.png)
Doporučené postupy s protokolem IPSec
Doporučené postupy
-
Vytvořte plán zavádění protokolu IPSec.
Při vytváření plánu zavádění je nutné brát v úvahu následující skutečnosti: které scénáře zavádění (například propojení mezi dvěma servery nebo vzdálený přístup) vyžadují použití protokolu IPSec, požadovaná úroveň zabezpečení pro jednotlivé scénáře, typ zabezpečovaných dat, počítačů a fyzického propojení, kdo bude spravovat zásady protokolu IPSec a jakým způsobem bude koncovému uživateli po zavedení protokolu IPSec poskytována následná podpora a pomoc při řešení problémů. Plán zavádění by měl řešit také otázky širšího zabezpečení organizace, jako je například odolnost sítě vůči určitým typům útoku, použití služby Active Directory a způsob použití zabezpečení u objektů zásad skupiny.
Další informace o plánování zabezpečení protokolu IPSec naleznete v tématu Vytvoření plánu zabezpečení protokolu IPSec.
Další informace o službě Active Directory naleznete v tématu Přehled služby Active Directory. -
Vytvořte a otestujte zásady protokolu IPSec pro jednotlivé scénáře zavádění.
Před zavedením protokolu IPSec v pracovním prostředí otestujte zásady protokolu IPSec v reálném testovacím prostředí. Chcete-li získat nezkreslené údaje o výkonu, použijte u programů obvyklé pracovní zatížení. Během úvodních testů zobrazte obsah paketů pomocí programu Sledování sítě nebo použijte k zobrazení obsahu paketů pro testovací prostředí protokol AH (Authentication Header), případně protokol ESP (Encapsulating Security Payload) bez šifrování. -
Nepoužívejte předsdílené klíče.
Pro rozšířené zabezpečení není doporučeno používat ověřování podle předsdílených klíčů, protože jde o relativně slabou metodu ověřování. Předsdílené klíče jsou navíc ukládány ve formátu prostého textu. Ověřování podle předsdíleného klíče slouží k interaktivním účelům a zajišťuje slučitelnost se standardy protokolu IPSec. Předsdílené klíče je doporučeno používat pouze k testovacím účelům. V pracovním prostředí je doporučeno používat certifikáty nebo protokol Kerberos V5.
Další informace naleznete v tématu Ověření předsdíleného klíče. -
Nepoužívejte skupinu Diffie-Hellman č. 1 (Malá).
Pro vyšší úroveň zabezpečení nepoužívejte skupinu Diffie-Hellman č. 1, která poskytuje klíče o obsahu 768 bitů. Maximálního zabezpečení dosáhnete použitím skupiny č. 2048 (Velká), která poskytuje klíče o obsahu 2 048 bitů. Skupinu č. 2 (Střední), která poskytuje klíče o obsahu 1 024 bitů, použijte pro zajištění spolupráce se systémem Windows 2000 a Windows XP. Silné skupiny Diffie-Hellman zvyšují v kombinaci s delšími klíči stupeň obtížnosti výpočtu při snaze o odhalení tajného klíče.
Další informace naleznete v tématu Metody výměny klíčů.
Poznámka-
Skupina Diffie-Hellman č. 2048 je k dispozici pouze v systémech řady Windows Server 2003.
-
Skupina Diffie-Hellman č. 2048 je k dispozici pouze v systémech řady Windows Server 2003.
-
Pro silnější šifrování použijte algoritmus 3DES (Triple Data Encryption Standard).
Při konfiguraci metod zabezpečení výměny klíčů pro zásady protokolu IPSec použijte šifrovací algoritmus 3DES, který je silnější než algoritmus DES.
Informace o konfiguraci metod zabezpečení výměny klíčů naleznete v tématu Vytvoření metod zabezpečení výměny klíčů.
Poznámka-
Chcete-li použít algoritmus 3DES v počítačích se systémem Windows 2000, je nutné, aby byla nainstalována sada High Encryption Pack nebo aktualizace Service Pack 2 (nebo novější). Jestliže počítač se systémem Windows 2000 bez nainstalované sady High Encryption Pack nebo aktualizace Service Pack 2 (nebo novější) obdrží nastavení algoritmu 3DES, bude toto nastavení v metodě zabezpečení změněno na slabší algoritmus DES, aby byla zajištěna alespoň určitá úroveň utajení komunikace a nedošlo k jejímu zablokování. Algoritmus DES byste však měli použít pouze jako nouzovou možnost v případě, že ne všechny počítače v prostředí podporují použití algoritmu 3DES. Počítače s operačním systémem Windows XP nebo Windows Server 2003 podporují algoritmus 3DES a nevyžadují instalaci sady High Encryption Pack.
