Действие фильтра определяет требования безопасности для передачи данных. Действия фильтра могут быть определены при создании политики или перед созданием политики. Списки фильтров доступны для любой политики. Чтобы задать список фильтров, щелкните правой кнопкой мыши узел политики IP-безопасности и выберите Управление списками фильтров и действиями фильтра.

Возможные настройки действия фильтра описаны ниже.

Разрешение трафика

IPSec передает трафик в драйвер TCP/IP и из него без изменения или требования безопасности. Это подходит для трафика от компьютеров, не поддерживающих IPSec. При использовании этого типа действий фильтра следите, чтобы список фильтров IP охватывал минимальный диапазон, не пропуская трафик, для которого требуется защита.

Рекомендуется разрешить ICMP-трафик для устранения неполадок. В других случаях для компьютера вне вашего домена (например, компьютера консультанта) может понадобиться разрешение на доступ к другому компьютеру вашего домена. Для разрешения такого доступа можно воспользоваться действием фильтра разрешения.

Важно!

Действие фильтра разрешения разрешает доступ без проверки подлинности, контроля целостности данных и шифрования. Любой использующий компьютер с IP-адресом, заданным в списке фильтров, получит такой доступ. Весь трафик между компьютерами выполняется обычным текстом без проверки целостности.

Блокировка трафика

IPSec отклоняет блокированный трафик без уведомления. Используя действие блокирующего фильтра, убедитесь, что используется список фильтров IP, определяющий корректное пространство IP-адресов. Использование большего пространства увеличивает шанс блокировки трафика между допустимыми компьютерами.

Согласование безопасности

При включенной возможности Принимать небезопасную связь, но отвечать с помощью IPsec IPsec согласовывает сопоставления безопасности (SA) и отправку и получение IPsec-защищенного трафика. Однако, если прямое соединение не использует IPsec, подключение допустимо без защиты IPsec. Выбрав это действие фильтра, можно также настроить следующее.

  • Методы безопасности и их порядок. Этот список методов определяет порядок применения методов. Будет использован первый успешно выполненный метод, остальные методы использоваться не будут. Обычно список сортируется от высшего до низшего уровня безопасности, чтобы использовать наиболее защищенный метод.

  • Принятие начального входящего незащищенного трафика (Принимать небезопасную связь, но отвечать с помощью IPsec). IPSec допускает отсутствие защиты IPSec для входящих пакетов, соответствующих настроенному списку фильтров. Однако исходящий ответ на входящий пакет должен быть защищен. Этот параметр полезен при использовании для клиентов правила отклика по умолчанию. Если группа серверов настроена по правилу, защищающему связь с любыми IP-адресами и допускающему небезопасную связь только с защищенным ответом, включение на клиентских компьютерах правила отклика по умолчанию обеспечивает ответ клиентов на запрос сервера о согласовании безопасности. Во избежание DOS-атак (denial-of-service - отказ в обслуживании), этот параметр должен быть отключен для защищенных компьютеров, подключенных к Интернету.

  • Разрешение взаимодействия с компьютерами, не защищенными IPsec (Разрешить небезопасную связь, если невозможно установить безопасное подключение). При необходимости IPSec возвращается к небезопасной связи. Опять же, может потребоваться предельное сокращение списка фильтров IP. В противном случае любая связь, для которой действует правило, содержащее это действие фильтра, при сбое согласования по любой причине может начать отправлять данные без защиты. В ситуациях, когда возможны небезопасные соединения, эти параметры можно отключить. Однако связь с компьютерами, не способными инициировать IPSec (например, с устаревшими системами), может оказаться блокированной. Во избежание DOS-атак (denial-of-service - отказ в обслуживании), этот параметр должен быть отключен для защищенных компьютеров, подключенных к Интернету.

  • Генерация ключей сеанса быстрого режима из нового материала создания ключей основного режима (Ключ сеанса безопасной пересылки (PFS)). Разрешение ключей сеанса безопасной пересылки (PFS) гарантирует невозможность использования материала основного ключа основного режима для создания нескольких ключей сеанса быстрого режима. Если PFS быстрого режима включен, перед созданием нового ключа сеанса выполняется новый обмен ключами Диффи-Хелмана для создания нового материала основного ключа основного режима. Ключи сеанса PFS (быстрый режим) не требуют перепроверки подлинности основного режима, поэтому используют меньше ресурсов, чем PFS основного ключа (основной режим).

Методы безопасности IPSec

Каждый метод безопасности определяет требования к безопасности подключения, к которому применяется соответствующее правило. Создание нескольких методов безопасности повышает шансы нахождения общего метода для двух компьютеров. Компонент IKE (Internet Key Exchange - букв. «интернет-обмен ключами») считывает список методов безопасности в порядке убывания и отправляет список разрешенных методов безопасности другой стороне соединения. Выбирается первый общий метод. Как правило, наиболее безопасные методы помещаются в начало списка, а наименее безопасные - в конец.

Предопределенные методы безопасности

Следующие методы безопасности являются предопределенными.

Шифрование и обеспечение целостности

Используется протокол ESP для обеспечения конфиденциальности данных (шифрование) с алгоритмом 3DES (triple Data Encryption Standard), проверка целостности и подлинности данных алгоритмом SHA1 (Secure Hash Algorithm 1), а также стандартные параметры времени жизни ключа (100 мегабайт, 1 час). Если требуется одновременно защита данных и адресации (заголовка IP), можно создать настраиваемый метод безопасности. Если шифрование не требуется, используйте метод обеспечения только целостности.

