Akcja filtrowania określa wymagania dotyczące zabezpieczeń transmisji danych. Akcje filtrowania można definiować podczas tworzenia zasady lub przed jej utworzeniem. Listy filtrów są dostępne dla każdej zasady. Aby zdefiniować listę filtrów, kliknij prawym przyciskiem myszy węzeł Zasady zabezpieczeń IP i wybierz polecenie Zarządzaj listami filtrów i akcjami filtrowania.
Akcję filtrowania można skonfigurować w następujący sposób:
Zezwalaj na ruch
Protokół IPsec przekazuje ten ruch do i ze sterownika TCP/IP bez modyfikacji i nie wymagając zabezpieczeń. Ta akcja jest odpowiednia dla ruchu z komputerów, które nie rozpoznają protokołu IPsec. Jeśli jest używany ten typ akcji filtrowania, należy pamiętać o ograniczeniu listy filtrów IP do możliwie najmniejszego zakresu, tak aby ruch wymagający zabezpieczenia nie był przekazywany.
Użytkownik może rozważyć zezwolenie na ruch ICMP na potrzeby rozwiązywania problemów. Może być również konieczne zezwolenie komputerowi nienależącemu do domeny (na przykład komputerowi konsultanta) na dostęp do innego komputera w domenie. Do umożliwienia takiego dostępu można użyć akcji filtrowania typu Zezwalaj.
Ważne | |
Akcja filtrowania typu Zezwalaj umożliwia dostęp bez uwierzytelniania, zapewniania integralności danych lub szyfrowania. Dostęp uzyskuje każda osoba korzystająca z komputera z adresem IP określonym na liście filtrów. Cały ruch między komputerami odbywa się w postaci zwykłego tekstu. Nie jest wykonywane sprawdzanie integralności. |
Blokuj ruch
Protokół IPsec odrzuca blokowany ruch w trybie cichym. Korzystając z akcji filtrowania blokującego, należy upewnić się, że są używane filtry IP określające właściwy zakres adresów IP. Stosowanie szerszego zakresu zwiększa ryzyko blokowania ruchu między prawidłowymi komputerami.
Negocjuj protokół zabezpieczeń
Jeśli została włączona opcja Akceptuj komunikację niezabezpieczoną, ale zawsze odpowiadaj używając protokołu IPsec, protokół IPsec próbuje negocjować skojarzenia zabezpieczeń (SA) oraz wysyłanie i odbieranie ruchu chronionego przez protokół IPsec. Jednak jeśli element równorzędny nie obsługuje protokołu IPsec, możliwa jest komunikacja bez ochrony IPsec. Po wybraniu tej akcji filtrowania można również skonfigurować następujące elementy:
- Metody zabezpieczeń i ich kolejność. Lista metod umożliwia określenie kolejności wypróbowywania metod. Zostanie użyta pierwsza metoda, której próba się powiedzie, a pozostałe metody nie są sprawdzane. Zwykle metoda zapewniająca najwyższy poziom zabezpieczeń znajduje się na początku listy, a metoda zapewniająca najniższy poziom zabezpieczeń - na końcu listy, tak aby stosowana była metoda najbezpieczniejsza.
- Zezwolenie na początkowy, przychodzący ruch niezabezpieczony (Akceptuj komunikację niezabezpieczoną, ale zawsze odpowiadaj używając protokołu IPSec). Protokół IPsec zezwala, aby pakiet przychodzący, który spełnia kryteria skonfigurowanej listy filtrów, był niezabezpieczony (tzn. nie był chroniony przez protokół IPsec). Jednak wychodząca odpowiedź na ten pakiet musi być chroniona. To ustawienie jest przydatne w przypadku korzystania z reguły odpowiedzi domyślnej dla klientów. Jeśli dla grupy serwerów skonfigurowano regułę, która zabezpiecza komunikację z każdym adresem IP i akceptuje komunikację niezabezpieczoną (odpowiadając przy użyciu komunikacji zabezpieczonej), włączenie reguły odpowiedzi domyślnej na komputerach klienckich zapewnia, że klienci będą odpowiadać na żądania negocjowania zabezpieczeń pochodzące od serwera. Tę opcję tę należy wyłączyć, aby zabezpieczyć komputery połączone z Internetem przed atakami typu „odmowa usługi”.
