IPsec-Einstellungen
Die IPsec-Einstellungen für dieses Gerät können über den Web Image Monitor vorgenommen werden. Die folgende Tabelle erläutert die individuellen Einstelloptionen.
IPsec-Einstelloptionen
Einstellung
Beschreibung
Einstellwert
IPsec
Legen Sie fest, ob IPsec aktiviert oder deaktiviert werden soll.
Aktiv
Nicht aktiv
HTTPS-Kommunikation ausschließen
Legen Sie fest, ob IPsec für HTTPS-Übertragungen aktiviert werden soll.
Aktiv
Nicht aktiv
Geben Sie „Aktiv“ an, wenn Sie IPsec nicht für die HTTPS-Übertragung verwenden wollen.
Die IPsec-Einstellung kann auch vom Bedienfeld aus konfiguriert werden.
Sicherheitsstufe für automatischen Austausch des Verschlüsselungscodes
Wenn Sie eine Sicherheitsstufe auswählen, werden bestimmte Sicherheitseinstellungen automatisch konfiguriert. Die folgende Tabelle erläutert diese Sicherheitsmerkmale.
Sicherheitsstufe
Sicherheitsmerkmale
Nur Authentifizierung
Wählen Sie diese Stufe, wenn Sie die Kommunikationspartner authentifizieren und Datenmanipulation verhindern, aber keine Datenpaketverschlüsselung vornehmen möchten.
Da die Daten im Klartext-Format versendet werden, sind die Datenpakete nicht abhörsicher. Wählen Sie diese Einstellung nicht, wenn Sie vertrauliche Informationen austauschen.
Authentifizierung und niedrige Verschlüsselung
Wählen Sie diese Stufe, wenn Sie die Datenpakete verschlüsseln, den Übertragungspartner authentifizieren und den unautorisierten, unbefugten Zugriff auf die Pakete verhindern möchten. Die Paketverschlüsselung hilft, Abhörangriffe zu verhindern. Diese Stufe bietet weniger Sicherheit als „Authentifizierung und hohe Verschlüsselung“.
Authentifizierung und hohe Verschlüsselung
Wählen Sie diese Stufe, wenn Sie die Datenpakete verschlüsseln, den Übertragungspartner authentifizieren und den unautorisierten, unbefugten Zugriff auf die Pakete verhindern möchten. Die Paketverschlüsselung hilft, Abhörangriffe zu verhindern. Diese Stufe bietet höhere Sicherheit als „Authentifizierung und niedrige Verschlüsselung“.
Die folgende Tabelle listet die Einstellungen auf, die gemäß der Sicherheitsstufe automatisch konfiguriert werden.
Einstellung
Nur Authentifizierung
Authentifizierung und niedrige Verschlüsselung
Authentifizierung und hohe Verschlüsselung
Sicherheitsvereinbarung
Übernehmen
Übernehmen
Übernehmen
Verkapselungsmodus
Transport
Transport
Transport
IPsec-Anforderungslevel
Verwenden, wenn möglich
Verwenden, wenn möglich
Immer anfordern
Authentifizierungsverfahren
PSK
PSK
PSK
Phase 1 Hash-Algorithmus
MD5
SHA1
SHA256
Phase 1 Verschlüsselungsalgorithmus
DES
3DES
AES-128-CBC
Phase 1 Diffie-Hellman Group
2
2
2
Phase 2 Sicherheitsprotokoll
AH
ESP
ESP
Phase 2 Authentifizierungsalgorithmus
HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256
HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256
HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256
Phase 2 Zulassungen des Verschlüsselungsalgorithmus
Klartext (NULL-Verschlüsselung)
3DES/AES-128/AES-192/AES-256
AES-128/AES-192/AES-256
Phase 2 PFS
Nicht aktiv
Nicht aktiv
2
Einstellungselemente für den automatischen Austausch des Verschlüsselungscodes
Wenn Sie eine Sicherheitsstufe festlegen, werden die entsprechenden Sicherheitseinstellungen automatisch konfiguriert. Die anderen Einstellungen wie Adresstyp, lokale Adresse und Remote-Adresse müssen jedoch manuell konfiguriert werden.
Nachdem Sie eine Sicherheitsstufe festgelegt haben, können Sie die automatisch konfigurierten Einstellungen noch ändern. Wenn Sie eine automatisch konfigurierte Einstellung ändern, wechselt die Sicherheitsstufe automatisch in den Modus „Anwendereinstellungen“.
Einstellung
Beschreibung
Einstellwert
Adresstyp
Wählen Sie den Adresstyp, für den IPsec-Übertragung verwendet werden soll.
Nicht aktiv
IPv4
IPv6
IPv4/IPv6 (nur Standardeinstellungen)
Lokale Adresse
Geben Sie die Adresse des Geräts ein. Wenn Sie mehrere Adressen unter IPv6 verwenden, können Sie einen Adressbereich festlegen.
IPv4- oder IPv6-Adresse des Geräts.
Wenn Sie keinen Adressbereich spezifizieren, geben Sie 32 nach einer IPv4-Adresse oder 128 nach einer IPv6-Adresse ein.
