Header überspringen
 

IPsec-Einstellungen

Die IPsec-Einstellungen für dieses Gerät können über den Web Image Monitor vorgenommen werden. Die folgende Tabelle erläutert die individuellen Einstelloptionen.

IPsec-Einstelloptionen

Einstellung

Beschreibung

Einstellwert

IPsec

Legen Sie fest, ob IPsec aktiviert oder deaktiviert werden soll.

  • Aktiv

  • Nicht aktiv

HTTPS-Kommunikation ausschließen

Legen Sie fest, ob IPsec für HTTPS-Übertragungen aktiviert werden soll.

  • Aktiv

  • Nicht aktiv

Geben Sie "Aktiv" an, wenn Sie IPsec nicht für die HTTPS-Übertragung verwenden wollen.

Die IPsec-Einstellung kann auch vom Bedienfeld aus konfiguriert werden.

Sicherheitsstufe für automatischen Austausch des Verschlüsselungscodes

Wenn Sie eine Sicherheitsstufe auswählen, werden bestimmte Sicherheitseinstellungen automatisch konfiguriert. Die folgende Tabelle erläutert diese Sicherheitsmerkmale.

Sicherheitsstufe

Sicherheitsmerkmale

Nur Authentifizierung

Wählen Sie diese Stufe, wenn Sie die Kommunikationspartner authentifizieren und Datenmanipulation verhindern, aber keine Datenpaketverschlüsselung vornehmen möchten.

Da die Daten im Klartext-Format versendet werden, sind die Datenpakete nicht abhörsicher. Wählen Sie diese Einstellung nicht, wenn Sie vertrauliche Informationen austauschen.

Authentifizierung und niedrige Verschlüsselung

Wählen Sie diese Stufe, wenn Sie die Datenpakete verschlüsseln, den Übertragungspartner authentifizieren und den unautorisierten, unbefugten Zugriff auf die Pakete verhindern möchten. Die Paketverschlüsselung hilft, Abhörangriffe zu verhindern. Diese Stufe bietet weniger Sicherheit als die Option "Authentifizierung und hohe Verschlüsselung".

Authentifizierung und hohe Verschlüsselung

Wählen Sie diese Stufe, wenn Sie die Datenpakete verschlüsseln, den Übertragungspartner authentifizieren und den unautorisierten, unbefugten Zugriff auf die Pakete verhindern möchten. Die Paketverschlüsselung hilft, Abhörangriffe zu verhindern. Diese Stufe bietet eine höhere Sicherheit als "Authentifizierung und niedrige Verschlüsselung".

Die folgende Tabelle listet die Einstellungen auf, die gemäß der Sicherheitsstufe automatisch konfiguriert werden.

Einstellung

Nur Authentifizierung

Authentifizierung und niedrige Verschlüsselung

Authentifizierung und hohe Verschlüsselung

Sicherheitsvereinbarung

Übernehmen

Übernehmen

Übernehmen

Verkapselungsmodus

Transport

Transport

Transport

IPsec-Anforderungslevel

Verwenden, wenn möglich

Verwenden, wenn möglich

Immer anfordern

Authentifizierungsmethode

PSK

PSK

PSK

Phase 1 Hash-Algorithmus

MD5

SHA1

SHA256

Phase 1 Verschlüsselungsalgorithmus

DES

3DES

AES-128-CBC

Phase 1 Diffie-Hellman Group

2

2

2

Phase 2 Sicherheitsprotokoll

AH

ESP

ESP

Phase 2 Authentifizierungsalgorithmus

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

Phase 2 Zulassungen des Verschlüsselungsalgorithmus

Klartext (NULL Verschlüsselung)

3DES/AES-128/AES-192/AES-256

AES-128/AES-192/AES-256

Phase 2 PFS

Nicht aktiv

Nicht aktiv

2

Einstellungselemente für den automatischen Austausch des Verschlüsselungscodes

Wenn Sie eine Sicherheitsstufe festlegen, werden die entsprechenden Sicherheitseinstellungen automatisch konfiguriert. Die anderen Einstellungen wie Adresstyp, lokale Adresse und Remote-Adresse müssen jedoch manuell konfiguriert werden.

Nachdem Sie eine Sicherheitsstufe festgelegt haben, können Sie die automatisch konfigurierten Einstellungen noch ändern. Wenn Sie eine automatisch konfigurierte Einstellung ändern, wechselt die Sicherheitsstufe automatisch in den Modus "Anwendereinstellung".

Einstellung

Beschreibung

Einstellwert

Adresstyp

Wählen Sie den Adresstyp, für den IPsec-Übertragung verwendet werden soll.

  • Nicht aktiv

  • IPv4

  • IPv6

  • IPv4/IPv6 (nur Standardeinstellungen)

Lokale Adresse

Geben Sie die Adresse des Geräts ein. Wenn Sie mehrere Adressen unter IPv6 verwenden, können Sie einen Adressbereich festlegen.

IPv4- oder IPv6-Adresse des Geräts.

Wenn Sie keinen Adressbereich spezifizieren, geben Sie 32 nach einer IPv4-Adresse oder 128 nach einer IPv6-Adresse ein.

