Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano domyślne ustawienia szyfrowania klienta wirtualnej sieci prywatnej (VPN) microsoft L2TP/IPSec.
Dotyczy systemu: Windows 10 (wszystkie wersje)
Oryginalny numer KB: 325158
Podsumowanie
Poniższa lista zawiera domyślne ustawienia szyfrowania dla klienta wirtualnej sieci prywatnej (VPN) microsoft L2TP/IPSec dla starszych klientów wersji:
- Szyfrowanie danych w warstwie Standardowa
- Bezpieczny algorytm skrótu
- Diffie-hellman Medium
- Tryb transportu
- Hermetyzowanie ładunku zabezpieczeń
Klient nie obsługuje następujących ustawień:
- Tryb tunelu
- AH (nagłówek uwierzytelniania)
Te wartości są trwale zakodowane w kliencie i nie można ich zmienić.
Szyfrowanie danych w warstwie Standardowa
Standard szyfrowania danych (3DES) zapewnia poufność. 3DES jest najbezpieczniejszą kombinacją DES i ma nieco wolniejszą wydajność. Funkcja 3DES przetwarza każdy blok trzy razy przy użyciu unikatowego klucza za każdym razem.
Bezpieczny algorytm skrótu
Bezpieczny algorytm wyznaczania wartości skrótu 1 (SHA1) z kluczem 160-bitowym zapewnia integralność danych.
Diffie-Hellman Medium
Grupy Diffie-Hellman określają długość podstawowych liczb pierwszych używanych podczas wymiany kluczy. Siła każdego klucza pochodnego zależy częściowo od siły grupy Diffie-Hellman, na której opierają się liczby pierwsze.
Grupa 2 (średnia) jest silniejsza niż grupa 1 (niska). Grupa 1 udostępnia 768 bitów materiału kluczy, a grupa 2 zapewnia 1024 bity. W przypadku określenia niedopasowanych grup dla każdego elementu równorzędnego negocjacje nie powiedzie się. Nie można przełączyć grupy podczas negocjacji.
Większa grupa powoduje więcej entropii i dlatego klucz, który jest trudniejszy do złamania.
Tryb transportu
Istnieją dwa tryby operacji dla protokołu IPSec:
- Tryb transportu — w trybie transportu szyfrowany jest tylko ładunek wiadomości.
- Tryb tunelu (nieobsługiwany) — w trybie tunelu ładunek, nagłówek i informacje o routingu są szyfrowane.
Protokoły zabezpieczeń PROTOKOŁU IPSec
Hermetyzowanie ładunku zabezpieczeń
Hermetyzowanie ładunku zabezpieczeń (ESP) zapewnia poufność, uwierzytelnianie, integralność i antyodtwarzanie. Esp zwykle nie podpisuje całego pakietu, chyba że pakiet jest tunelowany. Zazwyczaj tylko dane są chronione, a nie nagłówek IP. Esp nie zapewnia integralności nagłówka IP (adresowania).
Nagłówek uwierzytelniania (nieobsługiwany)
Nagłówek uwierzytelniania (AH) zapewnia uwierzytelnianie, integralność i odtwarzanie całego pakietu (zarówno nagłówek IP, jak i dane przenoszone w pakiecie). AH podpisuje cały pakiet. Nie szyfruje ona danych, więc nie zapewnia poufności. Dane można odczytać, ale nie można ich modyfikować. AH używa algorytmów HMAC do podpisywania pakietu.
Informacje
Jak rozwiązywać problemy z połączeniem klienta wirtualnej sieci prywatnej firmy Microsoft L2TP/IPSec