IKEv2-asetukset IPsec-mallille

Valinta Kuvaus
Template Name (Mallin nimi) Kirjoita mallin nimi (enintään 16 merkkiä).
Use Prefixed Template (Käytä etuliitemallia) Valitse Custom (Mukautettu), IKEv2 High Security (IKEv2 suuri suojaustaso) tai IKEv2 Medium Security (IKEv2 keskitason suojaus). Asetukset vaihtelevat valitun mallin mukaan.
Internet Key Exchange (IKE)

IKE on protokolla, jonka avulla voidaan vaihtaa salausavaimia salatun tietoliikenteen käyttämiseksi IPsec-protokollan avulla. Kertaluontoisen salatun tiedonsiirron mahdollistamiseksi protokolla määrittää IPsec-protokollan vaatiman salausalgoritmin ja jakaa salausavaimet. IKE-protokollan salausavaimet vaihdetaan Diffie-Hellman-menetelmän avulla ja IKE-protokollalle rajattu, salattu tiedonsiirto voidaan suorittaa.

Jos valitsit Custom (Mukautettu) kohdassa Use Prefixed Template (Käytä etuliitemallia), valitse IKEv2.
Authentication Type (Todennustyyppi)
  • Diffie-Hellman Group (Diffie-Hellman-ryhmä)

    Tämä avaintenvaihtomenetelmä mahdollistaa salaisten avainten vaihdon turvallisesti suojaamattoman verkon yli. Diffie-Hellman-avaintenvaihtomenetelmä käyttää erillistä logaritmiongelmaa (ei salaista avainta) satunnaisella numerolla ja salaisella avaimella luotujen, avoimien tietojen lähettämiseen ja vastaanottamiseen.

    Valitse Group1 (Ryhmä1), Group2 (Ryhmä2), Group5 (Ryhmä5) tai Group14 (Ryhmä14).

  • Encryption (Salaus)
    Valitse DES, 3DES, AES-CBC 128 tai AES-CBC 256.
  • Hash (Hajautuskoodi)
    Valitse MD5, SHA1, SHA256, SHA384 tai SHA512.
  • SA Lifetime (Suojaussidoksen voimassaoloaika)

    Määritä IKE SA -kestoaika.

    Anna aika (sekunteina) ja kilotavujen (kb) määrä.

Encapsulating Security
  • Protocol (Protokolla)
    Valitse ESP.
    image
    ESP on protokolla, jolla suoritetaan salattu tiedonsiirto IPseciä käyttäen. ESP salaa nettotiedot (siirretyn sisällön) ja lisää lisätietoja. IP-paketti koostuu otsakkeesta ja salatuista nettotiedoista, jotka seuraavat otsaketta. Salattujen tietojen lisäksi IP-paketti sisältää myös salausmenetelmää ja salausavainta koskevia tietoja, todennustietoja jne.
  • Encryption (Salaus)
    Valitse DES, 3DES, AES-CBC 128 tai AES-CBC 256.
  • Hash (Hajautuskoodi)
    Valitse MD5, SHA1, SHA256, SHA384 tai SHA512.
  • SA Lifetime (Suojaussidoksen voimassaoloaika)

    Määritä IKE SA -käyttöikä.

    Syötä aika (sekunteja) ja kilotavujen määrä (KByte).

  • Encapsulation Mode (Kapselointitila)
    Valitse Transport (Kuljetus) tai Tunnel (Tunneli).
  • Remote Router IP-Address (Etäreitittimen IP-osoite)

    Syötä etäreitittimen IP-osoite (IPv4 tai IPv6). Syötä tiedot ainoastaan Tunnel (Tunneli) -tilan ollessa valittuna.

