Använd den här dialogrutan om du vill konfigurera en dataintegritetsalgoritm som är tillgänglig när säkerhetsassociationer för snabbläge förhandlas. Du måste ange både det protokoll och den algoritm som används för att skydda nätverkspaketets dataintegritet.
IPsec (Internet Protocol security) ger integritet genom att ett hashvärde som genereras av data i nätverkspaketet beräknas. Hashvärdet signeras (krypteras) sedan kryptografiskt och bäddas in i IP-paketet. Den mottagande datorn använder samma algoritm för att beräkna hashvärdet och jämför resultatet med det hashvärde som är inbäddat i det mottagna paketet. Om det matchar är den mottagna informationen exakt densamma som den skickade informationen, och paketet accepteras. Om det inte matchar ignoreras paketet.
Genom att använda en krypterad hash för det överförda meddelandet är det beräkningsmässigt omöjligt att ändra meddelandet utan att det leder till att meddelandet inte överensstämmer med hashvärdet. Detta är kritiskt när data utbyts över ett oskyddat nätverk, till exempel Internet, och det är ett sätt att kontrollera att meddelandet inte ändrades under överföringen.
Så här öppnar du den här dialogrutan |
Klicka på Egenskaper för Windows-brandväggen i Översikt i MMC-snapin-modulen Windows-brandväggen med avancerad säkerhet.
Klicka på fliken IPsec-inställningar.
Klicka på Anpassa under Standardvärden för IPsec.
Markera Avancerat under Dataskydd (snabbläge) och klicka sedan på Anpassa.
Välj en algoritmkombination i listan under Dataintegritet och klicka på Redigera eller Lägg till.
Protokoll
Följande protokoll används för att bädda in integritetsinformation i ett IP-paket.
ESP (rekommenderas)
ESP medför autentisering, integritet och skydd mot anti-omsändning för IP-nyttolasten. När ESP används i transportläge signeras inte hela paketet. Endast IP-nyttolasten, inte IP-huvudet, skyddas. ESP kan användas självständigt eller tillsammans med AH. ESP inkluderar enbart ESP-huvudet, ESP-slutet och nyttolasten i beräkningen av hash-algoritmen. ESP kan också medföra tjänster för datasekretess genom att kryptera ESP-nyttolasten med någon av flera krypteringsalgoritmer som stöds. Svarstjänster för datapaket tillhandahålls genom inkluderandet av ett sekvensnummer för varje paket.
AH
AH ger autentisering, integritet och anti-omsändning av hela paket (både av IP-huvudet och datanyttolasten som finns i paketet). Det ger ingen sekretess, vilket innebär att informationen inte krypteras. Informationen är läsbar men skyddad mot ändringar. Vissa fält som tillåts ändras under överföringen är undantagna från hashberäkningen. Svarstjänster för datapaket tillhandahålls genom inkluderandet av ett sekvensnummer för varje paket.
Viktigt! | |
AH-protokollet är inte kompatibelt med översättning av nätverksadresser (NAT) eftersom NAT-enheter ändrar information i några av pakethuvudena som ingår i integritetshashvärdet. Om du vill tillåta att IPsec-baserad trafik passerar genom en NAT-enhet måste du använda ESP och se till att NAT-T (NAT Traversal) är aktiverat på peer-datorerna med IPsec. |
Null-inkapsling
Null-inkapsling anger att du inte vill använda något integritets- eller krypteringsskydd för nätverkstrafiken. Autentisering utförs fortfarande enligt kraven i anslutningssäkerhetsreglerna, men nätverkspaketen som utbyts genom den här säkerhetsassociationen skyddas inte på något annat sätt.
SäkerhetsOBS | |
Eftersom det här alternativet inte medför något integritets- eller sekretesskydd av något slag rekommenderar vi att du endast använder det om du måste ge stöd för programvara eller nätverksenheter som inte är kompatibla med ESP eller AH. |
Algoritm
Följande integritetsalgoritmer är tillgängliga på datorer som den här versionen av Windows körs på. Vissa av de här algoritmerna är inte tillgängliga på datorer som andra versioner av Windows körs på. Om du måste upprätta IPsec-skyddade anslutningar på en dator som en tidigare version av Windows körs på måste du inkludera algoritmalternativ som är kompatibla med den tidigare versionen.
Mer information finns i
- AES-GMAC 256
- AES-GMAC 192
- AES-GMAC 128
- SHA-1
- MD5
Varning MD5 anses inte längre vara säker och bör endast användas vid testning eller i fall där fjärrdatorn inte kan använda en mer säker algoritm. Den tillhandahålls endast för bakåtkompatibilitet.
Livstid för nycklar
Livstidsinställningarna avgör när en ny nyckel genereras. Med hjälp av livstider för nycklar kan du framtvinga generering av en ny nyckel efter ett visst tidsintervall eller efter att en viss mängd data har överförts. Om kommunikationen exempelvis varar i 100 minuter och du anger nyckelns giltighetstid till tio minuter, kommer tio nycklar att skapas (en var tionde minut) under utbytet. Om du använder flera nycklar blir inte hela kommunikationen osäker även om någon obehörig person kommer åt nyckeln till en del av kommunikationen.
OBS | |
Denna nyckelomgenerering gäller endast dataintegritet i snabbläge. De här inställningarna påverkar inte inställningarna för nyckelns livstid för nyckelutbyte i huvudläge. |
Minuter
Använd den här inställningen om du vill konfigurera hur länge nyckeln som används i säkerhetsassociationen för snabbläge gäller, i minuter. Efter det här intervallet genereras en ny nyckel. I efterföljande kommunikation används den nya nyckeln.
Den maximala livstiden är 2 879 minuter (48 timmar). Den minimala livstiden är 5 minuter. Vi rekommenderar att du endast genererar nya nycklar så ofta som riskanalysen kräver. Prestanda kan försämras om nya nycklar genereras onödigt ofta.
KB
Använd den här inställningen för att konfigurera hur många kilobyte (KB) data som skickas med nyckeln. Efter att det här tröskelvärdet har uppnåtts återställs räknaren och nyckeln genereras om. I efterföljande kommunikation används den nya nyckeln.
Den maximala livstiden är 2,147,483,647 kB. Den minimala livstiden är 20 480 kB. Vi rekommenderar att du endast genererar nya nycklar så ofta som riskanalysen kräver. Prestanda kan försämras om nya nycklar genereras onödigt ofta.