IKE to protokół komunikacyjny używany do wymiany kluczy szyfrujących w celu przeprowadzenia zaszyfrowanej komunikacji za pośrednictwem protokołu IPsec. W celu przeprowadzenia szyfrowania komunikacji tylko w tym momencie, ustalany jest algorytm szyfrowania niezbędny dla protokołu IPsec i udostępniane są klucze szyfrowania. W przypadku IKE, klucze szyfrowania są przesyłane za pomocą metody wymiany kluczy Diffie-Hellman i przeprowadzana jest szyfrowana komunikacja, ograniczona wyłącznie do IKE.

• Diffie-Hellman Group (Grupa Diffiego-Hellmana)

  Ta metoda wymiany kluczy pozwala na bezpiecznie przesyłane tajnych kluczy za pośrednictwem niezabezpieczonej sieci. Metoda wymiany kluczy Diffie-Hellman wykorzystuje problem logarytmu dyskretnego, a nie tajny klucz, do wysyłania i odbierania otwartych informacji wygenerowanych za pomocą liczb losowych i tajnego klucza.

  Wybierz Group1 (Grupa1), Group2 (Grupa2), Group5 (Grupa5) lub Group14 (Grupa14).

• Encryption (Szyfrowanie)

  Wybierz DES, 3DES, AES-CBC 128 lub AES-CBC 256.

• Hash (Skrót)

  Wybierz MD5, SHA1, SHA256, SHA384 lub SHA512.

• SA Lifetime (Okres istnienia skojarzeń zabezpieczeń)

  Podaj okres ważności IKE SA.

  Wpisz czas (w sekundach) oraz liczbę kilobajtów (KB).

• Protocol (Protokół)

  Wybierz ESP.

  

  ESP to protokół wykorzystywany do przeprowadzania zaszyfrowanej komunikacji za pomocą protokołu IPsec. ESP szyfruje ładunek (treść komunikacji) i dodaje informacje dodatkowe. Pakiet IP składa się z nagłówka i zaszyfrowanego ładunku danych, który następuje po nagłówku. Oprócz zaszyfrowanych danych, pakiet IP zawiera również informacje dotyczące metody szyfrowania i klucza szyfrowania, dane uwierzytelniające i inne.

• Encryption (Szyfrowanie)

  Wybierz opcję DES, 3DES, AES-CBC 128 lub AES-CBC 256.

• Hash (Skrót)

  Wybierz MD5, SHA1, SHA256, SHA384, lub SHA512.

• SA Lifetime (Okres istnienia skojarzeń zabezpieczeń)

  Określ czas życia IKE SA.

  Wpisz czas (w sekundach) i liczbę kilobajtów (kb).

• Encapsulation Mode (Tryb hermetyzacji)

  Wybierz opcję Transport lub Tunnel (Tunel).

• Remote Router IP-Address (Adres IP routera zdalnego)

  Wpisz adres IP (IPv4 lub IPv6) dla zdalnego routera. Wprowadź te informacje tylko wtedy, gdy wybrany jest tryb Tunnel (Tunel).

  

  SA (Security Association) to metoda szyfrowanej komunikacji korzystającej z protokołu IPsec lub IPv6, która wymienia i dzieli się informacjami, takimi jak metoda i klucz szyfrowania, w celu ustanowienia bezpiecznego kanału komunikacji przed rozpoczęciem komunikacji. SA może również odnosić się do wirtualnego szyfrowanego kanału komunikacji, który został ustanowiony. SA wykorzystywane do protokołu IPsec określa metodę szyfrowania, prowadzi wymianę kluczy, oraz dokonuje uwierzytelnienia obustronnego zgodnie ze standardową procedurą IKE (Internet Key Exchange). Dodatkowo, metoda SA jest regularnie aktualizowana.

PFS nie określa kluczy na podstawie poprzednich kluczy, które były używane do szyfrowania wiadomości. Ponadto, jeżeli klucz użyty do szyfrowania wiadomości został wyprowadzony z klucza nadrzędnego, ten klucz nadrzędny nie zostanie wykorzystany do wyprowadzenia innych kluczy. Z tego względu nawet jeśli bezpieczeństwo klucza zostanie naruszone, szkody będą ograniczone jedynie do wiadomości, które zostały zaszyfrowane przy użyciu tego klucza.

Wybierz Enabled (Włączone) lub Disabled (Wyłączone).

Wybierz metodę uwierzytelniania. Wybierz Pre-Shared Key (Klucz wstępny), Certificates (Certyfikaty), EAP - MD5 lub EAP - MS-CHAPv2.

EAP to protokół uwierzytelniania stanowiący rozszerzenie PPP. W przypadku użycia EAP z IEEE 802.1x inny klucz jest używany do uwierzytelniania użytkowników i podczas każdej sesji.

Poniższe ustawienia są konieczne tylko wtedy, gdy wybrano opcję EAP - MD5 lub EAP - MS-CHAPv2 w Authentication Method (Metoda uwierz.):

• Mode (Tryb)

  Wybierz Server-Mode (Tryb serwera) lub Client-Mode (Tryb klienta).

• Certificate (Certyfikat)

  Wybierz certyfikat.

• User Name (Nazwa użytk.)

  Wpisz nazwę użytkownika (do 32 znaków).

• Password (Hasło)

  Wpisz hasło (do 32 znaków). Hasło należy wprowadzić dwukrotnie w celu potwierdzenia.

Podczas szyfrowania komunikacji klucz szyfrowania jest wymieniany i udostępniany przed użyciem innego kanału.

Jeśli wybrano Pre-Shared Key (Klucz wstępny) dla Authentication Method (Metoda uwierz.), wpisz Pre-Shared Key (Klucz wstępny) (do 32 znaków).

• Local/ID Type/ID (Lokalne/Typ ID/ID)

  Wybierz typ identyfikatora nadawcy, a następnie wpisz identyfikator.

  Wybierz IPv4 Address (Adres IPv4), IPv6 Address (Adres IPv6), FQDN (Nazwa FQDN), E-mail Address (Adres e-mail) lub Certificate (Certyfikat) dla typu.

  Jeśli wybrano Certificate (Certyfikat), wpisz nazwę wspólną certyfikatu w polu ID.

• Remote/ID Type/ID (Zdalny/Typ ID/ID)

  Wybierz typ identyfikatora odbiorcy, a następnie wpisz identyfikator.

  Wybierz IPv4 Address (Adres IPv4), IPv6 Address (Adres IPv6), FQDN (Nazwa FQDN), E-mail Address (Adres e-mail) lub Certificate (Certyfikat) dla typu.

  Jeśli wybrano Certificate (Certyfikat), wpisz nazwę wspólną certyfikatu w polu ID.