    image
    SA (Security Association) on IPsec- tai IPv6-pohjainen salattu tiedonsiirtomenetelmä, joka vaihtaa ja jakaa tietoa, kuten salausmenetelmän ja salausavaimen, suojatun tiedonsiirtokanavan luomiseksi ennen tiedonsiirron aloittamista. SA voi myös viitata luotuun, virtuaaliseen suojattuun tiedonsiirtokanavaan. IPsec-protokollaan käytetty SA luo salausmenetelmän, vaihtaa avaimet ja suorittaa kahdenkeskeisen todennuksen IKE (Internet Key Exchange) -vakioprotokollan avulla. Lisäksi SA-menetelmää päivitetään ajoittain.
Perfect Forward Secrecy (PFS) (PFS-salaus)

PFS ei johda avaimia aiemmista viestien salaukseen käytetyistä avaimista. Tämän lisäksi, jos viestin salaamiseen käytetty avain johdettiin pääavaimesta, kyseistä pääavainta ei käytetä muiden avainten johtamiseen. Tästä johtuen, mikäli avaimen luottamuksellisuus vaarantuu, mahdolliset vahingot rajoittuvat vain kyseisellä avaimella salattuihin viesteihin.

Valitse Enabled (Käytössä) tai Disabled (Ei käytössä).

Authentication Method (Todennusmenetelmä)

Valitse todennusmenetelmä. Valitse Pre-Shared Key (Esijaettu avain), Certificates (Varmenteet), EAP - MD5 tai EAP - MS-CHAPv2.

image

EAP on todennusprotokolla, joka on PPP:n laajennus. EAP:n käyttö yhdessä IEEE802.1x-standardin kanssa mahdollistaa eri avaimen käytön käyttäjän todennukseen jokaisen istunnon aikana.

Seuraavat asetukset ovat tarpeen vain, jos EAP - MD5 tai EAP - MS-CHAPv2 on valittu Authentication Method (Todennusmenetelmä) -asetukselle:

  • Mode (Tila)

    Valitse Server-Mode (Palvelintila) tai Client-Mode (Asiakastila).

  • Certificate (Varmenne)

    Valitse varmenne.

  • User Name (Käyttäjänimi)

    Anna käyttäjätunnus (enintään 32 merkkiä).

  • Password (Salasana)

    Anna salasana (enintään 32 merkkiä). Salasana on annettava kahteen kertaan, jotta sen varmistetaan olevan varmasti oikein.

Pre-Shared Key (Esijaettu avain)

Tiedonsiirtoa salattaessa salausavain vaihdetaan ja jaetaan etukäteen toista kanavaa käyttäen.

Jos valitset Authentication Method (Todennusmenetelmä) -tyypiksi Pre-Shared Key (Esijaettu avain), kirjoita Pre-Shared Key (Esijaettu avain) (enintään 32 merkkiä).

  • Local/ID Type/ID (Paikallinen/tunnustyyppi/tunnus)

    Valitse lähettäjän tunnustyyppi ja kirjoita tunnus.

    Valitse tyypiksi IPv4 Address (IPv4-osoite), IPv6 Address (IPv6-osoite), FQDN, E-mail Address (Sähköpostiosoite) tai Certificate (Varmenne).

    Jos valitset Certificate (Varmenne), syötä varmenteen yleinen nimi ID (Tunnus)-kenttään.

  • Remote/ID Type/ID (Etä/tunnustyyppi/tunnus)

    Valitse vastaanottajan tunnustyyppi ja kirjoita tunnus.

    Valitse tyypiksi IPv4 Address (IPv4-osoite), IPv6 Address (IPv6-osoite), FQDN, E-mail Address (Sähköpostiosoite) tai Certificate (Varmenne).

    Jos valitset Certificate (Varmenne), syötä varmenteen yleinen nimi ID (Tunnus)-kenttään.

Certificate (Varmenne) Jos valitsit Certificates (Varmenteet) kohdassa Authentication Method (Todennusmenetelmä), valitse varmenne.
image

Voit valita ainoastaan WWW-pohjaisen hallinnan suojausmääritysnäytön Certificate (Varmenne) -sivulla luotuja varmenteita.

Oliko sivu hyödyllinen?