Az IKE egy kommunikációs protokoll, amely titkosítási kulcsok cseréjére szolgál az IPsec-alapú titkosított kommunikáció kivitelezése érdekében. A titkosított kommunikáció kizárólag az adott alkalomkor való kivitelezéséhez a rendszer meghatározza az IPsec használatához szükséges titkosítási algoritmust, majd megosztja a titkosítási kulcsokat. Az IKE esetében a titkosítási kulcsok cseréje a Diffie-Hellman kulcscserélési módszer használatával történik, és az internetes kulcscserére korlátozott titkosított kommunikáció valósul meg.

• Diffie-Hellman Group (Diffie-Hellman csoport)

  Ez a kulcscserélési módszer lehetővé teszi a titkos kulcsok nem védett hálózaton keresztül történő biztonságos cseréjét. A Diffie-Hellman kulcscserélési módszer a titkos kulcs helyett egy diszkrét logaritmus problémát használ a nyílt információ küldésére és fogadására, amely egy véletlenszerű szám és a titkos kulcs használatával jött létre.

  Válassza a(z) Group1 (1. csoport), Group2 (2. csoport), Group5 (5. csoport), vagy Group14 (14. csoport) lehetőséget.

• Encryption (Titkosítás)

  Válassza a(z) DES, 3DES, AES-CBC 128, vagy AES-CBC 256 lehetőséget.

• Hash

  Válassz a(z) MD5, SHA1, SHA256, SHA384 vagy SHA512 lehetőséget.

• SA Lifetime (SA élettartam)

  Adja meg az IKE SA-élettartamot.

  Írja be az időt (másodpercben) és a kilobájtok (Kbájt) számát.

• Protocol (Protokoll)

  Válassza ki a ESP elemet.

  

  Az ESP egy, az IPsec használatával kivitelezett titkosított kommunikációhoz kifejlesztett protokoll. Az ESP titkosítja az adatokat (küldött tartalmat), és további információkat ad hozzá. Az IP-csomagok a fejlécből és a titkosított adatokból állnak, amelyeket a fejléc követ. A titkosított adatok mellett az IP-csomag információkat tartalmaz a titkosítási módszerrel, a titkosítási kulccsal, a hitelesítési adatokkal stb. kapcsolatban is.

• Encryption (Titkosítás)

  Válassza a DES, a 3DES, az AES-CBC 128 vagy az AES-CBC 256 lehetőséget.

• Hash

  Válassza a(z) MD5, SHA1, SHA256, SHA384 vagy SHA512 lehetőséget.

• SA Lifetime (SA élettartam)

  Adja meg az IKE SA élettartamát.

  Adja meg az időtartamot (másodperc) és a kilobájtok számát (Kbájt).

• Encapsulation Mode (Beágyazási mód)

  Válassza az Transport (Átvitel) vagy a Tunnel (Alagút) lehetőséget.

• Remote Router IP-Address (Távoli router IP-cím)

  Írja be a távoli router IP-címét (IPv4 vagy IPv6). Csak akkor adja meg ezt az információt, ha a Tunnel (Alagút) mód van kiválasztva.

  

  Az SA (Biztonsági társítás) egy IPsec vagy IPv6 szabványt használó titkosított kommunikációs módszer, amely információt (például a titkosítási módszert és a titkosítási kulcsot) cserél és oszt meg, és ezáltal biztonságos kommunikációs csatornát hoz létre a kommunikáció megkezdése előtt. Az SA egy létrejött virtuális titkosított kommunikációs csatornára is utalhat. Az IPsec-kommunikációhoz használt SA megállapítja a titkosítási módszert, kicseréli a kulcsokat, valamint kölcsönös hitelesítést végez az IKE (internetes kulcscsere) szabványos eljárásnak megfelelően. Az SA továbbá rendszeresen frissül.

A PFS nem származtat kulcsokat a korábbi, üzenetek titkosítására használt kulcsokból. Továbbá ha egy üzenet titkosítására használt kulcs egy szülőkulcsból származott, a rendszer a szülőkulcsot nem használja más kulcsok származtatására. Így egy kulcs feltörésekor a sérülés kizárólag azokra az üzenetekre korlátozódik, amelyek titkosítása az adott kulcs használatával történt.

Válassza az Enabled (Engedélyezve) vagy a Disabled (Letiltva) lehetőséget.

Válassza ki a hitelesítési módot. Válassza a Pre-Shared Key (Előre megosztott kulcs), a Certificates (Tanúsítványok), az EAP - MD5 vagy az EAP - MS-CHAPv2 lehetőséget.

Az EAP egy olyan hitelesítési protokoll, amely a PPP kiterjesztése. Az EAP és az IEEE802.1x együttes használatával a rendszer különböző kulcsot használ a felhasználók hitelesítésére az egyes munkamenetek során.

A következő beállítások csak akkor szükségesek, ha az EAP - MD5 vagy EAP - MS-CHAPv2 lehetőség van kiválasztva a Authentication Method (Hitelesítési módszer) beállításaiban:

• Mode (Üzemmód)

  Jelölje ki az Server-Mode (Kiszolgáló-mód) vagy a Client-Mode (Kliens-mód) lehetőséget.

• Certificate (Tanúsítvány)

  Válassza ki a tanúsítványt.

• User Name (Felhasználói név)

  Írja be a felhasználónevet (legfeljebb 32 karakter).

• Password (Jelszó)

  Írja be a jelszót (legfeljebb 32 karakter). A jelszót kétszer kell megadni a megerősítéshez.

A kommunikáció titkosításakor a titkosítási kulcs cseréje és megosztása előzetesen, egy másik csatorna használatával történik.

Ha az Pre-Shared Key (Előre megosztott kulcs) beállításaként a Authentication Method (Hitelesítési módszer) lehetőséget választotta, adja meg a Pre-Shared Key (Előre megosztott kulcs) értékét (legfeljebb 32 karakter).

• Local/ID Type/ID (Helyi/Azonosító Típus/Azonosító)

  Válassza ki a feladó azonosítójának típusát, majd adja meg az azonosítót.

  Válassza ki az IPv4 Address (IPv4 cím), IPv6 Address (IPv6 cím), FQDN, E-mail Address (E-mail cím) vagy Certificate (Tanúsítvány) lehetőséget a típushoz.

  Ha a Certificate (Tanúsítvány) lehetőséget választja, írja be a tanúsítvány közös nevét az ID (Azonosító) mezőbe.

• Remote/ID Type/ID (Távoli/Azonosító Típus/Azonosító)

  Válassza ki a fogadó azonosítójának típusát, majd adja meg az azonosítót.

  Válassza ki az IPv4 Address (IPv4 cím), IPv6 Address (IPv6 cím), FQDN, E-mail Address (E-mail cím) vagy Certificate (Tanúsítvány) lehetőséget a típushoz.

  Ha a Certificate (Tanúsítvány) lehetőséget választja, írja be a tanúsítvány közös nevét az ID (Azonosító) mezőbe.