Verwenden der IPsec-Kommunikation
Richten Sie die Einstellung ein, wenn in Ihrer Umgebung IPsec erforderlich ist.
Die IPsec-Technologie verhindert mit leistungsfähigen Verschlüsselungstechnologien die Fälschung oder Freigabe von Daten in der IP-Paketbasis. Da IPsec Daten in der Vermittlungsschicht verschlüsselt, ist sichere Kommunikation selbst dann gewährleistet, wenn Sie in einer höheren Ebene Protokolle oder Anwendungen verwenden, die keine Verschlüsselung unterstützen.
Wählen Sie im Administratormodus [Netzwerk] - [TCP/IP] - [IPsec] - [IPsec-Einstellungen] und klicken Sie dann auf [OK].
Klicken Sie auf [Bearbeiten] im Bereich [IKEv1] oder [IKEv2] unter [IPsec-Einstellungen] und richten Sie dann die folgenden Einstellungen ein.
Einstellungen
Beschreibung
[Verschlüsselungsalgorithmus]
Wählen Sie den Verschlüsselungsalgorithmus für die Generierung eines allgemeinen Schlüssels für die Kommunikation.
[Authentifizierungsalgorithmus]
Wählen Sie den Authentifizierungsalgorithmus für die Generierung eines allgemeinen Schlüssels für die Kommunikation.
[Gültigkeitsdauer für Chiffrierschlüssel]
Geben Sie die Gültigkeitsdauer eines allgemeinen Schlüssels für die sichere Generierung eines allgemeinen Schlüssel ein, der für die Verschlüsselung der Kommunikation verwendet wird.
Nach Ablauf dieser Dauer wird ein neuer Schlüssel erstellt. Dadurch kann die Übertragung geschützt werden.
[Diffie-Hellman-Gruppe]
Wählen Sie die Diffie-Hellman-Gruppe aus.
[Verhandlungsmodus]
Wählen Sie die Methode für die sichere Generierung eines allgemeinen Schlüssels, der für die Verschlüsselung der Kommunikation verwendet wird.
Klicken Sie im Bereich [SA] unter [IPsec-Einstellungen] auf [Erstellzeit] und registrieren Sie die Sicherheitszuordnung (SA).
Bis zu 10 Gruppen können für die SA registriert werden.
Einstellungen
Beschreibung
[Name]
Geben Sie den SA-Namen ein (1 bis 10 Zeichen, außer ").
[Kapselungsmodus]
Wählen Sie einen IPsec-Betriebsmodus aus.
[Sicherheitsprotokoll]
Wählen Sie ein Sicherheitsprotokoll aus.
[Methode für den Schlüsselaustausch]
Wählen Sie die Methode für den Schlüsselaustausch, um die sichere Generierung eines allgemeinen Schlüssels für die Verschlüsselung der Kommunikation zu gewährleisten.
[Tunnelendpunkt]
Geben Sie die IP-Adresse des IPsec-Gateways des Peers ein.
Dieser Schritt ist erforderlich, wenn unter [Kapselungsmodus] die Option [Tunnel] ausgewählt ist.
[Lebensdauer nach SA]
Geben Sie die Lebensdauer eines allgemeinen Schlüssels ein, der für die Verschlüsselung der Kommunikation verwendet wird.
[IKE-Einstellungen]
Richten Sie die für diese SA verwendeten IKE-Einstellungen ein.
Dieser Schritt ist erforderlich, wenn unter Methode für den [Schlüsselaustausch] die Option [IKEv1] oder [IKEv2] ausgewählt ist.
[Authentifiz.methode]
Wählen Sie ein Authentifizierungsverfahren aus.
[Lokale Authentifiz.methode]
Wählen Sie die Authentifizierungsmethode dieses Systems, wenn [IKEv2] unter Methode für den [Schlüsselaustausch] ausgewählt ist.
[Peer-Authentifiz.methode]
Wählen Sie die Peer-Authentifizierungsmethode, wenn [IKEv2] unter Methode für den [Schlüsselaustausch] ausgewählt ist.
[ESP-Verschlüsselungsalgorithmus]
Wenn Sie [ESP] als [Sicherheitsprotokoll] auswählen, legen Sie den ESP-Verschlüsselungsalgorithmus fest.
[ESP-Authentifizierungsalgorithmus]
Wenn Sie [ESP] als [Sicherheitsprotokoll] auswählen, legen Sie den ESP-Authentifizierungsalgorithmus fest.
[AH-Authentifizierungsalgorithmus]
Wenn Sie [AH] als [Sicherheitsprotokoll] auswählen, legen Sie den AH-Authentifizierungsalgorithmus fest.
[Verschlüsselung für die Weiterleitung]
Aktivieren Sie dieses Kontrollkästchen, wenn Sie die IKE-Stärke erhöhen möchten.
Wenn dieses Kontrollkästchen aktiviert wird, verlängert sich die Übertragungszeit.