-
Chcete-li použít algoritmus 3DES v počítačích se systémem Windows 2000, je nutné, aby byla nainstalována sada High Encryption Pack nebo aktualizace Service Pack 2 (nebo novější). Jestliže počítač se systémem Windows 2000 bez nainstalované sady High Encryption Pack nebo aktualizace Service Pack 2 (nebo novější) obdrží nastavení algoritmu 3DES, bude toto nastavení v metodě zabezpečení změněno na slabší algoritmus DES, aby byla zajištěna alespoň určitá úroveň utajení komunikace a nedošlo k jejímu zablokování. Algoritmus DES byste však měli použít pouze jako nouzovou možnost v případě, že ne všechny počítače v prostředí podporují použití algoritmu 3DES. Počítače s operačním systémem Windows XP nebo Windows Server 2003 podporují algoritmus 3DES a nevyžadují instalaci sady High Encryption Pack.
-
Vytvořte a přiřaďte trvalou zásadu protokolu IPSec pro nouzové zabezpečení.
Chcete-li zvýšit úroveň zabezpečení, vytvořte a přiřaďte trvalou zásadu protokolu IPSec, aby byly počítače zabezpečeny i v případě, že nelze použít místní zásadu protokolu IPSec nebo zásadu protokolu IPSec založenou na službě Active Directory. Jestliže vytvoříte a přiřadíte trvalou zásadu, je tato zásada použita před místní zásadou i před zásadou založenou na službě Active Directory a je nadále používána bez ohledu na to, zda je použita místní zásada nebo zásada založená na službě Active Directory (například pokud nebude možné použít zásadu protokolu IPSec z důvodu jejího poškození).
Poznámka-
Tuto funkci nelze konfigurovat v konzole Správa zásad zabezpečení protokolu IP. Ke konfiguraci této funkce je nutné použít nástroj příkazového řádku Netsh IPSec. Další informace naleznete v tématu Příkazy nástroje Netsh pro protokol IPsec (Internet Protocol security).
-
Tuto funkci nelze konfigurovat v konzole Správa zásad zabezpečení protokolu IP. Ke konfiguraci této funkce je nutné použít nástroj příkazového řádku Netsh IPSec. Další informace naleznete v tématu Příkazy nástroje Netsh pro protokol IPsec (Internet Protocol security).
-
U počítačů připojených k Internetu odesílejte žádost o certifikát bez názvu certifikačního úřadu (CÚ).
Jestliže je ověřování certifikátů používáno k vytvoření vztahu důvěryhodnosti mezi partnery používajícími protokol IPSec, oba partneři si vzájemně vymění seznam důvěryhodných kořenových certifikačních úřadů, ze kterého přijmou certifikát pro ověřování. Jednotlivé názvy těchto certifikačních úřadů jsou odeslány jako datová část žádosti o certifikát a je nutné je odeslat před vytvořením vztahu důvěryhodnosti. Ačkoli přenos tohoto seznamu napomáhá vytvoření připojení usnadněním výběru certifikačního úřadu, může z něj případný útočník odhalit citlivé informace o vztazích důvěryhodnosti počítače, například název společnosti vlastnící počítač nebo členství počítače v doméně (je-li použita interní infrastruktura veřejných klíčů). Chcete-li tedy zabezpečit počítače připojené k Internetu, povolením této možnosti vyloučíte název certifikačního úřadu ze žádosti o certifikát. -
U počítačů připojených k Internetu nepoužívejte jako metodu ověřování protokol Kerberos.
Jestliže používáte ověřování pomocí protokolu Kerberos V5, odešle během vyjednávání v hlavním režimu každý partner používající protokol IPSec druhému partnerovi identitu svého počítače v nezašifrovaném formátu. Identita počítače zůstává nezašifrovaná, dokud během ověřovací fáze vyjednávání v hlavním režimu nedojde k šifrování celé datové části identity. Útočník může odeslat paket protokolu IKE (Internet Key Exchange), který způsobí odhalení identity počítače a členství v doméně partnera používajícího protokol IPSec. K zabezpečení počítačů připojených k Internetu je doporučeno používat ověřování pomocí certifikátů.
Další informace naleznete v tématu Metody ověřování. -
U počítačů připojených k Internetu nepovolte nezabezpečenou komunikaci.
