Hızlı mod güvenlik ilişkileri anlaşması sırasında kullanılabilen veri bütünlüğü algoritması teklifini yapılandırmak için bu iletişim kutusunu kullanın. Ağ paketindeki veri bütünlüğünü korumak için kullanılan protokolü ve algoritmayı belirtmelisiniz.

Internet Protokolü güvenliği (IPsec), ağ paketindeki verilerden oluşturulan bir karmayı hesaplayarak bütünlük sağlar. Daha sonra karma şifreli olarak imzalanır (şifrelenir) ve IP paketine katıştırılır. Alıcı bilgisayar, karmayı hesaplamak için aynı algoritmayı kullanır ve alınan pakette katıştırılmış olan karmayla sonucu karşılaştırır. Eşleşme olması durumunda, alınan bilgi gönderilen bilgiyle tamamen aynı olduğundan paket kabul edilir. Eşleşme olmaması durumunda ise paket bırakılır.

İletilen iletinin şifrelenmiş karmasının kullanılması, karma ile uyuşmazlığa neden olmadan iletinin değiştirilmesini, hesaplama açısından olanaksız kılar. Bu, iletim sırasında iletinin değiştirilmemiş olduğunun anlaşılması için bir yol sağladığından, veriler Internet gibi güvenilir olmayan bir ağ üzerinden gönderilip alındığında kritik bir öneme sahiptir.

Bu iletişim kutusuna nasıl ulaşılır?
  1. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeni sayfasında Genel Bakış alanında Windows Güvenlik Duvarı Özellikleri'ni tıklatın.

  2. IPsec Ayarları sekmesini tıklatın.

  3. IPsec varsayılanları altında Özelleştir'i tıklatın.

  4. Veri Koruması (Hızlı Mod) seçeneğinin altında Gelişmiş öğesini seçin ve Özelleştir'i tıklatın.

  5. Veri bütünlüğü'nün altındaki listeden bir algoritma birleşimi seçin ve Düzenle'yi veya Ekle'yi tıklatın.

Protokol

Bütünlük bilgilerini IP paketine katıştırmak için aşağıdaki protokoller kullanılır.

ESP (önerilen)

ESP, IP yükü için kimlik doğrulaması, bütünlük ve yeniden yürütmeyi önleme koruması sağlar. Aktarım modunda kullanılan ESP tüm paketi imzalamaz. Yalnızca IP yükü korunur, IP üstbilgisi korunmaz. ESP tek başına veya AH ile birlikte kullanılabilir. ESP ile, karma hesaplaması yalnızca ESP üstbilgisini, artbilgisini ve yükünü içerir. ESP isteğe bağlı şekilde, desteklenen birçok şifreleme algoritmasından biriyle ESP yükünü şifreleyerek veri gizliliği hizmetleri sağlar. Paketi yeniden kullanma hizmetleri, her pakete bir sıra numarası eklenerek sağlanır.

AH

AH, tüm paket (hem IP üstbilgisi, hem de pakette taşınan veri yükü) için kimlik doğrulama ve bütünlük sağlar ve yeniden yürütmeyi önler. Gizlilik sağlamaz, bu da verileri şifrelemediği anlamına gelir. Veriler okunabilir, ancak değişikliğe karşı korumalıdır. İletimde değişmesine izin verilen bazı alanlar karma hesaplamasının dışında bırakılır. Paketi yeniden yürütme hizmetleri, her pakete bir sıra numarası eklenerek sağlanır.

Önemli

Ağ Adresi Çevirisi (NAT) aygıtları, bütünlük karmasında bulunan paket üstbilgilerinin bazılarındaki bilgileri değiştirdiğinden, AH protokolü, NAT ile uyumlu değildir. IPsec tabanlı trafiğin NAT aygıtından geçmesine izin vermek için, ESP kullanmalı ve IPsec eş bilgisayarlarında NAT Geçişi'nin (NAT-T) etkinleştirildiğinden emin olmalısınız.

