IKEv2-Einstellungen für eine IPsec-Vorlage

Option Beschreibung
Vorlagenname Geben Sie einen Namen für die Vorlage ein (bis zu 16 Zeichen).
Vorgegebene Vorlage verwenden Wählen Sie Benutzerdefiniert, IKEv2 Hohe Sicherheit oder IKEv2 Mittlere Sicherheit aus. Die Einstellungselemente unterscheiden sich abhängig von der ausgewählten Vorlage.
Internet Key Exchange (IKE)

IKE ist ein Kommunikationsprotokoll, mit dem Verschlüsselungsschlüssel ausgetauscht werden, um eine verschlüsselte Kommunikation über IPsec auszuführen. Um nur dieses Mal eine verschlüsselte Kommunikation auszuführen, wird der für IPsec notwendige Verschlüsselungsalgorithmus bestimmt und die Verschlüsselungsschlüssel werden weitergegeben. Für IKE werden die Verschlüsselungsschlüssel mit der Diffie-Hellman-Schlüsselaustauschmethode ausgetauscht und die auf IKE beschränkte verschlüsselte Kommunikation wird ausgeführt.

Wenn Sie Benutzerdefiniert unter Vorgegebene Vorlage verwenden ausgewählt haben, wählen Sie IKEv2.
Authentifizierungstyp
  • Diffie-Hellman-Gruppe

    Dieses Schlüsselaustauschverfahren ermöglicht den sicheren Austausch geheimer Schlüssel über ein ungeschütztes Netzwerk. Das Diffie-Hellman-Schlüsselaustauschverfahren verwendet anstelle des geheimen Schlüssels einen diskreten Logarithmus zum Versenden und Empfangen offener Informationen, die mittels einer Zufallszahl und dem geheimen Schlüssel generiert wurden.

    Wählen Sie Gruppe1, Gruppe2, Gruppe5 oder Gruppe14.

  • Verschlüsselung
    Wählen Sie DES, 3DES, AES-CBC 128 oder AES-CBC 256 aus.
  • Hash
    Wählen Sie MD5, SHA1, SHA256, SHA384 oder SHA512.
  • SA-Lebensdauer

    Legen Sie die IKE-SA-Gültigkeitsdauer fest.

    Geben Sie die Zeit (Sekunden) und Anzahl der Kilobytes (KByte) ein.

Encapsulating Security
  • Protokoll
    Wählen Sie ESP.
    image
    ESP ist ein Protokoll für die Durchführung einer verschlüsselten Kommunikation mit IPsec. ESP verschlüsselt die Nutzdaten (die kommunizierten Inhalte) und fügt zusätzliche Informationen hinzu. Das IP-Paket umfasst die Kopfzeile und die verschlüsselte Nutzlast, die auf die Kopfzeile folgt. Neben den verschlüsselten Daten enthält das IP-Paket auch Informationen in Bezug auf die Verschlüsselungsmethode und den Verschlüsselungsschlüssel, die Authentifizierungsdaten und so weiter.
  • Verschlüsselung
    Wählen Sie DES, 3DES, AES-CBC 128 oder AES-CBC 256.
  • Hash
    Wählen Sie MD5, SHA1, SHA256, SHA384 oder SHA512.
  • SA-Lebensdauer

    Legen Sie die IKE-SA-Nutzungsdauer fest.

    Geben Sie die Zeit (Sekunden) und Anzahl der Kilobytes (KByte) ein.