Remote-Adresse

Geben Sie die Adresse des IPsec-Kommunikationspartners ein. Sie können auch einen Adressbereich festlegen.

IPv4- oder IPv6-Adresse des IPsec-Kommunikationspartners.

Wenn Sie keinen Adressbereich spezifizieren, geben Sie 32 nach einer IPv4-Adresse oder 128 nach einer IPv6-Adresse ein.

Sicherheitsvereinbarung

Legen Sie fest, wie IPsec gehandhabt wird.

  • Übernehmen

  • Umgehen

  • Verwerfen

Verkapselungsmodus

Legen Sie den Kapselungsmodus fest.

(Automatische Einstellung)

  • Transport

  • Tunnel

Wenn Sie "Tunnel" festlegen, müssen Sie den "Tunnel-Endpunkt" angeben, bei dem es sich um die Anfangs- und End-IP-Adressen handelt. Legen Sie die gleiche Adresse für den Anfangspunkt fest, die Sie unter "Lokale Adresse" eingestellt haben.

IPsec-Anforderungslevel

Legen Sie fest, ob die Übertragung ausschließlich mit IPsec erfolgen soll oder ob eine Klartext-Übertragung erfolgen darf, wenn IPsec nicht aufgebaut werden kann.

(Automatische Einstellung)

  • Verwenden, wenn möglich

  • Immer anfordern

Authentifizierungsmethode

Legen Sie das Verfahren zur Authentifizierung der Kommunikationspartner fest.

(Automatische Einstellung)

  • PSK

  • Zertifikat

Wenn Sie "PSK" auswählen, müssen Sie den PSK-Text eingeben (ASCII-Zeichen verwenden).

Wenn Sie "PSK" verwenden, legen Sie ein PSK-Passwort mit bis zu 32 ASCII-Zeichen fest.

Beachten Sie, dass das Zertifikat für IPsec, falls Sie "Zertifikat" auswählen, installiert und festgelegt sein muss, bevor Sie es verwenden können.

PSK Text

Geben Sie den Pre-shared-Schlüssel für

PSK-Authentifizierung an.

Geben Sie den Pre-shared-Schlüssel ein, der für die PSK-Authentifizierung erforderlich ist.

Phase 1

Hash-Algorithmus

Geben Sie den Hash-Algorithmus an, der in Phase 1 verwendet werden soll.

(Automatische Einstellung)

  • MD5

  • SHA1

  • SHA256

  • SHA384

  • SHA512

Phase 1

Verschlüsselungsalgorithmus

Legen Sie den in der Phase 1 zu verwendenden Verschlüsselungsalgorithmus fest.

(Automatische Einstellung)

  • DES

  • 3DES

  • AES-128-CBC

  • AES-192-CBC

  • AES-256-CBC

Phase 1

Diffie-Hellman Group

Wählen Sie die Nummer der Diffie-Hellman-Gruppe, die für die Schlüsselgenerierung für die IKE-Verschlüsselung verwendet wird.

(Automatische Einstellung)

  • 1

  • 2

  • 14

Phase 1

Gültigkeitszeitraum

Legen Sie die Zeitperiode fest, für die SA-Einstellungen in der Phase 1 gültig sind.

Geben Sie die Zeit in Sekunden zwischen 300 s (5 min) und 172.800 s (48 Std.) ein.

Phase 2

Sicherheitsprotokoll

Legen Sie das Sicherheitsprotokoll fest, das in der Phase 2 verwendet werden soll.

Um sowohl Verschlüsselung als auch Authentifizierung auf die gesendeten Daten anzuwenden, geben Sie ESP oder ESP+AH an.

Um nur Authentifizierung anzuwenden, geben Sie "AH" an.

(Automatische Einstellung)

  • ESP

  • AH

  • ESP+AH

Phase 2

Authentifizierungsalgorithmus

Legen Sie den in der Phase 2 zu verwendenden Authentifizierungsalgorithmus fest.

(Automatische Einstellung)

  • HMAC-MD5-96

  • HMAC-SHA1-96

  • HMAC-SHA256-128

  • HMAC-SHA384-192

  • HMAC-SHA512-256

Phase 2

Zulassungen des Verschlüsselungsalgorithmus

Legen Sie den in der Phase 2 zu verwendenden Verschlüsselungsalgorithmus fest.

(Automatische Einstellung)

  • Klartext (NULL Verschlüsselung)

  • DES

  • 3DES

  • AES-128

  • AES-192

  • AES-256

Phase 2

PFS

Legen Sie fest, ob PFS aktiviert werden soll. Wählen Sie anschließend, falls PFS aktiviert ist, die Diffie-Hellman-Gruppe.

(Automatische Einstellung)

  • Nicht aktiv

  • 1

  • 2

  • 14

Phase 2

Gültigkeitszeitraum

Legen Sie die Zeitperiode fest, für die SA-Einstellungen in der Phase 2 gültig sind.

Geben Sie die Zeit (in Sekunden) zwischen 300 s (5 min) und 172.800 s (48 Std.) ein.