Nastavení IKEv2 pro šablonu IPsec

Možnost Popis
Template Name (Nazev sablony) Zadejte název šablony (až 16 znaků).
Use Prefixed Template (Pouzit sablonu s prefixem) Vyberte možnost Custom (Rucne), IKEv2 High Security (IKEv2, vysoke zabezpeceni) nebo IKEv2 Medium Security (IKEv2, stredni zabezpeceni). Položky nastavení se liší v závislosti na zvolené šabloně.
Internet Key Exchange (IKE)

IKE je protokol, který se používá k výměně šifrovacích klíčů, aby bylo možné provádět šifrovanou komunikaci pomocí protokolu IPSec. Aby bylo možné provádět šifrovanou komunikaci pouze pro danou dobu, je určen šifrovací algoritmus, který je nezbytný pro IPsec, a šifrovací klíče jsou společné. Pro IKE se šifrovací klíče vyměňují pomocí Diffie-Hellmanovy metody výměny klíče a provádí se šifrovaná komunikace, která je omezena na IKE.

Jestliže zvolíte Custom (Rucne) v Use Prefixed Template (Pouzit sablonu s prefixem), vyberte IKEv2.
Authentication Type (Typ overovani)
  • Diffie-Hellman Group (Skupina Diffie-Hellman)

    Tato metoda výměny klíčů umožňuje bezpečnou výměnu tajných klíčů přes nechráněnou síť. Metoda Diffie-Hellmanovy výměny klíčů pomocí diskrétního logaritmického problému, nikoliv tajného klíče, odesílá a přijímá otevřené informace, které byly vytvořeny pomocí náhodného čísla a tajného klíče.

    Vyberte možnost Group1 (Skupina 1), Group2 (Skupina 2), Group5 (Skupina 5) nebo Group14 (Skupina 14).

  • Encryption (Sifrovani)
    Vyberte možnost DES, 3DES, AES-CBC 128 nebo AES-CBC 256.
  • Hash
    Vyberte možnost MD5, SHA1, SHA256, SHA384 nebo SHA512.
  • SA Lifetime (Zivotnost SA)

    Upřesněte životnost IKE SA.

    Zadejte dobu (sekundy) a počet kilobajtů (KByte).

Encapsulating Security (Zapouzdrene zabezpeceni)
  • Protocol (Protokol)
    Vyberte volbu ESP.
    image
    ESP je protokol pro provádění šifrované komunikace pomocí protokolu IPSec. ESP šifruje data (komunikovaný obsah) a přidává další informace. Balíček IP se skládá ze záhlaví a šifrované datové části, která navazuje na záhlaví. Kromě šifrovaných dat balíček IP obsahuje také informace o metodě šifrování a šifrovací klíč, ověřování dat, a tak dále.
  • Encryption (Sifrovani)
    Vyberte možnost DES, 3DES, AES-CBC 128 nebo AES-CBC 256.
  • Hash
    Vyberte možnost MD5, SHA1, SHA256, SHA384 nebo SHA512.
  • SA Lifetime (Zivotnost SA)

    Zadejte životnost IKE SA.

    Zadejte čas (v sekundách) a počet kilobajtů (kB).

  • Encapsulation Mode (Rezim zapouzdreni)
    Vyberte možnost Transport (Prenos) nebo Tunnel (Tunel).
  • Remote Router IP-Address (Vzdalena IP adresa smerovace)

    Zadejte IP adresu (IPv4 nebo IPv6) vzdáleného routeru. Tuto informaci zadejte pouze v případě, že je zvolen režim Tunnel (Tunel).

    image
    SA (Security Association) je šifrovaný způsob komunikace pomocí protokolu IPsec nebo IPv6, který vyměňuje a sdílí informace, jako např. metodu šifrování a šifrovací klíč, s cílem vytvořit bezpečný komunikační kanál, než začne komunikace. SA může také odkazovat na virtuální šifrovaný komunikační kanál, který byl zřízen. SA použitý pro IPsec je šifrovací metoda, která vyměňuje klíče a provádí vzájemné ověřování podle standardního postupu IKE (Internet Key Exchange). Kromě toho se SA pravidelně aktualizuje.
Perfect Forward Secrecy (PFS) (Perfektni utajene predavani (PFS))

PFS neodvozuje klíče z předchozích klíčů, které byly použity k šifrování zpráv. Navíc pokud bude k šifrování zprávy použit klíč, který byl odvozen od nadřazeného klíče, z tohoto nadřazeného klíče již nebudou odvozovány žádné klíče další. Proto i když je klíč narušen, bude škoda omezena pouze na zprávy, které byly zašifrované pomocí tohoto klíče.

Vyberte volbu Enabled (Povoleno) nebo Disabled (Zakazano).

Authentication Method (Metoda overovani)

Vyberte metodu ověření. Vyberte možnost Pre-Shared Key (Predsdileny klic), Certificates (Certifikaty), EAP - MD5 nebo EAP - MS-CHAPv2.

image

EAP je protokol ověření, který funguje jako nástavba PPP. Při použití EAP s IEEE802.1x se pro ověřování uživatele během každé relace používá jiný klíč.

Následující nastavení je nutné pouze, když je zvoleno EAP - MD5 nebo EAP - MS-CHAPv2 ve volbě Authentication Method (Metoda overovani):

  • Mode (Rezim)

    Vyberte možnost Server-Mode (Rezim serveru) nebo Client-Mode (Rezim klienta).

  • Certificate (Certifikat)

    Zvolte certifikát.

  • User Name (Uzivatelske jmeno)

    Zadejte jméno uživatele (maximálně 32 znaků).

  • Password (Heslo)

    Zadejte heslo (maximálně 32 znaků). Heslo musíte pro potvrzení zadat dvakrát.

Pre-Shared Key (Predsdileny klic)

Při šifrování komunikace dojde k výměně šifrovacího klíče, který se sdílí před použitím jiného kanálu.

Pokud jste vybrali možnost Pre-Shared Key (Predsdileny klic) pro Authentication Method (Metoda overovani), zadejte Pre-Shared Key (Predsdileny klic) (až 32 znaků).

  • Local/ID Type/ID (Mistni/Typ ID/ID)

    Vyberte typ ID odesílatele a zadejte ID.

    Vyberte IPv4 Address (IPv4 adresa), IPv6 Address (IPv6 adresa), FQDN, E-mail Address (E-mailova adresa) nebo Certificate (Certifikat) pro daný typ.

    Je-li zvoleno Certificate (Certifikat), zadejte běžný název certifikátu do pole ID.

  • Remote/ID Type/ID (Vzdaleny/Typ ID/ID)

    Vyberte typ ID příjemce a zadejte ID.

    Vyberte IPv4 Address (IPv4 adresa), IPv6 Address (IPv6 adresa), FQDN, E-mail Address (E-mailova adresa) nebo Certificate (Certifikat) pro daný typ.

    Je-li zvoleno Certificate (Certifikat), zadejte běžný název certifikátu do pole ID.

Certificate (Certifikat) Je-li zvolena možnost Certificates (Certifikaty) v Authentication Method (Metoda overovani), vyberte certifikát.
image

Můžete vybrat pouze certifikáty, které byly vytvořeny na stránce Certificate (Certifikat) bezpečnostní obrazovky konfigurace webové správy.

Byla tato stránka užitečná?