Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs standardkrypteringsinställningarna för Microsoft L2TP/IPSec-klienten för virtuellt privat nätverk (VPN).
Gäller för: Windows 10 – alla versioner
Ursprungligt KB-nummer: 325158
Sammanfattning
Följande lista innehåller standardkrypteringsinställningarna för Microsoft L2TP/IPSec-klienten för virtuella privata nätverk (VPN) för tidigare versionsklienter:
- Standard för datakryptering
- Säker hashalgoritm
- Diffie-hellman Medel
- Transportläge
- Kapsla in säkerhetsnyttolast
Klienten stöder inte följande inställningar:
- Tunnelläge
- AH (Autentiseringshuvud)
Dessa värden är hårdkodade i klienten och du kan inte ändra dem.
Standard för datakryptering
3DES (Data Encryption Standard) ger konfidentialitet. 3DES är den säkraste av DES-kombinationerna och har lite långsammare prestanda. 3DES bearbetar varje block tre gånger med hjälp av en unik nyckel varje gång.
Säker hashalgoritm
Säker hashalgoritm 1 (SHA1), med en 160-bitarsnyckel, ger dataintegritet.
Diffie-Hellman Medium
Diffie-Hellman-grupper bestämmer längden på de basprimtal som används under nyckelutbytet. Styrkan hos en nyckel härledd beror delvis på styrkan i gruppen Diffie-Hellman som de primära talen baseras på.
Grupp 2 (medel) är starkare än grupp 1 (låg). Grupp 1 innehåller 768 bitar nyckelmaterial och grupp 2 ger 1 024 bitar. Om felmatchade grupper anges på varje peer lyckas inte förhandlingen. Du kan inte byta grupp under förhandlingen.
En större grupp resulterar i mer entropi och därför en nyckel som är svårare att bryta.
Transportläge
Det finns två driftlägen för IPSec:
- Transportläge – I transportläge krypteras endast nyttolasten för meddelandet.
- Tunnelläge (stöds inte) – I tunnelläge krypteras nyttolasten, rubriken och routningsinformationen.
IPSec-säkerhetsprotokoll
Kapsla in säkerhetsnyttolast
Encapsulating Security Payload (ESP) ger konfidentialitet, autentisering, integritet och anti-replay. ESP signerar normalt inte hela paketet såvida inte paketet tunneleras. Normalt är endast data skyddade, inte IP-huvudet. ESP tillhandahåller inte integritet för IP-huvudet (adressering).
Autentiseringshuvud (stöds inte)
Autentiseringshuvudet (AH) ger autentisering, integritet och antirepris för hela paketet (både IP-huvudet och data som transporteras i paketet). AH signerar hela paketet. Den krypterar inte data, så den ger inte konfidentialitet. Du kan läsa data, men du kan inte ändra dem. AH använder HMAC-algoritmer för att signera paketet.
Referenser
Så här felsöker du en klientanslutning till ett virtuellt privat nätverk i Microsoft L2TP/IPSec