[Diffie-Hellman-Gruppe(IKEv1)]/[Diffie-Hellman-Gruppe(IKEv2)]
Wählen Sie die Diffie-Hellman-Gruppe aus.
[Manuelle Schlüsseleinstellungen]
Wenn ein Gerät genutzt wird, das den automatischen Schlüsselaustausch mit IKE nicht unterstützt, richten Sie die Parameter manuell ein.
Dieser Schritt ist erforderlich, wenn unter Methode für den [Schlüsselaustausch] die Option [Manueller Schlüssel] ausgewählt ist.
[Verschlüsselungsalgorithmus]
Wählen Sie den für die Verschlüsselung zu verwendenden Algorithmus aus.
[Authentifizierungsalgorithmus]
Wählen Sie den für die Authentifizierung zu verwendenden Algorithmus aus.
[SA-Index]
Geben Sie den SA-Sicherheitsparameterindex an, der zum IPsec-Header hinzugefügt werden soll.
[Verschlüsselung mit Allgemeinem Schlüssel]
Geben Sie den allgemeinen Schlüssel an, der für die Verschlüsselung verwendet wird.
Sie können unterschiedliche allgemeine Schlüssel für den Versand und den Empfang angeben.
[Authentifizierung mit Allgemeinem Schlüssel]
Geben Sie den allgemeinen Schlüssel an, der für die Authentifizierung verwendet wird.
Sie können unterschiedliche allgemeine Schlüssel für den Versand und den Empfang angeben.
Klicken Sie im Bereich [Peer] unter [IPsec-Einstellungen] auf [Erstellzeit] und registrieren Sie Peers dieses Systems.
Maximal 10 Peers können registriert werden.
Einstellungen
Beschreibung
[Name]
Geben Sie den Peer-Namen ein (1 bis 10 Zeichen, außer ").
[IP-Adresse festlegen]
Geben Sie die IP-Adresse des Peer ein.
[Pre-Shared-Schlüssel]
Geben Sie den Text des Pre-Shared-Schlüssels ein, der mit dem Peer ausgetauscht werden soll.
[ASCII]: Geben Sie den Text des Pre-Shared-Schlüssels mit ASCII-Zeichen ein (max. 128).
[HEX]: Geben Sie den Text des Pre-Shared-Schlüssels mit hexadezimalen Zeichen ein (max. 256).
Geben Sie denselben Text wie für den Peer an.
[Text für Schlüssel-ID]
Geben Sie die Schlüssel-ID ein, die für den Pre-Shared-Schlüssel angegeben wird (max. 128 Zeichen).
Klicken Sie im Bereich [Protokollspezifikationen] unter [IPsec-Einstellungen] auf [Erstellzeit] und geben Sie das für IPsec-Übertragungen verwendete Protokoll ein.
Bis zu 10 Protokolle können angegeben werden.
Einstellungen
Beschreibung
[Name]
Geben Sie den Protokollnamen ein (1 bis 10 Zeichen, außer ").
[Einstellungen für die Protokollidentifizierung]
Wählen Sie ein für die IPsec-Kommunikation verwendetes Protokoll aus.
[Portnummer]
Wenn [TCP] oder [UDP] in [Einstellungen für die Protokollidentifizierung] ausgewählt wurde, geben Sie die Portnummer für die IPsec-Kommunikation an.
[ICMP-Meldungstyp]
Wählen Sie den ICMP-Meldungstyp, wenn in den [Einstellungen für die Protokollidentifizierung] die Option [ICMP] ausgewählt ist.
[Echoanford./Antw.]: Geben Sie eine ICMP-Nachricht für die Echoanforderung oder die entsprechende Antwort ein.
[Ohne]: Der ICMP-Meldungstyp wird nicht angegeben.
[ICMPv6-Meldungstyp]
Wählen Sie den ICMP-Meldungstyp, wenn in den [IEinstellungen für die Protokollidentifizierung] die Option [ICMPv6] ausgewählt ist.
[Echoanford./Antw.]: Geben Sie eine ICMP-Nachricht für die Echoanforderung oder die entsprechende Antwort ein.
[Ohne]: Der ICMP-Meldungstyp wird nicht angegeben.
Wählen Sie im Administratormodus [Netzwerk] - [TCP/IP] - [IPsec] - [Einstellungen für die IPsec-Verwendung] und klicken Sie dann auf [OK].
Richten Sie unter [Einstellungen für die IPsec-Verwendung] die folgenden Einstellungen ein.
Einstellungen
Beschreibung
[IPsec]
Wählen Sie [EIN], um IPsec zu verwenden.
[Dead Peer Detection]
Wenn innerhalb eines bestimmten Zeitraums keine Antwort vom Peer empfangen wird, wird die SA mit dem Peer gelöscht.
Geben Sie an, nach welcher Wartezeit Bestätigungsinformationen an den nicht antwortenden Peer gesendet werden sollen.