- Umożliwienie komunikacji z komputerami, które nie rozpoznają protokołu IPsec (Zezwalaj na komunikację niezabezpieczoną, jeśli nie można ustanowić bezpiecznego połączenia). Jeśli to konieczne, protokół IPsec powraca do komunikacji niezabezpieczonej. W tym przypadku również należy ograniczyć listę filtrów IP do możliwie najmniejszego zakresu. W przeciwnym razie jeśli negocjacja z jakiegoś powodu nie powiedzie się, dla każdej komunikacji, której dotyczy reguła zawierająca tę akcję filtrowania, dane mogą zostać wysłane bez zabezpieczenia. Jeśli użytkownik obawia się niezabezpieczonej komunikacji, należy rozważyć wyłączenie tych ustawień. Jednak komunikacja z komputerami ze starszymi systemami, które nie mogą zainicjować zabezpieczeń IPsec, może wtedy być blokowana. Tę opcję tę należy wyłączyć, aby zabezpieczyć komputery połączone z Internetem przed atakami typu „odmowa usługi”.
- Generowanie kluczy sesji trybu szybkiego z nowego materiału klucza trybu głównego (Doskonałe utajnienie przekazywania klucza sesji). Włączenie doskonałego utajnienia przekazywania klucza sesji gwarantuje, że materiał klucza trybu głównego może być użyty do wygenerowania tylko jednego klucza sesji trybu szybkiego. Jeśli jest włączone doskonałe utajnienie przekazywania klucza sesji, przed utworzeniem nowego klucza sesji trybu szybkiego jest przeprowadzana nowa wymiana kluczy Diffie'go-Hellmana w celu wygenerowania nowego głównego materiału klucza trybu głównego. Doskonałe utajnienie przekazywania klucza sesji (trybu szybkiego) nie wymaga ponownego uwierzytelnienia w trybie głównym i wykorzystuje mniej zasobów niż doskonałe utajnienie przekazywania klucza głównego (trybu głównego).
Metody zabezpieczeń IPsec
Każda metoda zabezpieczeń określa wymagania zabezpieczeń odnoszące się do wszelkiej komunikacji, której dotyczy reguła związana z daną metodą. Utworzenie wielu metod zabezpieczeń zwiększa szansę znalezienia wspólnej metody między dwoma komputerami. Składnik usługi IKE odczytuje listę metod zabezpieczeń w kolejności malejącej i wysyła listę dozwolonych metod zabezpieczeń do elementu równorzędnego. Wybierana jest pierwsza wspólna metoda. Zazwyczaj metody najbezpieczniejsze umieszczone są na początku listy, a najmniej bezpieczne - na końcu.
Wstępnie zdefiniowane metody zabezpieczeń
Następujące metody zabezpieczeń są wstępnie zdefiniowane:
Szyfrowanie i integralność
W tej metodzie używany jest protokół ESP, który zapewnia poufność (szyfrowanie) danych dzięki zastosowaniu potrójnego algorytmu Data Encryption Standard (3DES) oraz integralność danych i uwierzytelnianie dzięki zastosowaniu algorytmu integralności Secure Hash Algorithm 1 (SHA1). Używane są domyślne okresy istnienia kluczy (100 MB, 1 godzina). Jeśli wymagana jest ochrona zarówno danych, jak i informacji adresowych (nagłówka IP), można utworzyć niestandardową metodę zabezpieczeń. Jeśli nie jest wymagane szyfrowanie, należy użyć opcji Tylko integralność.
Tylko integralność
W tej metodzie używany jest protokół ESP, który zapewnia integralność danych i uwierzytelnianie dzięki zastosowaniu algorytmu integralności SHA1. Używane są domyślne okresy istnienia kluczy (100 MB, 1 godzina). W tej konfiguracji protokół ESP nie zapewnia poufności (szyfrowania) danych.
Niestandardowe metody zabezpieczeń
Jeśli wstępnie zdefiniowane ustawienia Szyfrowanie i integralność lub Tylko integralność nie spełniają określonych wymagań dotyczących zabezpieczeń, można określić niestandardowe metody zabezpieczeń. Metod niestandardowych można użyć na przykład wtedy, gdy wymagane jest szyfrowanie danych i integralności adresu, mocniejsze algorytmy lub okresy istnienia kluczy. Konfigurując niestandardową metodę zabezpieczeń, można skonfigurować następujące elementy:
Protokoły zabezpieczeń
Aby zapewnić szyfrowanie danych i integralność nagłówka IP, w niestandardowej metodzie zabezpieczeń można włączyć zarówno protokół AH (integralność adresu i danych bez szyfrowania), jak i ESP (integralność i szyfrowanie danych). Jeśli zostaną włączone oba te protokoły, nie trzeba określać algorytmu integralności dla protokołu ESP.
Uwaga | |
Z protokołu AH nie można korzystać w przypadku urządzeń służących do translacji adresów sieciowych (NAT, network address translation), gdyż w nagłówku używają funkcji skrótu. Urządzenia NAT zmieniają nagłówek, dlatego nie jest możliwe poprawne uwierzytelnienie pakietu. |
Algorytm integralności
Algorytm Message Digest 5 (MD5), który korzysta z klucza 128-bitowego. Ten algorytm nie już uważany za bezpieczny, więc powinien być używany tylko wtedy, gdy wymaga tego współdziałanie.
