Это диалоговое окно позволяет настроить параметры алгоритмов обеспечения целостности и конфиденциальности данных, которые будут использоваться при согласовании сопоставлений безопасности быстрого режима. Здесь указываются протокол и алгоритм проверки целостности данных в сетевом пакете.
Протокол IPsec обеспечивает целостность путем вычисления хэша на основе данных сетевого пакета. Затем хэш подписывается криптографическим ключом (шифруется) и встраивается в IP-пакет. Принимающий компьютер использует тот же алгоритм вычисления хэша и сравнивает его с хэшем в полученном пакете. Если они совпадают, это означает, что принятая информация точно соответствует отправленной, и пакет принимается. Если они не совпадают, пакет отклоняется.
Благодаря использованию в передаваемом сообщении зашифрованного хэша становится вычислительно невозможным изменить сообщение так, чтобы сохранилась идентичность сравниваемых хэш-значений. Это критически важно для данных, обмен которыми выполняется по незащищенным сетям, таким как Интернет, и позволяет гарантировать, что сообщение не было изменено при передаче.
Помимо алгоритма защиты целостности, это диалоговое окно позволяет указать алгоритм шифрования, который помогает предотвратить чтение данных, если сетевой пакет будет перехвачен при передаче.
|
Чтобы открыть это диалоговое окно |
-
В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в разделе Обзор выберите пункт Свойства брандмауэра Windows.
-
Перейдите на вкладку Параметры IPsec.
-
В разделе Параметры IPsec по умолчанию нажмите кнопку Настроить.
-
В разделе Защита данных (быстрый режим) выберите Дополнительно и нажмите кнопку Настроить.
-
В разделе Целостность данных и шифрование выберите из списка сочетание алгоритмов и нажмите кнопку Изменить или Добавить.
Протокол
Для встраивания в IP-пакет информации, обеспечивающей целостность и шифрование данных, используются следующие протоколы:
ESP (рекомендуется)
ESP (Encapsulating Security Payload) обеспечивает конфиденциальность передаваемых данных IP (в дополнение к проверке подлинности, целостности и отсутствию повторов). ESP в режиме транспорта не подписывает весь пакет. Защищаются только полезные данные IP-пакета, но не заголовок пакета. ESP может использоваться отдельно или в сочетании с заголовком проверки подлинности AH (Authentication Header). При использовании ESP хэш вычисляется на основе ESP-заголовка, замыкателя и полезных данных. ESP обеспечивает конфиденциальность путем шифрования полезных данных ESP с помощью одного из поддерживаемых алгоритмов шифрования. Работа службы повторения пакетов обеспечивается включением порядкового номера каждого пакета.
Протоколы ESP и AH
Этот параметр совмещает безопасность протокола ESP с протоколом AH. Протокол AH обеспечивает проверку подлинности, целостность и отсутствие повторов для всего пакета (IP-заголовка и полезных данных).
|
Важно! |
|
Протокол AH не совместим с преобразованием сетевых адресов NAT (network address translation), поскольку NAT-устройства изменяют информацию в заголовках пакетов. Чтобы обеспечить прохождение IPsec-трафика через NAT-устройство, нужно убедиться, что на одноранговых компьютерах, которые участвуют в передаче данных по протоколу IPsec, включена поддержка NAT-Traversal. |
Алгоритмы
Алгоритм шифрования
Следующие алгоритмы шифрования доступны на компьютерах, работающих под управлением этой версии Windows. Некоторые из них недоступны в предыдущих версиях Windows. Если необходимо установить защищенное подключение IPsec с компьютером, работающим под управлением предыдущей версии Windows, то необходимо включить параметры алгоритма, совместимые с предыдущей версией.
Дополнительные сведения см. в разделе Алгоритмы и методы протокола IPsec, поддерживаемые в разных версиях Windows (http://go.microsoft.com/fwlink/?LinkID=129230).
- AES-GCM 256
- AES-GCM 192
- AES-GCM 128
- AES-CBC 256
- AES-CBC 192
- AES-CBC 128
- 3DES
- DES
|
Примечание по безопасности |
|
Использование DES не рекомендуется. Алгоритм предоставляется только для обратной совместимости. |
|
Примечание |
|
Если для шифрования выбирается алгоритм AES-GCM, то необходимо указать его же и для проверки целостности. |
Алгоритм проверки целостности
Следующие алгоритмы проверки целостности доступны на компьютерах, работающих под управлением этой версии Windows. Некоторые из них не доступны в предыдущих версиях Windows. Если необходимо установить защищенное подключение IPsec с компьютером, работающим под управлением предыдущей версии Windows, то необходимо включить параметры алгоритма, совместимые с предыдущей версией.
Дополнительные сведения см. в разделе Алгоритмы и методы протокола IPsec, поддерживаемые в разных версиях Windows (http://go.microsoft.com/fwlink/?LinkID=129230).
- AES-GCM 256
- AES-GCM 192
- AES-GCM 128
- AES-GMAC 256
- AES-GMAC 192
- AES-GMAC 128
- SHA-1
- MD5
|
|
Примечание по безопасности |
|
Использование MD5 не рекомендуется. Алгоритм предоставляется только для обратной совместимости. |
|
|
Примечание |
|
Если для проверки целостности выбирается алгоритм AES-GCM, то необходимо указать его же и для шифрования. |
Время жизни ключа
Параметры времени жизни задают периодичность создания нового ключа. Время жизни ключа позволяет инициировать создание нового ключа по истечении заданного интервала времени или после передачи заданного объема данных. Например, если связь продолжается в течение 100 минут, а для ключа задано время жизни 10 минут, за время обмена данными будет создано 10 ключей, по одному каждые 10 минут. Использование нескольких ключей гарантирует, что при получении злоумышленником ключа к одной части подключения безопасность всего подключения не будет нарушена.
|
|
Примечание |
|
Пересоздание ключей необходимо для обеспечения целостности и шифрования быстрого режима и не затрагивает параметры времени жизни ключа для обмена ключами основного режима. |
Минут
Этот параметр позволяет указать, сколько времени будет использоваться ключ в сопоставлении безопасности быстрого режима. По истечении указанного промежутка времени будет создан новый ключ. Последующие соединения будут использовать новый ключ.
Максимальное время жизни - 2 879 минут (48 часов). Минимальный интервал равен 5 минутам. Рекомендуется пересоздавать ключ не чаще, чем это следует делать, исходя из анализа рисков. Слишком частое пересоздание может сказаться на производительности.
КБ
Этот параметр можно использовать для указания объема данных в килобайтах, передаваемых с помощью данного ключа. По достижении этого порога счетчик будет сброшен, а ключ сменен. Последующие соединения будут использовать новый ключ.
Максимальное время жизни - 2 147 483 647 КБ. Минимальное время жизни - 20 480 КБ. Рекомендуется пересоздавать ключ не чаще, чем это следует делать, исходя из анализа рисков. Слишком частое пересоздание может сказаться на производительности.