Это диалоговое окно позволяет настроить параметры алгоритма проверки целостности данных, который будет использоваться при согласовании сопоставлений безопасности быстрого режима. Здесь указываются протокол и алгоритм проверки целостности данных в сетевом пакете.

Протокол IPsec обеспечивает целостность путем вычисления хэша на основе данных сетевого пакета. Затем хэш подписывается криптографическим ключом (шифруется) и встраивается в IP-пакет. Принимающий компьютер использует тот же алгоритм вычисления хэша и сравнивает его с хэшем в полученном пакете. Если они совпадают, это означает, что принятая информация точно соответствует отправленной, и пакет принимается. Если они не совпадают, пакет отклоняется.

Благодаря использованию в передаваемом сообщении зашифрованного хэша становится вычислительно невозможным изменить сообщение так, чтобы сохранилась идентичность сравниваемых хэш-значений. Это критически важно для данных, обмен которыми выполняется по незащищенным сетям, таким как Интернет, и позволяет гарантировать, что сообщение не было изменено при передаче.

Чтобы открыть это диалоговое окно
  1. В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в разделе Обзор выберите пункт Свойства брандмауэра Windows.

  2. Перейдите на вкладку Параметры IPsec.

  3. В разделе Параметры IPsec по умолчанию нажмите кнопку Настроить.

  4. В разделе Защита данных (быстрый режим) выберите Дополнительно и нажмите кнопку Настроить.

  5. В разделе Целостность данных выберите из списка сочетание алгоритмов и нажмите кнопку Изменить или Добавить.

Протокол

Для встраивания в IP-пакет информации для проверки целостности передаваемых данных, используются следующие протоколы:

ESP (рекомендуется)

Протокол ESP обеспечивает для полезных данных IP-пакета проверку подлинности, целостности и защиту от повторной передачи перехваченных пакетов. ESP в режиме транспорта не подписывает весь пакет. Защищаются только IP-данные, но не IP-заголовок. ESP может использоваться отдельно или в сочетании с AH. При использовании ESP хэш вычисляется на основе ESP-заголовка, замыкателя и полезных данных. ESP может при необходимости обеспечить конфиденциальность данных, шифруя полезные данные ESP с помощью одного из поддерживаемых алгоритмов шифрования. Работа службы повторения пакетов обеспечивается включением порядкового номера каждого пакета.

AH

Протокол AH обеспечивает проверку подлинности, целостности и защиту от повторной передачи перехваченных пакетов для всего пакета (IP-заголовка и полезных данных). Конфиденциальность при этом не обеспечивается, то есть данные не шифруются. Данные доступны для чтения, но защищены от изменения. Некоторые поля, для которых разрешено изменение на пути следования, не используются при вычислении хэша. Поддержка служб повторения пакетов обеспечивается включением порядкового номера каждого пакета.

Важно!

Протокол AH не совместим с преобразованием сетевых адресов NAT, поскольку NAT-устройства изменяют информацию в некоторых заголовках пакетов, которые включаются в хэш проверки целостности. Чтобы обеспечить прохождение IPsec-трафика через NAT-устройство, нужно использовать протокол ESP и убедиться, что на одноранговых компьютерах, которые участвуют в передаче данных по протоколу IPsec, включена поддержка NAT-Traversal.

Нулевая инкапсуляция

Нулевая инкапсуляция означает, что не требуется обеспечивать целостность или шифрование сетевого трафика. Проверка подлинности по-прежнему выполняется в соответствии с правилами безопасности подключения, но для сетевых пакетов, обмен которыми производится посредством этого сопоставления безопасности, друга защита не задействуется.

Примечание по безопасности

Поскольку этот параметр не обеспечивает какой-либо вид проверки целостности или обеспечения конфиденциальности, рекомендуется использовать его только в том случае, если необходимо поддерживать программные или сетевые устройства, несовместимые с протоколами ESP или AH.

Алгоритмы

Следующие алгоритмы проверки целостности доступны на компьютерах, работающих под управлением этой версии Windows. Некоторые из них не доступны в предыдущих версиях Windows. Если необходимо установить защищенное подключение IPsec с компьютером, работающим под управлением предыдущей версии Windows, то необходимо включить параметры алгоритма, совместимые с предыдущей версией.

Дополнительные сведения см. в разделе Алгоритмы и методы протокола IPsec, поддерживаемые в разных версиях Windows (http://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    Внимание!

    Алгоритм MD5 более не считается безопасным и должен использоваться только в тестовых целях и в случаях, когда удаленный компьютер не может использовать более безопасный алгоритм. Алгоритм предоставляется только для обратной совместимости.

Время жизни ключа

Параметры времени жизни задают периодичность создания нового ключа. Время жизни ключа позволяет инициировать создание нового ключа по истечении заданного интервала времени или после передачи заданного объема данных. Например, если связь продолжается в течение 100 минут, а для ключа задано время жизни 10 минут, за время обмена данными будет создано 10 ключей, по одному каждые 10 минут. Использование нескольких ключей гарантирует, что при получении злоумышленником ключа к одной части подключения безопасность всего подключения не будет нарушена.

Примечание

Пересоздание ключей необходимо только для проверки целостности данных быстрого режима. Эти параметры не затрагивает параметры времени жизни ключа для обмена ключами основного режима.

Минут

Этот параметр позволяет указать, сколько времени будет использоваться ключ в сопоставлении безопасности быстрого режима. По истечении указанного промежутка времени будет создан новый ключ. Последующие подключения будут использовать новый ключ.

Максимальное время жизни - 2 879 минут (48 часов). Наименьшее значение времени жизни - 5 минут. Рекомендуется пересоздавать ключ не чаще, чем это следует делать, исходя из анализа рисков. Слишком частое пересоздание может сказаться на производительности.

КБ

Этот параметр можно использовать для указания объема данных в килобайтах, передаваемых с помощью данного ключа. По достижении этого порога счетчик будет сброшен, а ключ сменен. Последующие подключения будут использовать новый ключ.

Максимальное время жизни - 2 147 483 647 килобайт. Минимальное время жизни - 20 480 КБ. Рекомендуется пересоздавать ключ не чаще, чем это следует делать, исходя из анализа рисков. Слишком частое пересоздание может сказаться на производительности.

См. также