IKE on protokolla, jonka avulla voidaan vaihtaa salausavaimia salatun tietoliikenteen käyttämiseksi IPsec-protokollan avulla. Kertaluontoisen salatun tiedonsiirron mahdollistamiseksi protokolla määrittää IPsec-protokollan vaatiman salausalgoritmin ja jakaa salausavaimet. IKE-protokollan salausavaimet vaihdetaan Diffie-Hellman-menetelmän avulla ja IKE-protokollalle rajattu, salattu tiedonsiirto voidaan suorittaa.

Jos valitsit Custom (Mukautettu) kohdassa Use Prefixed Template (Käytä esimääritettyä mallia), valitse IKEv1.

• Diffie_Hellman_Group

  Tämä avaintenvaihtomenetelmä mahdollistaa salaisten avainten vaihdon turvallisesti suojaamattoman verkon yli. Diffie-Hellman-avaintenvaihtomenetelmä käyttää erillistä logaritmiongelmaa (ei salaista avainta) satunnaisella numerolla ja salaisella avaimella luotujen, avoimien tietojen lähettämiseen ja vastaanottamiseen.

  Valitse Group1 (Ryhmä 1), Group2 (Ryhmä 2), Group5 (Ryhmä 5) tai Group14 (Ryhmä 14).

• Encryption (Salaus)

  Valitse DES, 3DES, AES-CBC 128 tai AES-CBC 256.

• Hash (Haja-arvo)

  Valitse MD5, SHA1, SHA256, SHA384 tai SHA512.

• SA Lifetime (SA-käyttöikä)

  Määritä IKE SA -kestoaika.

  Anna aika (sekunteina) ja kilotavujen (kb) määrä.

• Protocol (Protokolla)

  Valitse ESP, AH tai AH+ESP.

  

  • ESP on protokolla, jolla suoritetaan salattu tiedonsiirto IPseciä käyttäen. ESP salaa nettotiedot (siirretyn sisällön) ja lisää lisätietoja. IP-paketti koostuu otsakkeesta ja salatuista nettotiedoista, jotka seuraavat otsaketta. Salattujen tietojen lisäksi IP-paketti sisältää myös salausmenetelmää ja salausavainta koskevia tietoja, todennustietoja jne.
  • AH on osa IPsec-protokollaa, joka todentaa lähettäjän ja ehkäisee tietojen manipulointia (varmistaen tietojen eheyden). IP-paketissa tiedot sijaitsevat välittömästi otsikon perässä. Lisäksi paketit sisältävät haja-arvoja, jotka lasketaan siirretystä sisällöstä, salaisesta avaimesta, jne. koostuvalla kaavalla ehkäisten lähettäjän väärentämistä tai tietojen manipulointia. ESP:stä poiketen siirrettyä sisältöä ei salata ja tiedot lähetetään ja vastaanotetaan tavallisena tekstinä.

• Encryption (Salaus) (Ei käytettävissä, kun käytössä on AH.)

  Valitse DES, 3DES, AES-CBC 128 tai AES-CBC 256.

• Hash (Haja-arvo)

  valitse None (Ei mitään), MD5, SHA1, SHA256, SHA384, tai SHA512.

  None (Ei mitään) voidaan valita ainoastaan silloin, kun ESP on valittu kohdassa Protocol (Protokolla).

  Kun AH+ESP on valittu kohdassa Protocol (Protokolla), valitse jokainen protokolla Hash(ESP) (Haja-arvo(ESP)):lle Hash(AH) (Haja-arvo(AH)):lle.

• SA Lifetime (SA-käyttöikä)

  Määritä IKE SA -käyttöikä.

  Syötä aika (sekunteja) ja kilotavujen määrä (KByte).

• Encapsulation Mode (Kapselointitila)

  Valitse Transport (Siirto) tai Tunnel (Tunneli).

• Remote Router IP-Address (Etäreitittimen IP-osoite)

  Syötä etäreitittimen IP-osoite (IPv4 tai IPv6). Syötä tiedot ainoastaan Tunnel (Tunneli) -tilan ollessa valittuna.

  

  SA (Security Association) on IPsec- tai IPv6-pohjainen salattu tiedonsiirtomenetelmä, joka vaihtaa ja jakaa tietoa, kuten salausmenetelmän ja salausavaimen, suojatun tiedonsiirtokanavan luomiseksi ennen tiedonsiirron aloittamista. SA voi myös viitata luotuun, virtuaaliseen suojattuun tiedonsiirtokanavaan. IPsec-protokollaan käytetty SA luo salausmenetelmän, vaihtaa avaimet ja suorittaa kahdenkeskeisen todennuksen IKE (Internet Key Exchange) -vakioprotokollan avulla. Lisäksi SA-menetelmää päivitetään ajoittain.

PFS ei johda avaimia aiemmista viestien salaukseen käytetyistä avaimista. Tämän lisäksi, jos viestin salaamiseen käytetty avain johdettiin pääavaimesta, kyseistä pääavainta ei käytetä muiden avainten johtamiseen. Tästä johtuen, mikäli avaimen luottamuksellisuus vaarantuu, mahdolliset vahingot rajoittuvat vain kyseisellä avaimella salattuihin viesteihin.

Valitse Enabled (Käytössä) tai Disabled (Ei käytössä).

Valitse todennusmenetelmä. Valitse Pre-Shared Key (Esijaettu avain) tai Certificates (Varmenteet).

Tiedonsiirtoa salattaessa salausavain vaihdetaan ja jaetaan etukäteen toista kanavaa käyttäen.

Jos valitset Authentication Method (Todennustapa) -tyypiksi Pre-Shared Key (Esijaettu avain), kirjoita Pre-Shared Key (Esijaettu avain) (enintään 32 merkkiä).

• Local/ID Type/ID (Lähettäjä/Tunnistetyyppi/Tunniste)

  Valitse lähettäjän tunnustyyppi ja kirjoita tunnus.

  Valitse tyypiksi IPv4 Address (IPv4-osoite), IPv6 Address (IPv6-osoite), FQDN, E-mail Address (Sähköpostiosoite) tai Certificate (Sertifikaatti).

  Jos valitset Certificate (Sertifikaatti), syötä varmenteen yleinen nimi ID (Tunniste)-kenttään.

• Remote/ID Type/ID (Vastaanottaja/Tunnistetyyppi/Tunniste)

  Valitse vastaanottajan tunnustyyppi ja kirjoita tunnus.

  Valitse tyypiksi IPv4 Address (IPv4-osoite), IPv6 Address (IPv6-osoite), FQDN, E-mail Address (Sähköpostiosoite) tai Certificate (Sertifikaatti).

  Jos valitset Certificate (Sertifikaatti), syötä varmenteen yleinen nimi ID (Tunniste)-kenttään.