Pokud konfigurujete akci filtru pro vyjednávání zabezpečení IPSec, ujistěte se, že jsou následující možnosti zakázány. Zabezpečíte tak počítače připojené k Internetu.- Přijímat nezabezpečenou komunikaci, ale vždy odpovídat pomocí protokolu IPsec Tato možnost umožňuje příjem počátečních příchozích nezabezpečených přenosů (například paketů TCP SYN), ale vyžaduje ochranu odchozích přenosů. Zakázáním této možnosti předejdete útokům DOS (Denial of Service).
- Povolit nezabezpečenou komunikaci s počítači, které nepodporují protokol IPsec Tato možnost umožňuje nezabezpečenou komunikaci s počítači, které nemohou vyjednat použití protokolu IPSec nebo zpracovat komunikaci zabezpečenou protokolem IPSec. Tato možnost je vhodná pouze v prostředí, ve kterém není zabezpečení komunikace protokolem IPSec nezbytné.
Další informace naleznete v tématu Akce filtru.
- Přijímat nezabezpečenou komunikaci, ale vždy odpovídat pomocí protokolu IPsec Tato možnost umožňuje příjem počátečních příchozích nezabezpečených přenosů (například paketů TCP SYN), ale vyžaduje ochranu odchozích přenosů. Zakázáním této možnosti předejdete útokům DOS (Denial of Service).
-
Omezte v organizaci používání pověření pro správu.
Členové místní skupiny Administrators mohou ve svých počítačích zobrazovat a měnit nastavení zásad protokolu IPSec. Z tohoto důvodu, a také proto, že se jedná o nejvhodnější postup z hlediska zabezpečení, zajistěte, aby koncoví uživatelé v organizaci používali princip nejnižší úrovně oprávnění.
Informace o obecně doporučených postupech pro zabezpečení naleznete v tématu Doporučené postupy pro zabezpečení. -
Při použití stejné zásady protokolu IPSec v počítačích s různými verzemi systému Windows zásadu důkladně otestujte.
Některé funkce implementace protokolu IPSec v systémech řady Windows Server 2003 nejsou v systému Windows 2000 ani v systému Windows XP k dispozici. Tyto nové funkce zahrnují:-
silnější skupina Diffie-Hellman (2 048bitová výměna klíčů pomocí algoritmu Diffie-Hellman),
-
možnost používat ve filtrech zásady protokolu IPSec logické adresy pro místní konfiguraci protokolu IP,
-
odebrání výchozích výjimek přenosů z filtrování paketů protokolu IPSec (nyní je ve výchozím nastavení jedinou výjimkou přenos protokolu IKE (Internet key exchange)),
-
možnost vyloučit ze žádosti o certifikát název certifikačního úřadu.
Další informace o nových funkcích protokolu IPSec naleznete v tématu Nové funkce protokolu IPSec. -
silnější skupina Diffie-Hellman (2 048bitová výměna klíčů pomocí algoritmu Diffie-Hellman),
-
Ke správě zásad protokolu IPSec používajících nové funkce, které jsou k dispozici pouze v implementaci protokolu IPSec v systémech řady Windows Server 2003, použijte konzolu Správa zásad zabezpečení protokolu IP systému Windows Server 2003.
Pokud chcete použít zásady protokolu IPSec používající některou z nových funkcí, které jsou k dispozici pouze v implementaci protokolu IPsec v systémech řady Windows Server 2003, nepoužívejte k jejich správě verzi konzoly Správa zásad zabezpečení protokolu IP pro systém Windows XP nebo Windows 2000. Nastavení ve starších verzích konzoly Správa zásad zabezpečení protokolu IP přepíše nastavení zásad protokolu IPSec v systémech řady Windows Server 2003 a nové funkce nebudou pracovat. -
U počítačů s různými verzemi operačního systému Windows používejte ke vzdálené správě a sledování protokolu IPSec Terminálovou službu.
Vzdálená správa a sledování protokolu IPsec je podporováno pouze u počítačů se stejnou verzí operačního systému Windows. Chcete-li vzdáleně spravovat a sledovat protokol IPSec v počítači s jinou verzí systému Windows, než je ve vašem počítači, použijte Terminálovou službu. Pokud například používáte počítač se systémem řady Windows Server 2003 a máte v úmyslu vzdáleně spravovat a sledovat protokol v počítačích se systémy Windows 2000 nebo Windows XP, použijte k získání vzdáleného přístupu k těmto počítačům Terminálovou službu.
Pokud používáte počítač se systémem řady Windows Server 2003 a chcete spravovat a sledovat protokol IPSec v počítačích, které také používají systém řady Windows Server 2003, můžete spustit konzolu Správa zásad zabezpečení protokolu IP a modul snap-in Sledování zabezpečení protokolu IP nebo můžete vzdáleně použít nástroj příkazového řádku netsh.