[Cookies]
Legen Sie fest, ob der auf Cookies basierende Verteidigungsmechanismus gegen Denial-of-Service-Angriffe aktiviert werden soll.
[ICMP-Passeinstellungen]
Legen Sie fest, ob IPsec auf das Internet Control Message Protocol (ICMP) angewandt werden soll.
Wählen Sie [Aktivieren], wenn ICMP-Pakete zugelassen werden sollen, ohne dass IPsec auf das ICMP angewandt wird.
[ICMPv6-Pass-Einstellungen]
Legen Sie fest, ob IPsec auf das Internet Control Message Protocol for IPv6 (ICMPv6) angewandt werden soll.
Wählen Sie [Aktivieren], wenn ICMPv6-Pakete zugelassen werden sollen, ohne dass IPsec auf das ICMPv6 angewandt wird.
[Standardaktion]
Legen Sie die Aktion fest, die ausgeführt werden soll, wenn bei aktivierter IPsec-Übertragung keine Einstellungen die [IPsec-Richtlinie] erfüllen.
Wählen Sie [Ablehnen], um IP-Pakete zu verwerfen, die die Anforderungen der [IPsec-Richtlinie] nicht erfüllen.
[Zertifikatverifizierungseinstellungen]
Wenn Sie das Zertifikat überprüfen wollen, wählen Sie die zu prüfenden Elemente aus.
Wenn Sie bei den einzelnen Elementen [Bestätigen] auswählen, wird das Zertifikat für die entsprechenden Elemente überprüft.
[Gültigkeitsdauer]
Prüfen Sie, ob das Zertifikat noch gültig ist.
[Bestätigen] ist standardmäßig angegeben.
[Schlüsselnutzung]
Prüfen Sie, ob das Zertifikat gemäß dem vom Zertifikatsaussteller genehmigten Zweck verwendet wird.
[Nicht bestätigen] ist standardmäßig angegeben.
[Kette]
Prüfen Sie, ob in der Zertifikatskette (Zertifikatspfad) ein Problem besteht.
Die Kette wird durch Verweis auf die auf diesem System verwalteten externen Zertifikate validiert.
[Nicht bestätigen] ist standardmäßig angegeben.
[Ablaufdatum Bestätigung]
Prüfen Sie, ob das Zertifikat abgelaufen ist.
Prüfen Sie in der folgenden Reihenfolge auf Ablauf des Zertifikats.
OCSP-Service (Online Certificate Status Protocol)
Zertifikatswiderrufliste
[Nicht bestätigen] ist standardmäßig angegeben.
Klicken Sie im Bereich [IPsec-Richtlinie] unter Einstellungen für die [IPsec-Verwendung] auf [Erstellzeit] und richten Sie dann die folgenden Einstellungen ein.
Die IP-Paketbedingungen können so definiert werden, dass die IP-Pakete, die die Bedingungen erfüllen, übertragen werden dürfen.
Einstellungen
Beschreibung
[Name]
Geben Sie den Namen für die IPsec-Richtlinie ein (1 bis 10 Zeichen, außer ").
[Peer]
Wählen Sie eine Peereinstellung aus.
Wählen Sie die gewünschte Einstellung aus den im Bereich [Peer] unter [IPsec-Einstellungen] registrierten Einstellungen aus.
[Protokollspezifikationen]
Wählen Sie ein Protokoll.
Wählen Sie die gewünschte Einstellung aus den im Bereich [Protokollspezifikationen] unter [IPsec-Einstellungen] registrierten Einstellungen aus.
[IPsec-Einstellungen]
Wählen Sie eine Peereinstellung aus.
Wählen Sie die gewünschte Einstellung aus den im Bereich [SA] unter [IPsec-Einstellungen] registrierten Einstellungen aus.
[Kommunikationsrichtung]
Wählen Sie die Richtung der IPsec-Kommunikation.
[Verwendungsart]
Wählen Sie eine Aktion, die für die IP-Pakete ausgeführt werden soll, die den Einstellungen für [Peer], [Protokollspezifikationen] und [Kommunikationsrichtung] entsprechen.
[Geschützt]: Schützt die IP-Pakete, die die Bedingungen erfüllen.
[Zulassen]: Schützt die IP-Pakete, die die Bedingungen erfüllen, nicht.
[Ablehnen]: Verwirft die IP-Pakete, die die Bedingungen erfüllen.
[Abbrechen]: Lehnt die IP-Pakete ab, die die Bedingungen erfüllen.
Wählen Sie im Administratormodus [Netzwerk] - [TCP/IP] - [IPsec] - [Kommunikationsprüfung] und prüfen Sie dann, ob mit den angegebenen Einstellungen eine reguläre Verbindung mit einem Peer hergestellt werden kann.
Geben Sie die IP-Adresse des Peers unter [IP-Adresse] ein und klicken Sie dann auf [Verbindung prüfen].