IKE je komunikačný protokol, ktorý sa používa na výmenu šifrovacích kľúčov, aby sa mohla uskutočniť šifrovaná komunikácia s použitím zabezpečenia IPsec. Aby sa šifrovaná komunikácia uskutočnila len pre daný raz, určí sa šifrovací algoritmus, ktorý je potrebný pre zabezpečenie IPsec a zdieľajú sa šifrovacie kľúče. Pre protokol IKE sa šifrovacie kľúče vymenia s použitím metódy výmeny kľúčov Diffie-Hellman, a uskutoční sa šifrovaná komunikácia, ktorá je obmedzená na protokol IKE.

• Diffie-Hellman Group (Skupina Diffie-Hellman)

  Táto metóda výmeny kľúčov umožňuje bezpečnú výmenu tajných kľúčov cez nechránenú sieť. Metóda výmeny kľúčov Diffie-Hellman využíva problém diskrétneho logaritmu, nie tajný kľúč, na odosielanie a prijímanie otvorených informácií, ktoré sa vygenerovali s použitím náhodného čísla a daného tajného kľúča.

  Zvoľte Group1 (Skupina1), Group2 (Skupina2), Group5 (Skupina5) alebo Group14 (Skupina14).

• Encryption (Šifrovanie)

  Zvoľte DES, 3DES, AES-CBC 128 alebo AES-CBC 256.

• Hash (Hodnota hash)

  Zvoľte MD5, SHA1, SHA256, SHA384 alebo SHA512.

• SA Lifetime (Životnosť priradenia zabezpečenia)

  Určenie životnosti bezpečnostnej asociácie protokolu IKE.

  Zadajte čas (sekundy) a počet kilobajtov (KByte).

• Protocol (Protokol)

  Vyberte ESP.

  

  ESP je protokol na uskutočňovanie šifrovanej komunikácie s použitím zabezpečenia IPsec. ESP šifruje údajovú časť (komunikovaný obsah, tzv. payload) a pridáva dodatočné informácie. Paket protokolu IP obsahuje hlavičku a šifrovanú údajovú časť, ktorá nasleduje za hlavičkou. Okrem šifrovaných dát obsahuje paket protokolu IP aj informácie ohľadne metódy šifrovania a šifrovací kľúč, overovacie údaje a podobne.

• Encryption (Šifrovanie)

  Zvoľte DES, 3DES, AES-CBC 128 alebo AES-CBC 256.

• Hash (Hodnota hash)

  Vyberte MD5, SHA1, SHA256, SHA384 alebo SHA512.

• SA Lifetime (Životnosť priradenia zabezpečenia)

  Určite životnosť bezpečnostnej asociácie IKE.

  Zadajte čas (sekundy) a počet kilobajtov (KByte).

• Encapsulation Mode (Režim zapuzdrenia)

  Vyberte možnosť Transport (Prenos) alebo Tunnel (Tunel).

• Remote Router IP-Address (Adresa IP vzdialeného smerovača)

  Zadajte adresu IP (IPv4 alebo IPv6) vzdialeného smerovača. Tieto informácie zadajte, len keď je zvolený režim Tunnel (Tunel).

  

  SA (bezpečnostná asociácia) je metóda šifrovanej komunikácie používajúca protokol IPsec alebo IPv6, ktorá vymieňa a zdieľa informácie, ako napríklad metódu šifrovania a šifrovací kľúč, aby sa tak pred začatím komunikácie vytvoril zabezpečený komunikačný kanál. SA tiež môže označovať virtuálny zašifrovaný komunikačný kanál, ktorý bol vytvorený. SA použitá pre protokol IPsec vytvára metódu šifrovania, vymieňa kľúče a vykonáva vzájomné overovanie na základe štandardnej procedúry IKE (Internet Key Exchange). Okrem toho sa SA pravidelne aktualizuje.

PFS neodvodzuje kľúče z predchádzajúcich kľúčov, ktoré sa použili na šifrovanie správ. Okrem toho, ak bol kľúč, ktorý sa použil na šifrovanie správy, odvodený z nadradeného kľúča, daný nadradený kľúč sa nepoužije na odvodenie ďalších kľúčov. Preto, aj keby bol kľúč odhalený, škoda bude obmedzená len na správy, ktoré boli šifrované pomocou daného kľúča.

Vyberte Enabled (Zapnuté) alebo Disabled (Zakázané).

Vyberte metódu overenia. Zvoľte Pre-Shared Key (Vopred zdieľaný kľúč), Certificates (Certifikáty), EAP - MD5 alebo EAP - MS-CHAPv2.

EAP je overovací protokol, ktorý je rozšírením protokolu PPP. Keď sa protokol EAP použije so štandardom IEEE802.1x, na overenie používateľa sa počas každej relácie použije iný kľúč.

Nasledovné nastavenia sú potrebné, len keď je vo funkcii Authentication Method (Metóda overenia) zvolená možnosť EAP - MD5 alebo EAP - MS-CHAPv2:

• Mode (Režim)

  Vyberte Server-Mode (Režim servera) alebo Client-Mode (Režim klienta).

• Certificate (Certifikát)

  Výber certifikátu.

• User Name (Meno používateľa)

  Zadanie mena používateľa (maximálne 32 znakov).

• Password (Heslo)

  Zadanie hesla (maximálne 32 znakov). Heslo sa musí kvôli potvrdeniu zadať dvakrát.

Pri šifrovaní komunikácie sa šifrovací kľúč vopred vymení a zdieľa použitím iného kanála.

Ak ste pre Authentication Method (Metóda overenia) zvolili Pre-Shared Key (Vopred zdieľaný kľúč), zadajte Pre-Shared Key (Vopred zdieľaný kľúč) (maximálne 32 znakov).

• Local/ID Type/ID (Lokálne/Typ identifikácie/Identifikácia)

  Zvoľte typ ID odosielateľa a potom zadajte ID.

  Pre typ zvoľte IPv4 Address (Adresa IPv4), IPv6 Address (Adresa IPv6), FQDN, E-mail Address (E-mailová adresa) alebo Certificate (Certifikát).

  Ak je zvolená možnosť Certificate (Certifikát), v poli ID (Identifikácia) zadajte spoločné meno certifikátu.

• Remote/ID Type/ID (Diaľkové/Typ identifikácie/Identifikácia)

  Zvoľte typ ID prijímateľa a potom zadajte ID.

  Pre typ zvoľte IPv4 Address (Adresa IPv4), IPv6 Address (Adresa IPv6), FQDN, E-mail Address (E-mailová adresa) alebo Certificate (Certifikát).

  Ak je zvolená možnosť Certificate (Certifikát), v poli ID (Identifikácia) zadajte spoločné meno certifikátu.