Verwenden der IPsec-Kommunikation
Richten Sie die Einstellung ein, wenn in Ihrer Umgebung IPsec erforderlich ist.
Die IPsec-Technologie verhindert mit leistungsfähigen Verschlüsselungstechnologien die Fälschung oder Freigabe von Daten in der IP-Paketbasis. Da IPsec Daten in der Vermittlungsschicht verschlüsselt, ist sichere Kommunikation selbst dann gewährleistet, wenn Sie in einer höheren Ebene Protokolle oder Anwendungen verwenden, die keine Verschlüsselung unterstützen.
Wählen Sie [Netzwerk] - [TCP/IP-Einstellung] - [IPsec] - [IPsec-Einstellungen] im Administratormodus von Web Connection (oder unter [Bedienerprogramm] - [Administrator] dieses Systems) und klicken Sie auf [OK].
Klicken Sie auf [Bearbeiten] im Bereich [IKEv1] oder [IKEv2] unter [IPsec-Einstellungen] und richten Sie dann die folgenden Einstellungen ein.
Einstellung
Beschreibung
[Verschlüsselungsalgorithmus]
Wählen Sie den Verschlüsselungsalgorithmus für die Generierung eines allgemeinen Schlüssels für die Kommunikation.
[Authentifizierungsalgorithmus]
Wählen Sie den Authentifizierungsalgorithmus für die Generierung eines allgemeinen Schlüssels für die Kommunikation.
[Gültigkeitsdauer für Verschlüsselungsschlüssel]
Geben Sie die Gültigkeitsdauer eines allgemeinen Schlüssels für die sichere Generierung eines allgemeinen Schlüssels ein, der für die Verschlüsselung der Kommunikation verwendet wird (Standard: [28800] Sek.).
Nach Ablauf dieser Dauer wird ein neuer Schlüssel erstellt. Dadurch kann die Übertragung geschützt werden.
[Diffie-Hellman-Gruppe]
Wählen Sie die Diffie-Hellman-Gruppe (Standard: [Gruppe 2]).
[Verhandlungsmodus]
Wählen Sie den Verhandlungsmodus (Standard: [Hauptmodus]). Diese Option steht für [IKEv2] nicht zur Verfügung.
Klicken Sie im Bereich [SA] unter [IPsec-Einstellungen] auf [Registrierung] und registrieren Sie die Sicherheitszuordnung (SA).
Bis zu 10 Gruppen können für die SA registriert werden.
Einstellung
Beschreibung
[Name]
Geben Sie den SA-Namen ein (1 bis 10 Zeichen, außer ").
[Kapselungsmodus]
Wählen Sie den IPsec-Betriebsmodus (Standard: [Übertragung]).
[Sicherheitsprotokoll]
Wählen Sie ein Sicherheitsprotokoll aus.
[Methode für den Schlüsselaustausch]
Wählen Sie die Methode für den Schlüsselaustausch, um die sichere Generierung eines allgemeinen Schlüssels für die Verschlüsselung der Kommunikation zu gewährleisten (Standard: [IKEv1]).
[Tunnelendpunkt]
Wenn die Option [Tunnel] unter [Kapselungsmodus] ausgewählt ist, geben Sie die IP-Adresse des IPsec-Gateways ein, das als Peer verwendet wird.
[Lebensdauer nach SA]
Geben Sie die Lebensdauer eines allgemeinen Schlüssels ein, der für die Verschlüsselung der Kommunikation verwendet wird (Standard: [3600] Sek.).
[IKE-Einstellungen]
Richten Sie die für diese SA verwendeten IKE-Einstellungen ein. Dieser Schritt ist erforderlich, wenn unter Methode für den [Schlüsselaustausch] die Option [IKEv1] oder [IKEv2] ausgewählt ist.
[Authentifiz.methode]: Wählen Sie das Authentifizierungsverfahren aus.
[Lokales Authentifizierungsverfahren]: Wählen Sie das Authentifizierungsverfahren dieses Systems aus, wenn [IKEv2] unter [Methode für den Schlüsselaustausch] ausgewählt ist.
[Peer-Authentifizierungsverfahren]: Wählen Sie das Peer-Authentifizierungsverfahren aus, wenn [IKEv2] unter [Methode für den Schlüsselaustausch] ausgewählt ist.
[ESN]: Wenn die erweiterte 64-Bit-Sequenznummer verwendet wird, setzen Sie diese Option auf EIN.