Remote-Adresse
Geben Sie die Adresse des IPsec-Kommunikationspartners ein. Sie können auch einen Adressbereich festlegen.
IPv4- oder IPv6-Adresse des IPsec-Kommunikationspartners.
Wenn Sie keinen Adressbereich spezifizieren, geben Sie 32 nach einer IPv4-Adresse oder 128 nach einer IPv6-Adresse ein.
Sicherheitsvereinbarung
Legen Sie fest, wie IPsec gehandhabt wird.
Übernehmen
Umgehen
Verwerfen
Verkapselungsmodus
Legen Sie den Kapselungsmodus fest.
(Automatische Einstellung)
Transport
Tunnel
Wenn Sie „Tunnel“ festlegen, müssen Sie den „Tunnel-Endpunkt“ angeben, bei dem es sich um die Anfangs- und End-IP-Adressen handelt. Legen Sie die gleiche Adresse für den Anfangspunkt fest, die Sie unter „Lokale Adresse“ eingestellt haben.
IPsec-Anforderungslevel
Legen Sie fest, ob die Übertragung ausschließlich mit IPsec erfolgen soll oder ob eine Klartext-Übertragung erfolgen darf, wenn IPsec nicht aufgebaut werden kann.
(Automatische Einstellung)
Verwenden, wenn möglich
Immer anfordern
Authentifizierungsverfahren
Legen Sie das Verfahren zur Authentifizierung der Kommunikationspartner fest.
(Automatische Einstellung)
PSK
Zertifikat
Wenn Sie „PSK“ auswählen, müssen Sie den PSK-Text eingeben (ASCII-Zeichen verwenden).
Wenn Sie „PSK“ verwenden, legen Sie ein PSK-Passwort mit bis zu 32 ASCII-Zeichen fest.
Beachten Sie, dass das Zertifikat für IPsec, falls Sie „Zertifikat“ auswählen, installiert und festgelegt sein muss, bevor Sie es verwenden können.
PSK-Text
Geben Sie den Pre-shared-Schlüssel für
PSK-Authentifizierung an.
Geben Sie den Pre-shared-Schlüssel ein, der für die PSK-Authentifizierung erforderlich ist.
Remote-ID
Geben Sie die Remote-ID für die Zertifikatsauthentifizierung an.
Wenn Sie Zertifikat als Authentifizierungsmethode auswählen, geben Sie die DN (Distinguished Names) als Betreff ein, welche die sendende/empfangende Partei angibt.
Sie können den DN (Distinguished Names) des Betreffs mit bis zu 191 ASCII-Zeichen eingeben.Phase 1
Hash-Algorithmus
Geben Sie den Hash-Algorithmus an, der in Phase 1 verwendet werden soll.
(Automatische Einstellung)
MD5
SHA1
SHA256
SHA384
SHA512
Phase 1
Verschlüsselungsalgorithmus
Legen Sie den in der Phase 1 zu verwendenden Verschlüsselungsalgorithmus fest.
(Automatische Einstellung)
DES
3DES
AES-128-CBC
AES-192-CBC
AES-256-CBC
Phase 1
Diffie-Hellman Group
Wählen Sie die Nummer der Diffie-Hellman-Gruppe, die für die Schlüsselgenerierung für die IKE-Verschlüsselung verwendet wird.
(Automatische Einstellung)
1
2
14
Phase 1
Gültigkeitszeitraum
Legen Sie die Zeitperiode fest, für die SA-Einstellungen in der Phase 1 gültig sind.
Geben Sie die Zeit in Sekunden zwischen 300 s (5 min) und 172.800 s (48 Std.) ein.
Phase 2
Sicherheitsprotokoll
Legen Sie das Sicherheitsprotokoll fest, das in der Phase 2 verwendet werden soll.
Um sowohl Verschlüsselung als auch Authentifizierung auf gesendete Daten anzuwenden, geben Sie „ESP“ oder „ESP+AH“ an.
Um nur Authentifizierung anzuwenden, geben Sie „AH“ an.
(Automatische Einstellung)
ESP
AH
ESP+AH
Phase 2
Authentifizierungsalgorithmus
Legen Sie den in der Phase 2 zu verwendenden Authentifizierungsalgorithmus fest.
(Automatische Einstellung)
HMAC-MD5-96
HMAC-SHA1-96
HMAC-SHA256-128
HMAC-SHA384-192
HMAC-SHA512-256
Phase 2
Zulassungen des Verschlüsselungsalgorithmus
Legen Sie den in der Phase 2 zu verwendenden Verschlüsselungsalgorithmus fest.
(Automatische Einstellung)
Klartext (NULL-Verschlüsselung)
DES
3DES
AES-128
AES-192
AES-256
Phase 2
PFS
Legen Sie fest, ob PFS aktiviert werden soll. Wählen Sie anschließend, falls PFS aktiviert ist, die Diffie-Hellman-Gruppe.
(Automatische Einstellung)
Nicht aktiv
1
2
14
Phase 2
Gültigkeitszeitraum
Legen Sie die Zeitperiode fest, für die SA-Einstellungen in der Phase 2 gültig sind.
Geben Sie die Zeit (in Sekunden) zwischen 300 s (5 min) und 172.800 s (48 Std.) ein.