Einstellungen für autom. Austausch des Verschlüsselungscodes (Standardeinstellungen)
Konfiguration > Sicherheit >
IPsec > Einstellungen für autom. Austausch des Verschlüsselungscodes (Standardeinstellungen)
Verwenden Sie diese Seite, um die Einstellungen für den automatischen Austausch des IPsec-Verschlüsselungscodes zu konfigurieren. Die Standardeinstellungen sind die IPsec-Einstellungen, die für die Kommunikation mit nicht auf der Seite [Einstellungen 1 bis 4] festgelegten Peers konfiguriert wurden.
Hinweis
- Die Einstellungen auf dieser Seite können von dem folgenden Administrator geändert werden:
- Netzwerk-Administrator
Adresstyp
Wählen Sie den für IPsec-Kommunikation verwendeten Adresstyp aus. Wenn Sie [Nicht aktiv] auswählen, werden alle anderen Einstellungen auf dieser Seite deaktiviert.
Sicherheitslevel
Wählen Sie einen der folgenden Sicherheitslevel für IPsec-Kommunikation aus. Sie können ein Set von Werten auf einmal festlegen, indem Sie einfach das erforderliche Sicherheitslevel auswählen. Wenn Sie einen Sicherheitslevel auswählen, werden die zugehörigen Werte im Bereich [Sicherheitsdetails] angezeigt. Nur [PSK Text] erfordert eine manuelle Konfiguration. Wenn Sie die Einstellungen unter [Sicherheitsdetails] manuell ändern möchten, wählen Sie in der Liste [Sicherheitslevel] [Anwendereinstellungen] aus.
Nur Authentifizierung
Dieser Level authentifiziert den Ziel-Peer und verhindert Paketsabotage ohne Paketverschlüsselung anzuwenden.
Authentifizierung und niedrige Verschlüsselung
Dieser Level authentifiziert den Ziel-Peer und verschlüsselt Pakete, um sie vor Sabotage zu schützen. Dieser Level ist etwas anfälliger für Verschlüsselungsanalysen als [Authentifizierung und hohe Verschlüsselung].
Authentifizierung und hohe Verschlüsselung
Dieser Level authentifiziert den Ziel-Peer und verschlüsselt Pakete, um sie vor Sabotage zu schützen. Dieser Level ist resistenter gegen Verschlüsselungsanalysen als [Authentifizierung und niedrige Verschlüsselung]. Jedoch wird dabei die Verarbeitungsgeschwindigkeit deutlich verringert, da in der Ver- und Entschlüsselung komplexe Kalkulationen involviert sind.
Anwendereinstellungen
Wenn Sie [Anwendereinstellungen] auswählen, können Sie die Einstellungen im Bereich [Sicherheitsdetails] manuell ändern.
Sicherheitsdetails
Sicherheitsvereinbarung
Wählen Sie eine Option aus, um festzulegen, wie IPsec verwaltet werden soll.
Verkapselungsmodus
Wählen Sie einen der folgenden Verkapselungsmodi:
Transport
Dieser Modus schützt die Ladung der IP-Pakete. Wählen Sie diesen Modus für die Kommunikation zwischen IPsec-Hosts aus.
Tunnel
Dieser Modus schützt die gesamten IP-Pakete. Wählen Sie diesen Modus für die Kommunikation zwischen Sicherheits-Gateways (z. B. VPN-Geräte) aus.
Hinweis
- Wenn Sie [Transport] auswählen, ist die Option [Tunnel-Endpunkt] nicht verfügbar.
Tunnel-Adresstyp
Wählen Sie den erforderlichen Tunneladresstyp aus.
Tunnel-Endpunkt
Wenn Sie [Tunnel] als [Verkapselungsmodus] auswählen, müssen Sie auch die IPsec-Abdeckung festlegen (d.h. Beginn und Ende des Tunnel-Endpunkts).
Hinweis
- Sie müssen eine IP-Adresse festlegen, die mit dem festgelegten Adresstyp übereinstimmt.
- Geben Sie für den Beginn des Tunnelendpunkts die lokale Adresse ein.
- Wenn Sie IPv6-Adressen verwenden, können Sie keine Link-lokalen oder Site-lokalen Adressen festlegen.
IPsec-Anforderungslevel
Legen Sie fest, wie das Gerät reagiert, wenn seine IPsec-Einstellungen nicht mit denen des Ziel-Peers übereinstimmen. Wählen Sie eine der folgenden Antworten:
Verwenden, wenn möglich
Wenn die IPsec-Einstellungen nicht mit denen des Peer übereinstimmen, wird in Klartext kommuniziert. In allen anderen Fällen wird die Kommunikation durch IPsec geschützt.
Immer anfordern
Wenn die IPsec-Einstellungen nicht mit denen des Peer übereinstimmen, wird die Kommunikation deaktiviert. In allen anderen Fällen wird die Kommunikation durch IPsec geschützt.
Authentifizierungsverfahren
Wählen Sie ein Verfahren zur Authentifizierung des Ziel-Peers aus. Wenn Sie [PSK] auswählen, müssen Sie eine Textfolge für [PSK Text] eingeben.
PSK Text
Der aktuelle Status von PSK (Pre-Shared Key) wird angezeigt. Wenn die Nachricht "Nicht eingerichtet" angezeigt wird, klicken Sie auf [Ändern] und geben Sie dann die PSK-Textfolge ein.
Nähere Einzelheiten zur Seite [PSK Text]Phase 1
Hash-Algorithmus
Wählen Sie den Hash-Algorithmustyp für Phase 1 aus.
Verschlüsselungsalgorithmus
Wählen Sie den Verschlüsselungsalgorithmustyp für Phase 1 aus.
Diffie-Hellman Group
Wählen Sie den Diffie-Hellman Group-Typ für Phase 1 aus.
Gültigkeitszeitraum
Legen Sie fest, wie lange der Kommunikationskanal für Phase 1 gültig bleibt. Sie können einen Wert zwischen 300 und 172.800 (Sekunden) eingeben.
Phase 2
Sicherheitsprotokoll
Wählen Sie das Sicherheitsprotokoll für Phase 2 aus. Wenn Sie [AH] auswählen, ist die Option [Zulassungen des Verschlüsselungsalgorithmus] nicht verfügbar.
Authentifizierungsalgorithmus
Wählen Sie den Authentifizierungsalgorithmustyp für Phase 2 aus.
Zulassungen des Verschlüsselungsalgorithmus
Wählen Sie den Verschlüsselungsalgorithmustyp für Phase 2 aus. Sie können einen oder mehrere Typen auswählen.
PFS
Wählen Sie aus, ob die PFS-Gruppe für Phase 2 aktiviert oder deaktiviert werden soll. Wenn Sie es aktivieren möchten, wählen Sie einen Gruppentyp aus.
Gültigkeitszeitraum
Legen Sie fest, wie lange der Kommunikationskanal für Phase 2 gültig bleibt. Sie können einen Wert zwischen 300 und 172.800 (Sekunden) eingeben.
Schaltflächen
[OK]
Klicken Sie hier, um die Einstellungen zum Gerät zu senden. Um die Einstellungen zu übernehmen, klicken Sie auf der Seite [IPsec] auf [OK].
[Abbrechen]
Klicken Sie auf diese Schaltfläche, um die Einstellungen zu verwerfen.