Algorytm SHA1, który korzysta z klucza 160-bitowego. Algorytm SHA1 jest mocniejszy niż algorytm MD5 i jest zgodny ze standardem Federal Information Processing Standard (FIPS).
Algorytm szyfrowania
Algorytm 3DES jest najmocniejszą kombinacją algorytmu DES, o nieco mniejszej wydajności. Algorytm 3DES przetwarza każdy blok danych trzy razy, korzystając z trzech unikatowych kluczy 56-bitowych.
Algorytm DES korzysta z jednego klucza 56-bitowego i jest stosowany, jeśli nie są wymagane lepsze zabezpieczenia kosztem dodatkowego obciążenia związanego z algorytmem 3DES. Ten algorytm nie już uważany za bezpieczny, więc powinien być używany tylko wtedy, gdy wymaga tego współdziałanie.
Ustawienia klucza sesji (trybu szybkiego) określają kiedy, a nie jak, generowany jest nowy klucz. Okres istnienia klucza można zdefiniować w kilobajtach (KB), w sekundach lub na oba sposoby. Na przykład jeśli komunikacja trwa 10 000 sekund i zdefiniowano okres istnienia klucza równy 1 000 sekund, podczas przesyłania danych zostanie wygenerowanych 10 kluczy. Zapewnia to, że nawet jeśli osoba nieupoważniona zdoła złamać jeden klucz sesji i odszyfrować część komunikacji, odszyfrowanie całej komunikacji będzie niemożliwe. Domyślnie nowy klucz trybu szybkiego generowany jest co 100 MB danych lub co godzinę. Po upływie każdego okresu istnienia klucza oprócz odświeżenia lub ponownego wygenerowania klucza następuje również ponowna negocjacja skojarzenia zabezpieczeń.
Aby utworzyć akcję filtrowania przy użyciu okna dialogowego Właściwości nowej reguły: |
Jeśli chcesz utworzyć akcję filtrowania w oknie dialogowym właściwości, na karcie Reguły okna dialogowego Właściwości zasad zabezpieczeń IP wyczyść pole wyboru Użyj kreatora dodawania. Aby skorzystać z kreatora, pozostaw to pole wyboru zaznaczone. Kliknij przycisk Dodaj. W poniższych instrukcjach przedstawiono sposób utworzenia listy filtrów przy użyciu okna dialogowego.
Na karcie Akcja filtrowania w oknie dialogowym Właściwości reguły wyczyść pole wyboru Użyj kreatora dodawania i kliknij przycisk Dodaj.
Na karcie Metody zabezpieczeń wybierz metodę (akcję), która ma być używana przez regułę.
(Opcjonalne) Na karcie Opis wpisz opis akcji filtrowania. Opis pomaga w przeglądaniu akcji filtrowania i umożliwia ich szybką identyfikację bez konieczności otwierania okna właściwości.
Kliknij przycisk OK.
Aby dodać kolejne akcje filtrowania do listy, powtórz kroki od 4 do 8.
Uwaga Chociaż na liście reguły może się znajdować kilka akcji filtrowania, to w ramach jednej reguły może być używana tylko jedna akcja.
Na karcie Akcja filtrowania wybierz akcję filtrowania odpowiednią dla reguły i kliknij przycisk OK.
Aby utworzyć akcję filtrowania przy użyciu okna dialogowego Zarządzanie listami filtrów i akcjami filtrowania: |
Kliknij prawym przyciskiem myszy węzeł Zasady zabezpieczeń IP i wybierz polecenie Zarządzaj listami filtrów IP i akcjami filtrowania.
Jeśli chcesz utworzyć akcję filtrowania przy użyciu okna dialogowego właściwości, na karcie Zarządzanie akcjami filtrowania wyczyść pole wyboru Użyj kreatora dodawania. Aby skorzystać z kreatora, pozostaw to pole wyboru zaznaczone. Kliknij przycisk Dodaj. W poniższych instrukcjach przedstawiono sposób utworzenia listy filtrów przy użyciu okna dialogowego. Te wskazówki nie dotyczą korzystania z kreatora.
Na karcie Metody zabezpieczeń wybierz metodę i kliknij przycisk OK.
Jeśli wybrano opcję Negocjuj protokół zabezpieczeń, można dodać wiele metod i określić kolejność, w jakiej będą wypróbowywane. Aby to zrobić, kliknij przycisk Dodaj.
(Opcjonalne) Na karcie Opis wpisz opis filtru. Opis pomaga w przeglądaniu filtrów i umożliwia ich szybką identyfikację bez konieczności otwierania okna właściwości.
Kliknij przycisk OK.
Aby dodać akcje filtrowania do listy, powtórz kroki od 4 do 8.