IPsec sablonok IKEv2-beállításai

Beállítás Leírás
Template Name (Sablon neve) Írja be a sablon nevét (legfeljebb 16 karakter).
Use Prefixed Template (Előre megadott sablon használata) Válassza a Custom (Egyéni), a IKEv2 High Security (IKEv2 magas biztonság) vagy a IKEv2 Medium Security (IKEv2 közepes biztonság) lehetőséget. A beállítási elemek a kiválasztott sablontól függően eltérnek.
Internet Key Exchange (IKE)

Az IKE egy kommunikációs protokoll, amely titkosítási kulcsok cseréjére szolgál az IPsec-alapú titkosított kommunikáció kivitelezése érdekében. A titkosított kommunikáció kizárólag az adott alkalomkor való kivitelezéséhez a rendszer meghatározza az IPsec használatához szükséges titkosítási algoritmust, majd megosztja a titkosítási kulcsokat. Az IKE esetében a titkosítási kulcsok cseréje a Diffie-Hellman kulcscserélési módszer használatával történik, és az internetes kulcscserére korlátozott titkosított kommunikáció valósul meg.

Amennyiben a Custom (Egyéni) opciót választotta ki a Use Prefixed Template (Előre megadott sablon használata) területen, válassza a IKEv2 lehetőséget.
Authentication Type (Hitelesítés típusa)
  • Diffie-Hellman Group (Diffie-Hellman csoport)

    Ez a kulcscserélési módszer lehetővé teszi a titkos kulcsok nem védett hálózaton keresztül történő biztonságos cseréjét. A Diffie-Hellman kulcscserélési módszer a titkos kulcs helyett egy diszkrét logaritmus problémát használ a nyílt információ küldésére és fogadására, amely egy véletlenszerű szám és a titkos kulcs használatával jött létre.

    Válassza a(z) Group1 (1. csoport), Group2 (2. csoport), Group5 (5. csoport), vagy Group14 (14. csoport) lehetőséget.

  • Encryption (Titkosítás)
    Válassza a(z) DES, 3DES, AES-CBC 128, vagy AES-CBC 256 lehetőséget.
  • Hash
    Válassz a(z) MD5, SHA1, SHA256, SHA384 vagy SHA512 lehetőséget.
  • SA Lifetime (SA élettartam)

    Adja meg az IKE SA-élettartamot.

    Írja be az időt (másodpercben) és a kilobájtok (Kbájt) számát.

Encapsulating Security (Beágyazási biztonság)
  • Protocol (Protokoll)
    Válassza ki a ESP elemet.
    image
    Az ESP egy, az IPsec használatával kivitelezett titkosított kommunikációhoz kifejlesztett protokoll. Az ESP titkosítja az adatokat (küldött tartalmat), és további információkat ad hozzá. Az IP-csomagok a fejlécből és a titkosított adatokból állnak, amelyeket a fejléc követ. A titkosított adatok mellett az IP-csomag információkat tartalmaz a titkosítási módszerrel, a titkosítási kulccsal, a hitelesítési adatokkal stb. kapcsolatban is.
  • Encryption (Titkosítás)
    Válassza a DES, a 3DES, az AES-CBC 128 vagy az AES-CBC 256 lehetőséget.
  • Hash
    Válassza a(z) MD5, SHA1, SHA256, SHA384 vagy SHA512 lehetőséget.
  • SA Lifetime (SA élettartam)

    Adja meg az IKE SA élettartamát.

    Adja meg az időtartamot (másodperc) és a kilobájtok számát (Kbájt).

  • Encapsulation Mode (Beágyazási mód)
    Válassza az Transport (Átvitel) vagy a Tunnel (Alagút) lehetőséget.
  • Remote Router IP-Address (Távoli router IP-cím)

    Írja be a távoli router IP-címét (IPv4 vagy IPv6). Csak akkor adja meg ezt az információt, ha a Tunnel (Alagút) mód van kiválasztva.

