IKE to protokół komunikacyjny używany do wymiany kluczy szyfrujących w celu przeprowadzenia zaszyfrowanej komunikacji za pośrednictwem protokołu IPsec. W celu przeprowadzenia szyfrowania komunikacji tylko w tym momencie, ustalany jest algorytm szyfrowania niezbędny dla protokołu IPsec i udostępniane są klucze szyfrowania. W przypadku IKE, klucze szyfrowania są przesyłane za pomocą metody wymiany kluczy Diffie-Hellman i przeprowadzana jest szyfrowana komunikacja, ograniczona wyłącznie do IKE.

Jeśli została wybrana opcja Custom (Niestand.) w Use Prefixed Template (Użyj predef. szablonu), zaznacz IKEv1.

• Diffie-Hellman Group (Grupa Diffiego-Hellmana)

  Ta metoda wymiany kluczy pozwala na bezpiecznie przesyłane tajnych kluczy za pośrednictwem niezabezpieczonej sieci. Metoda wymiany kluczy Diffie-Hellman wykorzystuje problem logarytmu dyskretnego, a nie tajny klucz, do wysyłania i odbierania otwartych informacji wygenerowanych za pomocą liczb losowych i tajnego klucza.

  Wybierz Group1 (Grupa1), Group2 (Grupa2), Group5 (Grupa5) lub Group14 (Grupa14).

• Encryption (Szyfrowanie)

  Wybierz DES, 3DES, AES-CBC 128 lub AES-CBC 256.

• Hash (Skrót)

  Wybierz MD5, SHA1, SHA256, SHA384 lub SHA512.

• SA Lifetime (Okres istnienia skojarzeń zabezpieczeń)

  Podaj okres ważności IKE SA.

  Wpisz czas (w sekundach) oraz liczbę kilobajtów (KB).

• Protocol (Protokół)

  Wybierz ESP, AH lub AH+ESP.

  

  • ESP to protokół wykorzystywany do przeprowadzania zaszyfrowanej komunikacji za pomocą protokołu IPsec. ESP szyfruje ładunek (treść komunikacji) i dodaje informacje dodatkowe. Pakiet IP składa się z nagłówka i zaszyfrowanego ładunku danych, który następuje po nagłówku. Oprócz zaszyfrowanych danych, pakiet IP zawiera również informacje dotyczące metody szyfrowania i klucza szyfrowania, dane uwierzytelniające i inne.
  • AH jest częścią protokołu IPsec, która dokonuje uwierzytelnienia nadawcy i uniemożliwia manipulowanie danymi (zapewnia kompletność danych). W pakiecie IP, dane umieszczone są tuż po nagłówku. Ponadto, pakiety zawierają wartości skrótów (hash), które są obliczane za pomocą równania na podstawie przekazanych treści, tajnego klucza i innych, w celu zapobiegania fałszowaniu nadawcy i manipulowania danymi. W odróżnieniu od ESP, przekazywane treści nie są zaszyfrowane, a dane są wysyłane i odbierane jako zwykły tekst.

• Encryption (Szyfrowanie) (Niedostępne dla opcji AH).

  Wybierz DES, 3DES, AES-CBC 128 lub AES-CBC 256.

• Hash (Skrót)

  Wybierz None (Brak), MD5, SHA1, SHA256, SHA384 lub SHA512.

  None (Brak) można wybrać tylko wtedy, gdy opcja ESP jest wybrana dla ustawienia Protocol (Protokół).

• SA Lifetime (Okres istnienia skojarzeń zabezpieczeń)

  Określ czas życia IKE SA.

  Wpisz czas (w sekundach) i liczbę kilobajtów (kb).

• Encapsulation Mode (Tryb hermetyzacji)

  Wybierz opcję Transport lub Tunnel (Tunel).

• Remote Router IP-Address (Adres IP routera zdalnego)

  Wpisz adres IP (IPv4 lub IPv6) dla zdalnego routera. Wprowadź te informacje tylko wtedy, gdy wybrany jest tryb Tunnel (Tunel).

  

  SA (Security Association) to metoda szyfrowanej komunikacji korzystającej z protokołu IPsec lub IPv6, która wymienia i dzieli się informacjami, takimi jak metoda i klucz szyfrowania, w celu ustanowienia bezpiecznego kanału komunikacji przed rozpoczęciem komunikacji. SA może również odnosić się do wirtualnego szyfrowanego kanału komunikacji, który został ustanowiony. SA wykorzystywane do protokołu IPsec określa metodę szyfrowania, prowadzi wymianę kluczy, oraz dokonuje uwierzytelnienia obustronnego zgodnie ze standardową procedurą IKE (Internet Key Exchange). Dodatkowo, metoda SA jest regularnie aktualizowana.

PFS nie określa kluczy na podstawie poprzednich kluczy, które były używane do szyfrowania wiadomości. Ponadto, jeżeli klucz użyty do szyfrowania wiadomości został wyprowadzony z klucza nadrzędnego, ten klucz nadrzędny nie zostanie wykorzystany do wyprowadzenia innych kluczy. Z tego względu nawet jeśli bezpieczeństwo klucza zostanie naruszone, szkody będą ograniczone jedynie do wiadomości, które zostały zaszyfrowane przy użyciu tego klucza.

Wybierz Enabled (Włączone) lub Disabled (Wyłączone).

Wybierz metodę uwierzytelniania. Wybierz Pre-Shared Key (Klucz wstępny) lub Certificates (Certyfikaty).

Podczas szyfrowania komunikacji klucz szyfrowania jest wymieniany i udostępniany przed użyciem innego kanału.

Jeśli wybrano Pre-Shared Key (Klucz wstępny) dla Authentication Method (Metoda uwierz.), wpisz Pre-Shared Key (Klucz wstępny) (do 32 znaków).

• Local/ID Type/ID (Lokalne/Typ ID/ID)

  Wybierz typ identyfikatora nadawcy, a następnie wpisz identyfikator.

  Wybierz IPv4 Address (Adres IPv4), IPv6 Address (Adres IPv6), FQDN (Nazwa FQDN), E-mail Address (Adres e-mail) lub Certificate (Certyfikat) dla typu.

  Jeśli wybrano Certificate (Certyfikat), wpisz nazwę wspólną certyfikatu w polu ID.

• Remote/ID Type/ID (Zdalny/Typ ID/ID)

  Wybierz typ identyfikatora odbiorcy, a następnie wpisz identyfikator.

  Wybierz IPv4 Address (Adres IPv4), IPv6 Address (Adres IPv6), FQDN (Nazwa FQDN), E-mail Address (Adres e-mail) lub Certificate (Certyfikat) dla typu.

  Jeśli wybrano Certificate (Certyfikat), wpisz nazwę wspólną certyfikatu w polu ID.