IKE er en kommunikationsprotokol, der bruges til at udveksle krypteringsnøgler med det formål at udføre krypteret kommunikation via IPsec. Den krypterede kommunikation udføres kun på det pågældende tidspunkt, og derfor fastsættes den krypteringsalgoritme, der er nødvendig for IPsec, og krypteringsnøglerne deles. Ved IKE udveksles krypteringsnøglerne via Diffie-Hellman-nøgleudvekslingsmetoden, og der udføres en krypterede kommunikation, der er begrænset til IKE.

Hvis du har valgt Custom (Bruger) i Use Prefixed Template (Brug skabelon med præfiks), skal du vælge IKEv1.

• Diffie_Hellman_Group

  Denne nøgleudvekslingsmetode muliggør sikker udveksling af hemmelige nøgler på et ubeskyttet netværk. Diffie-Hellman-nøgleudvekslingsmetoden bruger et diskret logaritmeproblem, ikke en hemmelig nøgle, til at sende og modtage åbne oplysninger, der er genereret ved hjælp af et vilkårligt tal og den hemmelige nøgle.

  Vælg Group1 (Gruppe1), Group2 (Gruppe2), Group5 (Gruppe5) eller Group14 (Gruppe14).

• Encryption (Kryptering)

  Vælg DES, 3DES, AES-CBC 128 eller AES-CBC 256.

• Hash

  Vælg MD5, SHA1, SHA256, SHA384 eller SHA512.

• SA Lifetime (SF-levetid)

  Angiv IKE SA-livstiden.

  Indtast tid (sekunder) og antal kilobytes (kB).

• Protocol (Protokol)

  Vælg ESP, AH eller AH+ESP.

  

  • ESP er en protokol til gennemførsel af krypteret kommunikation vha. IPsec. ESP krypterer dataene (kommunikeret indhold) og tilføjer yderligere oplysninger. En IP-pakke består af en header og de krypterede data, der følger headeren. Ud over de krypterede data indeholder IP-pakken også oplysninger om krypteringsmetoden og krypteringsnøglen, godkendelsesdataene osv.
  • AH er en del af IPsec-protokollen, der godkender afsenderen og forhindrer datamanipulation (sikrer fuldstændighed). I en IP-pakke indsættes dataene umiddelbart efter headeren. Derud over indeholder pakkerne en hash-værdi, der beregnes ved hjælp af en ligning fra det kommunikerede indhold, hemmelig nøgle osv., for at undgå forfalskning af afsenderen og datamanipulation. Modsat ESP sker der ingen kryptering af det kommunikerede indhold, og dataene sendes og modtages som almindelig tekst.

• Encryption (Kryptering) (Ikke tilgængelig for valgmuligheden AH).

  Vælg DES, 3DES, AES-CBC 128 eller AES-CBC 256.

• Hash

  Vælg None (Ingen), MD5, SHA1, SHA256, SHA384 eller SHA512.

  None (Ingen) kan kun vælges, når der er valgt ESP i Protocol (Protokol).

  Når der er valgt AH+ESP under Protocol (Protokol), skal hver protokol vælges for Hash(ESP) og Hash(AH).

• SA Lifetime (SF-levetid)

  Angiv levetiden for IKE SA.

  Indtast tiden (sekunder) og antallet af kilobytes (kbytes).

• Encapsulation Mode (Indkapslingstilstand)

  Markér Transport (Transport) eller Tunnel (Tunnel).

• Remote Router IP-Address (Fjernrouter-IP-adresse)

  Indtast IP-adressen (IPv4 eller IPv6) for fjernrouteren. Disse oplysninger skal kun indtastes, når tilstanden Tunnel (Tunnel) er valgt.

  

  SA (Security Association) er en krypteret kommunikationsmetode, der udveksler og deler oplysninger via IPsec eller IPv6, f.eks. krypteringsmetode og krypteringsnøgle, med henblik på at skabe en sikker kommunikationskanal, før kommunikationen starter. SA kan også henvise til en oprettet virtuel krypteret kommunikationskanal. SA til IPsec opretter krypteringsmetoden, udveksler nøglerne og udfører fælles godkendelse i overensstemmelse med standardproceduren IKE (Internet Key Exchange). Derudover opdateres SA med jævne mellemrum.

PFS henter ikke nøgler fra tidligere nøgler, der er blevet brugt til kryptering af meddelelser. Hvis en nøgle, der bruges til at kryptere en meddelelse, blev afledt fra en overordnet nøgle, bruges den pågældende overordnede nøgle ikke til at aflede andre nøgler. Hvis en nøgle kompromitteres, begrænses skadens omfang til de beskeder, der er blevet krypteret med den pågældende nøgle.

Vælg Enabled (Aktiveret) eller Disabled (Deaktiveret).

Vælg godkendelsesmetoden. Vælg Pre-Shared Key (Forhåndsdelt nøgle) eller Certificates (Certifikater).

Ved kryptering af kommunikation udveksles og deles krypteringsnøglen på forhånd ved hjælp af en anden kanal.

Hvis du har valgt Pre-Shared Key (Forhåndsdelt nøgle) til Authentication Method (Godkendelsesmetode), skal du indtaste Pre-Shared Key (Forhåndsdelt nøgle) (op til 32 tegn).

• Local/ID Type/ID (Sprog/ID-type/ID)

  Vælg afsenderens ID-type, og indtast derefter ID'et.

  Vælg IPv4 Address (IPv4-adresse), IPv6 Address (IPv6-adresse), FQDN, E-mail Address (E-mailadresse) eller Certificate (Certifikat) for den pågældende type.

  Hvis du vælger Certificate (Certifikat), skal du indtaste fællesnavnet for certifikatet i feltet ID (Id).

• Remote/ID Type/ID (Fjern/ID-type/ID)

  Vælg modtagerens ID-type, og indtast derefter ID'et.

  Vælg IPv4 Address (IPv4-adresse), IPv6 Address (IPv6-adresse), FQDN, E-mail Address (E-mailadresse) eller Certificate (Certifikat) for den pågældende type.

  Hvis du vælger Certificate (Certifikat), skal du indtaste fællesnavnet for certifikatet i feltet ID (Id).