Boş kapsülleme

Boş kapsülleme, ağ trafiğinizde bütünlük veya şifreleme koruması kullanmak istemediğinizi belirtir. Bağlantı güvenliği kurallarının gerektirdiği şekilde kimlik doğrulaması gerçekleştirilir ancak bu güvenlik ilişkisi üzerinden gönderilip alınan ağ paketlerine başka bir koruma sağlanmaz.

Güvenlik Not

Bu seçenek herhangi türde bir bütünlük veya gizlilik koruması sağlamadığından, yalnızca ESP veya AH ile uyumlu olmayan yazılımları ya da ağ aygıtlarını desteklemeniz gerektiğinde bunu kullanmanızı öneririz.

Algoritmalar

Bu Windows sürümünü çalıştıran bilgisayarlar aşağıdaki bütünlük algoritmalarını kullanabilir. Bu algoritmalardan bazıları, başka Windows sürümlerini çalıştıran bilgisayarlarda kullanılamaz. Önceki Windows sürümünü çalıştıran bir bilgisayarla IPsec korumalı bağlantılar kurmanız gerekirse, önceki sürümle uyumlu algoritma seçeneklerini dahil etmelisiniz.

Daha fazla bilgi için, bkz. Windows'da Desteklenen IPsec Algoritmaları ve Yöntemleri (bu sayfa İngilizce içeriğe sahip olabilir) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    Dikkat

    MD5 artık güvenli kabul edilmemektedir ve yalnızca sınama amacıyla veya uzak bilgisayarın daha güvenli bir algoritmayı kullanamadığı durumlarda kullanılmalıdır. Yalnızca geriye dönük uyumluluk için sağlanır.

Anahtar yaşam süreleri

Yaşam süresi ayarları yeni bir anahtarın ne zaman oluşturulacağını belirtir. Anahtar yaşam süreleri, belirtilen bir zaman aralığından sonra veya belirtilen miktarda veri iletildikten sonra yeni bir anahtar oluşturmaya zorlamanızı sağlar. Örneğin, iletişim 100 dakika sürüyorsa ve 10 dakikalık bir anahtar yaşam süresi belirtirseniz, değişim sırasında 10 anahtar oluşturulur (her 10 dakikada bir). Birden çok anahtar kullanma, saldırganın iletişimin bir bölümü ile ilgili anahtarı eline geçirmesi durumunda, tüm iletişimin tehlikeye atılmamasını sağlar.

Not

Bu yeniden anahtar oluşturma işlemi yalnızca hızlı mod veri bütünlüğü içindir. Bu ayarlar, ana mod anahtar değişimi için anahtar yaşam süresi ayarlarını etkilemez.

Dakika

Hızlı mod güvenlik ilişkilerinde kullanılan anahtarın dakika cinsinden ne kadar süreceğini yapılandırmak için bu ayarı kullanın. Bu zaman aralığından sonra, yeni bir anahtar oluşturulur. Sonraki iletişimler bu yeni anahtarı kullanır.

En fazla yaşam süresi 2.879 dakikadır (48 saat). En az yaşam süresi 5 dakikadır. Yalnızca risk çözümlemenizin gerektirdiği sıklıkta yeniden anahtarlamanızı öneririz. Aşırı sık aralıklarla yeniden anahtarlama yapılması performansı etkileyebilir.

KB

Anahtar kullanılarak kaç kilobayt (KB) veri gönderileceğini yapılandırmak için bu ayarı kullanın. Bu eşiğe ulaşıldıktan sonra, sayaç sıfırlanır ve anahtar yeniden oluşturulur. Sonraki iletişimler bu yeni anahtarı kullanır.

En fazla yaşam süresi 2.147.483.647 KB'dir. En az yaşam süresi 20.480 KB'dir. Yalnızca risk çözümlemenizin gerektirdiği sıklıkta yeniden anahtarlamanızı öneririz. Aşırı sık aralıklarla yeniden anahtarlama yapılması performansı etkileyebilir.

Ayrıca Bkz.


İçindekiler