Обеспечение только целостности

Используется протокол ESP для обеспечения целостности данных и проверки подлинности с алгоритмом проверки целостности SHA1 и параметрами по умолчанию для времени жизни ключа (100 Мбайт, 1 час). В этой конфигурации ESP не обеспечивает конфиденциальности данных (шифрование).

Настраиваемые методы безопасности

Если предопределенные параметры «Шифрование и обеспечение целостности» или «Обеспечение только целостности» не отвечают требованиям, можно задать специальные методы безопасности. Например, настраиваемые методы можно использовать в ситуациях, когда требуется задать шифрование и проверку целостности адреса, стойкие алгоритмы или параметры времени жизни ключа. При настройке метода безопасности можно выбрать следующие параметры.

Протоколы безопасности

Если требуется проверка целостности заголовка IP и шифрование данных, в настраиваемый метод безопасности можно включить оба протокола: AH (Целостность данных и адресов без шифрования) и ESP (Целостность данных с шифрованием). При включении обоих протоколов необходимо указать алгоритм проверки целостности для ESP.

Примечание

Протокол AH не может быть использован на устройствах с преобразованием сетевого адреса (NAT), потому что использует хэш заголовка. NAT-устройства стоят после заголовка, поэтому пакет не пройдет проверку подлинности.

Алгоритм проверки целостности

Алгоритм MD5 (Message Digest 5), использующий 128-разрядный ключ. Этот алгоритм более не считается безопасным и может использоваться, только если требуется взаимодействие различных сетей.

SHA1, использующий 160-разрядный ключ. Алгоритм SHA1 надежнее алгоритма MD5 и совместим со стандартом FIPS (Federal Information Processing Standard).

Алгоритм шифрования

Алгоритм 3DES надежнее всех алгоритмов DES и несколько снижает быстродействие. 3DES обрабатывает каждый блок три раза с использованием трех уникальных 56-разрядных ключей.

DES с одним 56-разрядным ключом применяется, когда высокий уровень безопасности не требуется, а вычислительная нагрузка 3DES нежелательна. Этот алгоритм более не считается безопасным и может использоваться, только если требуется взаимодействие различных сетей.

Параметры ключа сеанса (быстрый режим) определяют время, но не способ генерации нового ключа. Время жизни можно задать в килобайтах, секундах или обоими способами. Например, если связь продолжается в течение 10 000 секунд, а для ключа задано время жизни в 1000 секунд, за время обмена данными будет создано 10 ключей. Это гарантирует невозможность расшифровки всех передаваемых данных, даже если злоумышленнику удастся определить один ключ сеанса и расшифровать часть данных. По умолчанию новые ключи быстрого режима создаются для каждых 100 Мбайт данных или каждый час. По окончании времени жизни ключа, помимо обновления или пересоздания ключа, заново согласовывается и сопоставление безопасности (SA).

Создание действия фильтра с помощью диалогового окна свойств нового правила
  1. На вкладке Правила диалогового окна Свойства политики безопасности IP снимите флажок Использовать мастер, если нужно создать действие фильтра в диалоговом окне свойств. Для использования мастера оставьте флажок установленным. Щелкните Добавить. Следующие инструкции предназначены для создания списка фильтров с помощью диалогового окна.

  2. На вкладке Действие фильтра диалогового окна Свойства правила снимите флажок Использовать мастер и щелкните Добавить.

  3. На вкладке Методы безопасности выберите метод (действие) для правила.

  4. (Дополнительно.) На вкладке Описание введите описание действия фильтра. Это описание может помочь сортировать действия фильтра и быстро идентифицировать действие фильтра, не открывая его свойств.

  5. Щелкните ОК.

  6. Для добавления действий фильтра в список повторите шаги с 4-го по 8-й.

    Примечание

    Хотя правило может иметь список из нескольких действий фильтра, на каждое правило может быть использовано только одно действие фильтра.

  7. На вкладке Действие фильтра выберите соответствующее действие фильтра для правила и щелкните ОК.

Создание действия фильтра с помощью диалогового окна управления списками фильтра и действиями фильтра
  1. Правой кнопкой мыши щелкните узел политик IP-безопасности и выберите Управление списками IP-фильтра и действиями фильтра.

  2. На вкладке Управление действиями фильтра, снимите флажок Использовать мастер, чтобы создать действие фильтра в диалоговом окне свойств. Для использования мастера оставьте флажок установленным. Щелкните Добавить. Следующие инструкции предназначены для создания списка фильтров с помощью диалогового окна. Приведенные ниже инструкции не используют мастер.

  3. На вкладке Методы безопасности выберите метод и щелкните ОК.

  4. Выбрав вариант согласования безопасности, можно добавить несколько методов и задать порядок их применения. Для этого следует нажать кнопку Добавить.

  5. (Дополнительно.) На вкладке Описание введите описание фильтра. Это описание может помочь сортировать фильтры и быстро идентифицировать фильтр, не открывая его свойств.

  6. Нажмите кнопку ОК.

  7. Повторите шаги с 4-го по 8-й для добавления действий фильтра в список.

См. также