En filteråtgärd anger säkerhetskraven för dataöverföringen. Du kan definiera filteråtgärder när du skapar en princip eller innan du skapar principen. Filterlistorna är tillgängliga för alla principer. Du definierar en filterlista genom att högerklicka på noden för IP-säkerhetsprinciper och välja Hantera IP-filterlistor och filteråtgärder.

En filteråtgärd kan konfigureras med inställningarna:

Tillåt trafik

IPSec skickar trafiken till och från TCP/IP-drivrutinen utan ändring eller krav på säkerhet. Detta är lämpligt för trafik från datorer som inte är IPSec-kompatibla. Begränsa IP-filterlistan till att beröra så lite trafik som möjligt när du använder den här typen av filteråtgärd så att du inte släpper igenom trafik som bör skyddas.

Överväg att tillåta ICMP-trafik för felsökning. Du kan också behöva ge en dator som inte tillhör domänen (till exempel en konsults dator) åtkomst till en annan dator i domänen. Då kan du använda filteråtgärden Tillåt för att ge åtkomst.

Viktigt!

Filteråtgärden Tillåt ger åtkomst utan autentisering, dataintegritet eller kryptering. Alla som använder datorn med IP-adressen som angetts i filterlistan får åtkomst. All trafik mellan datorerna genomförs i klartext och inga integritetskontroller utförs.

Blockera trafik

IPSec blockerar trafiken utan varningar. När du använder filteråtgärden Blockera ska du kontrollera så att IP-filterlistan som används definierar det korrekta intervallet IP-adresser. Om ett större intervall används ökar risken för att trafik blockeras mellan giltiga datorer.

Förhandla om säkerhetsnivå

Om du aktiverar alternativet Acceptera osäker kommunikation men svara alltid med IPSec försöker IPSec förhandla säkerhetsassociationer samt skickandet och mottagandet av IPSec-skyddad trafik. Om peer-datorn inte kan använda IPSec tillåts dock kommunikationen utan IPSec-skydd. När du väljer den här filteråtgärden kan du också konfigurera följande:

  • Säkerhetsmetoder och deras ordning. Den här listan över metoder anger i vilken ordning metoderna används. Den första metod som fungerar kommer att användas och resten av metoderna ignoreras. Listan ska i vanliga fall ordnas efter metodernas säkerhetsgrad, så att den säkraste fungerande metoden används.

  • Godkännande av inledande inkommande osäker trafik (Acceptera osäker kommunikation men svara alltid med IPSec). IPSec tillåter ett osäkert inkommande paket (d.v.s. som inte skyddas av IPSec) om det matchar den konfigurerade filterlistan. Däremot måste det utgående svaret på det inkommande paketet vara säkert. Den här inställningen är användbar när du använder standardsvarsregeln för klienter. När en grupp servrar är konfigurerade med en regel som skyddar kommunikationen med alla IP-adresser och accepterar osäker kommunikation men endast svarar med säker kommunikation, garanterar aktivering av standardsvarsregeln på klientdatorerna att klienterna svarar på serverförfrågan om förhandling om säkerhet. Alternativet bör inaktiveras för säkra datorer som är anslutna till Internet, för att förhindra DOS-attacker.

  • Aktivering av kommunikation med datorer som inte stöder IPSec (Tillåt osäker kommunikation om det inte går att upprätta en skyddad anslutning). IPSec accepterar osäker kommunikation om det är nödvändigt. Du bör även i det här fallet begränsa IP-filterlistan. I annat fall kan all kommunikation som omfattas av regeln i vilken den här filteråtgärden ingår orsaka att data skickas utan skydd om förhandlingen av någon anledning misslyckas. Om du är orolig över att osäkra kommunikationer genomförs kan du inaktivera de här inställningarna. Eventuellt kan då kommunikation med datorer som inte kan initiera IPSec (t.ex. äldre datorer) förhindras. Alternativet bör inaktiveras för säkra datorer som är anslutna till Internet, för att förhindra DOS-attacker.

  • Generering av sessionsnycklar för snabbläge från en ny nyckeluppgift för huvudläget (Sessionsnyckel för PFS (Perfect Forward Secrecy)). När sessionsnyckelns PFS aktiveras säkerställs att huvudnyckeluppgiften för huvudläget inte kan användas för att härleda mer än en sessionsnyckel för snabbläge. När PFS för snabbläge har aktiverats utförs ett nytt Diffie-Hellman-nyckelutbyte för att generera en ny nyckeluppgift för huvudnyckeln i huvudläge innan den nya snabblägesnyckeln skapas. PFS för sessionsnyckel (snabbläge) kräver inte återautentisering i huvudläge och använder färre resurser än PFS för huvudnyckel (huvudläge).

IPSec-säkerhetsmetoder

Varje säkerhetsmetod definierar säkerhetskrav för kommunikationen som omfattas av den associerade regeln. Om du skapar flera säkerhetsmetoder ökar chansen för att det går att hitta en gemensam metod för två datorer. IKE-komponenten läser listan med säkerhetsmetoder i fallande ordning och skickar en lista med tillåtna säkerhetsmetoder till den andra peer-datorn. Den första gemensamma metoden väljs. Normalt finns de säkraste metoderna i början av listan och de mindre säkra metoderna i slutet av listan.

Fördefinierade säkerhetsmetoder

Följande säkerhetsmetoder är fördefinierade:

Kryptering och integritet

Använder ESP-protokollet för att tillhandahålla datasekretess (kryptering) med 3DES-algoritmen (Triple Data Encryption Standard), dataintegritet och autentisering med SHA1-integritetsalgoritmen (Secure Hash Algorithm 1) och standardlivstiden för nycklar (100 MB, 1 timme). Om du vill använda skydd för både data och adressering (IP-huvud) kan du skapa en anpassad säkerhetsmetod. Om du inte behöver kryptering kan du använda Endast integritet.

