urządzeń sieciowych niezgodnych z protokołami ESP i AH.

Algorytmy

W komputerach z tą wersją systemu Windows są dostępne następujące algorytmy integralności. Niektóre z tych algorytmów są niedostępne na komputerach z innymi wersjami systemu Windows. Jeśli konieczne jest ustanawianie połączeń zabezpieczonych protokołem IPsec z komputerami ze starszą wersją systemu Windows, należy uwzględnić opcje algorytmu zgodne ze starszą wersją.

Aby uzyskać więcej informacji, zobacz temat Algorytmy IPsec i metody obsługiwane w systemie Windows (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/??LinkID=129230).

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    Przestroga

    Algorytm MD5 nie jest już uważany za bezpieczny, więc powinno się z niego korzystać tylko do celów testowych lub gdy zdalny komputer nie może używać bezpieczniejszego algorytmu. Jest on udostępniany wyłącznie w celu zachowania zgodności z poprzednimi wersjami.

Okresy istnienia klucza

Ustawienia okresu istnienia klucza określają, kiedy generowany jest nowy klucz. Okresy istnienia klucza pozwalają na wymuszenie wygenerowania klucza po upływie określonego czasu lub przesłaniu określonej ilości danych. Jeśli na przykład komunikacja trwa 100 minut i określony jest okres istnienia klucza równy 10 minut, podczas wymiany zostanie wygenerowanych 10 kluczy, jeden co 10 minut. Korzystanie z wielu kluczy zapewnia, że nawet gdy osoba nieupoważniona zdoła złamać klucz do części komunikacji, nie odczyta dzięki niemu całości przekazu.

Uwaga

Regeneracja klucza dotyczy tylko integralności danych w trybie szybkim. Te ustawienia nie mają wpływu na ustawienia okresu istnienia klucza dla wymiany kluczy w trybie głównym.

Minuty

To ustawienie służy do skonfigurowania (w minutach) okresu użycia klucza w skojarzeniach zabezpieczeń trybu szybkiego. Po tym okresie zostanie wygenerowany nowy klucz. Kolejne procesy komunikacji będą używały nowego klucza.

Maksymalny okres istnienia to 2879 minut (48 godzin). Minimalny okres istnienia to 5 minut. Zaleca się ponowne tworzenie klucza z częstotliwością nie większą niż wymagana przez analizę ryzyka. Zbyt częste ponowne tworzenie klucza może wpłynąć na wydajność.

KB

To ustawienie służy do skonfigurowania ilości danych (w KB) wysłanych przy użyciu klucza. Po osiągnięciu wartości progowej licznik jest zerowany i klucz jest regenerowany. Kolejne procesy komunikacji będą używały nowego klucza.

Maksymalny okres istnienia to 2 147 483 647 KB. Minimalny okres istnienia to 20 480 KB. Zaleca się ponowne tworzenie klucza z częstotliwością nie większą niż wymagana przez analizę ryzyka. Zbyt częste ponowne tworzenie klucza może wpłynąć na wydajność.

Zobacz też


Spis treści