    image
    Az SA (Biztonsági társítás) egy IPsec vagy IPv6 szabványt használó titkosított kommunikációs módszer, amely információt (például a titkosítási módszert és a titkosítási kulcsot) cserél és oszt meg, és ezáltal biztonságos kommunikációs csatornát hoz létre a kommunikáció megkezdése előtt. Az SA egy létrejött virtuális titkosított kommunikációs csatornára is utalhat. Az IPsec-kommunikációhoz használt SA megállapítja a titkosítási módszert, kicseréli a kulcsokat, valamint kölcsönös hitelesítést végez az IKE (internetes kulcscsere) szabványos eljárásnak megfelelően. Az SA továbbá rendszeresen frissül.
Perfect Forward Secrecy (PFS)

A PFS nem származtat kulcsokat a korábbi, üzenetek titkosítására használt kulcsokból. Továbbá ha egy üzenet titkosítására használt kulcs egy szülőkulcsból származott, a rendszer a szülőkulcsot nem használja más kulcsok származtatására. Így egy kulcs feltörésekor a sérülés kizárólag azokra az üzenetekre korlátozódik, amelyek titkosítása az adott kulcs használatával történt.

Válassza az Enabled (Engedélyezve) vagy a Disabled (Letiltva) lehetőséget.

Authentication Method (Hitelesítési módszer)

Válassza ki a hitelesítési módot. Válassza a Pre-Shared Key (Előre megosztott kulcs), a Certificates (Tanúsítványok), az EAP - MD5 vagy az EAP - MS-CHAPv2 lehetőséget.

image

Az EAP egy olyan hitelesítési protokoll, amely a PPP kiterjesztése. Az EAP és az IEEE802.1x együttes használatával a rendszer különböző kulcsot használ a felhasználók hitelesítésére az egyes munkamenetek során.

A következő beállítások csak akkor szükségesek, ha az EAP - MD5 vagy EAP - MS-CHAPv2 lehetőség van kiválasztva a Authentication Method (Hitelesítési módszer) beállításaiban:

  • Mode (Üzemmód)

    Jelölje ki az Server-Mode (Kiszolgáló-mód) vagy a Client-Mode (Kliens-mód) lehetőséget.

  • Certificate (Tanúsítvány)

    Válassza ki a tanúsítványt.

  • User Name (Felhasználói név)

    Írja be a felhasználónevet (legfeljebb 32 karakter).

  • Password (Jelszó)

    Írja be a jelszót (legfeljebb 32 karakter). A jelszót kétszer kell megadni a megerősítéshez.

Pre-Shared Key (Előre megosztott kulcs)

A kommunikáció titkosításakor a titkosítási kulcs cseréje és megosztása előzetesen, egy másik csatorna használatával történik.

Ha az Pre-Shared Key (Előre megosztott kulcs) beállításaként a Authentication Method (Hitelesítési módszer) lehetőséget választotta, adja meg a Pre-Shared Key (Előre megosztott kulcs) értékét (legfeljebb 32 karakter).

  • Local/ID Type/ID (Helyi/Azonosító Típus/Azonosító)

    Válassza ki a feladó azonosítójának típusát, majd adja meg az azonosítót.

    Válassza ki az IPv4 Address (IPv4 cím), IPv6 Address (IPv6 cím), FQDN, E-mail Address (E-mail cím) vagy Certificate (Tanúsítvány) lehetőséget a típushoz.

    Ha a Certificate (Tanúsítvány) lehetőséget választja, írja be a tanúsítvány közös nevét az ID (Azonosító) mezőbe.

  • Remote/ID Type/ID (Távoli/Azonosító Típus/Azonosító)

    Válassza ki a fogadó azonosítójának típusát, majd adja meg az azonosítót.

    Válassza ki az IPv4 Address (IPv4 cím), IPv6 Address (IPv6 cím), FQDN, E-mail Address (E-mail cím) vagy Certificate (Tanúsítvány) lehetőséget a típushoz.

    Ha a Certificate (Tanúsítvány) lehetőséget választja, írja be a tanúsítvány közös nevét az ID (Azonosító) mezőbe.

Certificate (Tanúsítvány) Ha az Authentication Method (Hitelesítési módszer) beállításaként a Certificates (Tanúsítványok) lehetőséget választotta, válassza ki a tanúsítványt.
image

Csak azokat a tanúsítványokat választhatja ki, amelyeket a Web alapú kezelő Biztonsági konfiguráció képernyőjének Certificate (Tanúsítvány) lapján hoztak létre.

Hasznos volt ez az oldal?