Endast integritet

Använder ESP-protokollet för att tillhandahålla dataintegritet och autentisering med SHA1-integritetsalgoritmen och standardlivstiden för nycklar (100 MB, 1 timme). I den här konfigurationen tillhandahåller inte ESP någon datasekretess (kryptering).

Anpassade säkerhetsmetoder

Om de fördefinierade inställningarna Kryptering och integritet eller Endast integritet inte passar dina säkerhetskrav kan du ange anpassade säkerhetsmetoder. Du kan t.ex. använda anpassade metoder när krypterings- eller adressäkerhet, starkare algoritmer eller livstid för nycklar måste anges. När du konfigurerar en anpassad säkerhetsmetod kan du ange följande:

Säkerhetsprotokoll

Både AH (data- och adressintegritet utan kryptering) och ESP (dataintegritet och kryptering) kan aktiveras i en anpassad säkerhetsmetod när du kräver sekretess för IP-huvud och datakryptering. Om du väljer att aktivera båda behöver du inte ange någon integritetsalgoritm för ESP.

OBS

AH-protokollet kan inte användas över NAT-enheter eftersom det använder en Hash-algoritm av huvudet. NAT-enheter ändrar huvudet, vilket innebär att paketet inte kan autentiseras.

Integritetsalgoritm

MD5 (Message Digest 5) som använder en 128-bitarsnyckel. Den här algoritmen anses inte längre vara säker och ska endast användas när detta krävs av interoperabilitetsskäl.

SHA1, som använder en 160-bitars nyckel. SHA1 är en starkare Hash-algoritm än MD5 och är kompatibel med FIPS (Federal Information Processing Standard).

Krypteringsalgoritm

3DES är den säkraste av DES-kombinationerna men är något långsammare. 3DES behandlar varje block tre gånger och använder tre unika 56-bitarsnycklar.

DES använder bara en 56-bitarsnyckel, och används när den höga säkerhet och de tillägg som 3DES ger inte behövs. Den här algoritmen anses inte längre vara säker och ska endast användas när det krävs av interoperabilitetsskäl.

Sessionsnyckelsinställningarna (snabbläge) avgör när, inte hur, en ny nyckel genereras. Du kan ange livslängden i kilobyte (kB) eller sekunder eller både och. Om kommunikationen t.ex. varar under 10 000 sekunder och du anger nyckelns giltighetstid till 1 000 sekunder, kommer tio nycklar att skapas för att överföringen ska slutföras. Detta innebär att även om någon obehörig kommer åt en nyckel och kan dechiffrera en del av kommunikationen kan inte personen dechiffrera hela kommunikationen. Som standard genereras nya nycklar för snabbläge för var hundrade MB data eller varje timme. När giltighetstiden för en nyckel eller en sessionsnyckel löper ut uppdateras eller återskapas nyckeln, och även den tillhörande säkerhetsassociationen förhandlas om.

Skapa en filteråtgärd med dialogrutan Egenskaper för ny regel
  1. Avmarkera kryssrutan Använd guiden på fliken Regler i dialogrutan Egenskaper för IP-säkerhetsprincip om du vill skapa filteråtgärden i dialogrutan Egenskaper. Låt kryssrutan vara markerad om du vill använda guiden. Klicka på Lägg till. Följande anvisningar beskriver hur du skapar en filterlista med hjälp av dialogrutan.

  2. Avmarkera kryssrutan Använd guiden på fliken Filteråtgärd i dialogrutan Regelegenskaper och klicka på Lägg till.

  3. Välj vilken metod (åtgärd) som regeln ska använda på fliken Säkerhetsmetoder.

  4. (Valfritt) Ange en beskrivning av filteråtgärden på fliken Beskrivning. Beskrivningen kan vara till hjälp när du sorterar filteråtgärderna, och gör att du snabbt kan känna igen en filteråtgärd utan att öppna dess egenskaper.

  5. Klicka på OK.

  6. Upprepa steg 4 till 8 för att lägga till ytterligare filteråtgärder i listan.

    OBS

    Regeln kan innehålla en lista över flera filteråtgärder, men endast en filteråtgärd kan användas per regel.

  7. Markera rätt filteråtgärd för regeln på fliken Filteråtgärd och klicka på OK.

Skapa en filteråtgärd med dialogrutan Hantera IP-filterlistor och filteråtgärder
  1. Högerklicka på noden för IP-säkerhetsprinciper och välj Hantera IP-filterlistor och filteråtgärder.

  2. Avmarkera kryssrutan Använd guiden på fliken Hantera filteråtgärder om du vill skapa filterlistan med hjälp av dialogrutan Egenskaper. Låt kryssrutan vara markerad om du vill använda guiden. Klicka på Lägg till. Följande anvisningar beskriver hur du skapar en filterlista med hjälp av dialogrutan. I anvisningarna används inte guiden.

  3. Välj metoden (åtgärden) på fliken Säkerhetsmetoder och klicka på OK.

  4. Om du har markerat alternativet Förhandla om säkerhetsnivå kan du lägga till flera metoder och ange i vilken ordning de ska testas. Klicka på Lägg till om du vill göra detta.

  5. (Valfritt) Ange en beskrivning av filteråtgärden på fliken Beskrivning. Beskrivningen kan vara till hjälp när du sorterar filteråtgärderna, och gör att du snabbt kan känna igen en filteråtgärd utan att öppna dess egenskaper.

  6. Klicka på OK.

  7. Upprepa steg 4 till 8 för att lägga till filteråtgärder i listan.

Se även