[Wiederholungserkennung]: Wenn der Wiederholungsschutz aktiviert werden soll, setzen Sie diese Option auf EIN.
[ESP-Verschlüsselungsalgorithmus]: Wenn Sie [ESP] unter [Sicherheitsprotokoll] auswählen, konfigurieren Sie den ESP-Verschlüsselungsalgorithmus.
[ESP-Authentifizierungsalgorithmus]: Wenn Sie [ESP] unter [Sicherheitsprotokoll] auswählen, konfigurieren Sie den ESP-Authentifizierungsalgorithmus.
[AH-Authentifizierungsalgorithmus]: Wenn Sie [AH] unter [Sicherheitsprotokoll] auswählen, konfigurieren Sie den AH-Authentifizierungsalgorithmus.
[Perfect Forward-Secrecy]: Wenn die IKE-Intensität erhöht werden soll, setzen Sie diese Option auf EIN. Bei Auswahl der Einstellung EIN verlängert sich die für die Kommunikation benötigte Zeit.
Klicken Sie im Bereich [Peer] unter [IPsec-Einstellungen] auf [Registrierung] und registrieren Sie Peers dieses Systems.
Maximal 10 Peers können registriert werden.
Einstellung
Beschreibung
[Peer]
Wenn ein Peer registriert wird, setzen Sie diese Option auf EIN (Standard: AUS).
[Name]
Geben Sie den Peer-Namen ein (1 bis 10 Zeichen, außer ").
[IP-Adresse festlegen]
Wählen Sie die Methode für die Angabe der Peer-Adresse. Geben Sie die IP-Adresse des Peers in Abhängigkeit von der ausgewählten Methode ein.
[Text für den PreShared Key]
Geben Sie den Pre-Shared-Schlüssel ein, der mit dem Peer gemeinsam genutzt werden soll (max. 128 ASCII-Zeichen oder max. 256 hexadezimale Zeichen).
Geben Sie denselben Text wie für den Peer an.
[Text für Schlüssel-ID]
Geben Sie die Schlüssel-ID ein, die für den Pre-Shared-Schlüssel angegeben wird (max. 128 Byte).
Klicken Sie im [Protokolleinstellung] unter [IPsec-Einstellungen] auf [Registrierung] und geben Sie das für IPsec-Übertragungen verwendete Protokoll ein.
Bis zu 10 Protokolle können angegeben werden.
Einstellung
Beschreibung
[Protokolleinstellung]
Wenn die Protokollspezifikationen registriert werden, setzen Sie diese Option auf EIN (Standard: AUS).
[Name]
Geben Sie den Gruppennamen mit dem angegebenen Protokoll ein (1 bis 10 Zeichen, außer ").
[Einstellungen für die Protokollidentifizierung]
Wählen Sie ein Protokoll, das für die IPsec-Kommunikation verwendet wird (Standard: [Keine Auswahl]).
[Portnummer]
Wenn [TCP] oder [UDP] in [Einstellungen für die Protokollidentifizierung] ausgewählt wurde, geben Sie die Portnummer für die IPsec-Kommunikation an.
[ICMP-Nachrichtentyp]
Geben Sie den ICMP-Nachrichtentyp an, wenn [ICMP] in den [Einstellungen für die Protokollidentifizierung] ausgewählt ist.
[ICMPv6-Nachrichtentyp]
Geben Sie den ICMP-Nachrichtentyp an, wenn [ICMPv6] in den [Einstellungen für die Protokollidentifizierung] ausgewählt ist.
Wählen Sie [Netzwerk] - [TCP/IP-Einstellung] - [IPsec] - [IPsec aktivieren] im Administratormodus von Web Connection (oder unter [Bedienerprogramm] - [Administrator] dieses Systems) und klicken Sie auf [OK].
Richten Sie unter [IPsec aktivieren] die folgenden Einstellungen ein.
Einstellung
Beschreibung
[IPsec]
Wenn IPsec verwendet wird, setzen Sie diese Option auf EIN (Standard: AUS).
[Dead-Peer-Detection]
Wenn innerhalb eines bestimmten Zeitraums keine Antwort vom Peer empfangen wird, wird die SA mit dem Peer gelöscht. Geben Sie an, nach welcher Wartezeit Bestätigungsinformationen an den nicht antwortenden Peer gesendet werden sollen (Standard: [15] Sek.).
[Cookies]
Legen Sie fest, ob der auf Cookies basierende Verteidigungsmechanismus gegen Denial-of-Service-Angriffe aktiviert werden soll (Standard: [Deaktivieren]).