  • Encapsulation-Modus
    Wählen Sie Transport oder Tunnel aus.
  • IP-Adresse des Remote-Routers

    Geben Sie die IP-Adresse (IPv4 oder IPv6) des Remote-Routers ein. Geben Sie diese Informationen nur ein, wenn der Modus Tunnel ausgewählt ist.

    image
    SA (Security Association) ist ein verschlüsseltes Kommunikationsverfahren, das IPsec oder IPv6 nutzt und Informationen austauscht und weitergibt, wie die Verschlüsselungsmethode und den Verschlüsselungsschlüssel, um einen sicheren Kommunikationskanal einzurichten, bevor die Kommunikation beginnt. SA kann sich auch auf einen virtuellen verschlüsselten Kommunikationskanal beziehen, der eingerichtet wurde. Die für IPsec verwendete SA etabliert die Verschlüsselungsmethode, tauscht die Schlüssel aus und führt eine gegenseitige Authentifizierung entsprechend dem IKE (Internet Key Exchange)-Standardvorgang durch. Des Weiteren wird SA regelmäßig aktualisiert.
Perfect Forward Secrecy (PFS)

PFS leitet keine Schlüssel aus vorherigen Schlüsseln ab, die zur Verschlüsselung von Nachrichten verwendet wurden. Wenn ein Schlüssel, der zur Verschlüsselung einer Nachricht verwendet wird, von einem übergeordneten Schlüssel abgeleitet wurde, wird außerdem dieser übergeordnete Schlüssel nicht zur Ableitung anderer Schlüssel verwendet. Wenn ein Schlüssel gefährdet wurde, ist der Schaden daher nur auf die Nachrichten beschränkt, die mit diesem Schlüssel verschlüsselt wurden.

Wählen Sie Aktiviert oder Deaktiviert aus.

Authentifizierungsmethode

Wählen Sie die Authentifizierungsmethode aus. Wählen Sie Pre-Shared Key, Zertifikate, EAP - MD5 oder EAP - MS-CHAPv2.

image

EAP ist ein Authentifizierungsprotokoll, bei dem es sich um eine Erweiterung von PPP handelt. Durch die Verwendung von EAP mit IEEE802.1x werden unterschiedliche Schlüssel für Benutzerauthentifizierung und jede Sitzung verwendet.

Die folgenden Einstellungen sind nur notwendig, wenn EAP - MD5 oder EAP - MS-CHAPv2 unter Authentifizierungsmethode ausgewählt wurde:

  • Modus

    Wählen Sie Server-Modus oder Client-Modus.

  • Zertifikat

    Wählen Sie das Zertifikat aus.

  • Benutzername

    Geben Sie den Benutzernamen ein (bis zu 32 Zeichen).

  • Kennwort

    Geben Sie das Kennwort ein (bis zu 32 Zeichen). Das Kennwort muss zwei Mal eingegeben werden, um bestätigt zu werden.

Pre-Shared Key

Bei der Verschlüsselung der Kommunikation wird im Vorfeld der Verschlüsselungsschlüssel ausgetauscht und über einen anderen Kanal weitergegeben.

Wenn Sie Pre-Shared Key als Authentifizierungsmethode ausgewählt haben, geben Sie den Pre-Shared Key ein (bis zu 32 Zeichen).

  • Lokal/ID-Typ/ID

    Wählen Sie ID-Art des Absenders aus und geben Sie die ID ein.

    Wählen Sie IPv4-Adresse, IPv6-Adresse, FQDN, E-Mail-Adresse oder Zertifikat für den Typ aus.

    Wenn Sie Zertifikat auswählen, geben Sie den allgemeinen Namen des Zertifikats im Feld ID ein.

  • Remote/ID-Typ/ID

    Wählen Sie ID-Art des Empfängers aus und geben Sie die ID ein.

    Wählen Sie IPv4-Adresse, IPv6-Adresse, FQDN, E-Mail-Adresse oder Zertifikat für den Typ aus.

    Wenn Sie Zertifikat auswählen, geben Sie den allgemeinen Namen des Zertifikats im Feld ID ein.

Zertifikat Wenn Sie Zertifikate unter Authentifizierungsmethode ausgewählt haben, wählen Sie das Zertifikat aus.
image

Sie können nur die Zertifikate auswählen, die über die Seite Zertifikat des Web Based Management Sicherheitskonfigurationsbildschirms erstellt wurden.

War diese Seite hilfreich?