[ICMP-Pass]
Legen Sie fest, ob IPsec auf das Internet Control Message Protocol (ICMP) angewandt werden soll (Standard: [Deaktivieren]). Wählen Sie [Aktivieren], wenn ICMP-Pakete zugelassen werden sollen, ohne dass IPsec auf das ICMP angewandt wird.
[ICMPv6-Pass-Einstellungen]
Legen Sie fest, ob IPsec auf das Internet Control Message Protocol für IPv6 (ICMPv6) angewandt werden soll (Standard: [Deaktivieren]). Wählen Sie [Aktivieren], wenn ICMPv6-Pakete zugelassen werden sollen, ohne dass IPsec auf das ICMPv6 angewandt wird.
[Standardaktion]
Legen Sie die durchzuführende Aktion fest, wenn bei aktivierter IPsec-Kommunikation keine Einstellungen die [IPsec-Richtlinie] erfüllen (Standard: [Zulassen]). Wählen Sie [Ablehnen], um IP-Pakete zu verwerfen, die die Anforderungen der [IPsec-Richtlinie] nicht erfüllen.
[Einstellung Zertifikatverifizierungsstufe]
Wenn Sie das Zertifikat überprüfen wollen, wählen Sie die zu prüfenden Elemente aus.
[Ablaufdatum]: Überprüfen Sie, ob das Zertifikat noch gültig ist (Standard: EIN).
[Schlüsselnutzung]: Damit wird überprüft, ob das Zertifikat entsprechend dem vorgesehenen, vom Zertifikataussteller genehmigten Zweck verwendet wird (Standard: AUS).
[Kette]: Damit wird überprüft, ob ein Problem bezüglich der Zertifikatkette (des Zertifikatpfads) besteht (Standard: AUS). Die Kette wird durch Verweis auf die auf diesem System verwalteten externen Zertifikate validiert.
[Ablaufdatum-Bestätigung]: Damit wird überprüft, ob das Zertifikat abgelaufen ist (Standard: AUS). Die Bestätigung des Ablaufdatums erfolgt in der Reihenfolge OCSP-Service (Online Certificate Status Protocol) und dann CRL (Certificate Revocation List).
Klicken Sie im Bereich [IPsec-Richtlinie] unter [IPsec aktivieren] auf [Registrierung] und richten Sie dann die folgenden Einstellungen ein.
Die IP-Paketbedingungen können so definiert werden, dass die IP-Pakete, die die Bedingungen erfüllen, übertragen werden dürfen.
Einstellung
Beschreibung
[IPsec-Richtlinie]
Legen Sie fest, ob die IPsec-Richtlinie verwendet werden soll (Standard: [AUS]).
[Name]
Geben Sie den Namen für die IPsec-Richtlinie ein (1 bis 10 Zeichen, außer ").
[Peer]
Wählen Sie eine Peer-Einstellung aus. Wählen Sie die gewünschte Einstellung aus den im Bereich [Peer] unter [IPsec-Einstellungen] registrierten Einstellungen aus.
[Protokolleinstellung]
Wählen Sie ein Protokoll. Wählen Sie die gewünschte Einstellung aus den im Bereich [Protokollspezifikationen] unter [IPsec-Einstellungen] registrierten Einstellungen aus.
[IPsec-Einstellungen]
Wählen Sie eine SA-Einstellung aus. Wählen Sie die gewünschte Einstellung aus den im Bereich [SA] unter [IPsec-Einstellungen] registrierten Einstellungen aus.
[Kommunikationsart]
Wählen Sie die Richtung der IPsec-Kommunikation.
[Aktion]
Wählen Sie den Vorgang für das IP-Paket aus, das die angegebenen Bedingungen erfüllt.
[Geschützt]: Schützt die IP-Pakete, die die Bedingungen erfüllen.
[Zulassen]: Schützt die IP-Pakete, die die Bedingungen erfüllen, nicht.
[Ablehnen]: Verwirft die IP-Pakete, die die Bedingungen erfüllen.
[Abbrechen]: Lehnt die IP-Pakete ab, die die Bedingungen erfüllen.
Wählen Sie [IPsec] - [Kommunikationsprüfung] und prüfen Sie dann, ob mit den angegebenen Einstellungen eine reguläre Verbindung mit einem Peer hergestellt werden kann.
Geben Sie die IP-Adresse des Peers unter [IP-Adresse] ein und klicken Sie dann auf [Verbindung prüfen].