Geben Sie einen eindeutigen Namen für die IPsec-Richtlinie ein.

Geben Sie eine Beschreibung für die IPsec-Richtlinie ein.

Aktivieren Sie die Schlüsselerneuerung, um die Aushandlung automatisch vor Schlüsselablauf zu starten. Der Prozess startet automatisch zu dem festgelegten Zeitpunkt im Zeitrahmen für die Schlüsselerneuerung.

Sofern aktiviert, kann der Aushandlungsprozess durch den lokalen oder entfernten Peer eingeleitet werden. Je nach PFS-Einstellung wird für den Aushandlungsprozess derselbe Schlüssel verwendet oder ein neuer Schlüssel generiert.

Geben Sie die maximale Anzahl an zulässigen Schlüsselaushandlungsversuchen an. Geben Sie für unbegrenzte Aushandlungsversuche 0 ein.

Wählen Sie einen Authentifizierungsmodus. Es dient dem Austausch von Authentifizierungsinformationen.

Verfügbare Optionen:

Je nach Authentifizierungsmodus werden die Phase 1-Einstellungen für die Authentifizierungszwecke ausgetauscht.

Im Hauptmodus werden die Phase 1-Einstellungen in mehreren Runden mit verschlüsselten Informationen ausgetauscht, während im aggressiven Modus die Phase 1-Einstellungen in einer einzelnen Nachricht ohne verschlüsselte Informationen ausgetauscht werden.

Aktivieren Sie diese Option, um Daten in komprimiertem Format zu übergeben und dadurch den Durchsatz zu erhöhen.

Wählen Sie den Verschlüsselungsalgorithmus aus, der von den kommunizierenden Parteien für die Integrität der ausgetauschten Daten für Phase 1 verwendet werden soll.

Unterstützte Verschlüsselungsalgorithmen: DES, 3DES, AES128, AES192, AES256, TwoFish, BlowFish und Serpent.

3DES – Triple-DES ist ein symmetrischer, starker Verschlüsselungsalgorithmus, der mit dem OpenPGP-Standard kompatibel ist. Beim DES-Standard werden zur Erhöhung der Sicherheit drei Schlüssel hintereinander verwendet.

AES – Advanced Encryption Standard bietet den höchsten Sicherheitsstandard. Die effektive Schlüssellänge bei AES kann 128, 192 und 256 Bit betragen. Dieses Sicherheitssystem unterstützt eine Vielzahl von Verschlüsselungsalgorithmen.

Serpent – Serpent ist ein 128-Bit-Blockcode, d. h. die Daten werden in 128-Bit-Blöcken mit einer variablen Länge von 128, 192 oder 256 Bit verschlüsselt und entschlüsselt. Der Serpent-Algorithmus besteht aus 32 Runden oder Wiederholungen des Hauptalgorithmus.

Serpent ist schneller als DES und sicherer als Triple-DES.

BlowFish – BlowFish ist ein symmetrischer Verschlüsselungsalgorithmus, der zur Verschlüsselung und Entschlüsselung von Nachrichten denselben geheimen Schlüssel verwendet. Es handelt sich hierbei ebenfalls um einen Blockcode, der eine Nachricht bei der Verschlüsselung und Entschlüsselung in Blöcke fester Länge aufteilt. Er weist eine 64-Bit-Blockgröße und eine Schlüssellänge von 32 bis 448 Bit auf und besteht aus 16 Hauptalgorithmus-Runden.

TwoFish – TwoFish ist ein symmetrischer Schlüssel-Blockcode mit einer Blockgröße von 128 Bit und einer Schlüsselgröße bis 256 Bit.

Wählen Sie einen Authentifizierungsalgorithmus aus, der von den kommunizierenden Parteien für die Integrität der ausgetauschten Daten für Phase 1 verwendet werden soll.

Unterstützte Authentifizierungsalgorithmen: MD5, SHA1

Es können höchstens drei Kombinationen von Verschlüsselungs- und Authentifizierungsalgorithmus ausgewählt werden. Der entfernte Peer muss so konfiguriert werden, dass mindestens eine der festgelegten Kombinationen verwendet wird.

Standard: MD5

Wählen Sie eine Diffie-Hellman-Gruppe von 1, 2, 5, 14, 15 oder 16 aus. Die DH-Gruppe gibt die für die Verschlüsselung verwendete Schlüssellänge vor.

Der entfernte Peer muss so konfiguriert werden, dass dieselbe Gruppe verwendet wird. Wenn auf den Peers nicht übereinstimmende Gruppen spezifiziert sind, scheitert die Aushandlung.

Geben Sie die Schlüssel-Lebensdauer in Sekunden an. Die Schlüssel-Lebensdauer beschreibt die zulässige Zeit bis zum Schlüsselablauf.

Standard: 3600 Sekunden

Legen Sie die Schlüsselerneuerung fest. Legen Sie den Zeitpunkt für die Schlüsselerneuerung unter Berücksichtigung der verbleibenden Schlüssel-Lebensdauer fest. Die Zeit bis zur Schlüsselerneuerung markiert den Zeitpunkt, zu welchem der Aushandlungsprozess automatisch startet, ohne die Kommunikation vor Ablauf des Schlüssels zu unterbrechen.

Wenn die Schlüssel-Lebensdauer beispielsweise 8 Stunden beträgt und für die Schlüsselerneuerung ein Zeitrahmen von 10 Minuten zur Verfügung steht, beginnt der Aushandlungsprozess automatisch nach 7 Stunden und 50 Minuten Schlüsselnutzung.

Standard: 120 Sekunden

Legen Sie den Wert für die „Zeit bis zur Schlüsselerneuerung variieren“ fest.

Wenn die Schlüssel-Lebensdauer beispielsweise 8 Stunden beträgt, für die Schlüsselerneuerung ein Zeitrahmen von 10 Minuten zur Verfügung steht und der Wert für die „Zeit bis zur Schlüsselerneuerung variieren“ 20 % lautet, beträgt die Zeit bis zur Schlüsselerneuerung 8 bis 12 Minuten und der Aushandlungsprozess beginnt automatisch 8 Minuten vor Schlüsselablauf bis 2 Minuten nach Schlüsselablauf.

Standard: 0%

Aktivieren Sie diese Option, um in regelmäßigen Abständen zu prüfen, ob der Peer aktiv ist oder nicht.

Standard: Aktiviert

Geben Sie an, nach welcher Zeit der Status des Peers überprüft werden soll. Sobald die Verbindung hergestellt ist, prüft der Peer, der die Verbindung initiiert hat, ob ein weiterer Peer aktiv ist oder nicht.

Standard: 30 Sekunden

Legen Sie fest, wie lange (in Sekunden) der initiierte Peer auf die Statusantwort warten soll. Wenn nicht innerhalb der festgelegten Zeit eine Antwort empfangen wird, wird der Peer als inaktiv betrachtet.

Standard: 120 Sekunden

Legen Sie fest, welche Aktion ausgeführt werden soll, wenn der Peer nicht aktiv ist.

Standard: Verbindung trennen

Wählen Sie den Verschlüsselungsalgorithmus aus, der von den kommunizierenden Parteien für die Integrität der ausgetauschten Daten für Phase 2 verwendet werden soll.

Unterstützte Verschlüsselungsalgorithmen: DES, 3DES, AES128, AES192, AES256, TwoFish, BlowFish und Serpent.

3DES – Triple-DES ist ein symmetrischer, starker Verschlüsselungsalgorithmus, der mit dem OpenPGP-Standard kompatibel ist. Beim DES-Standard werden zur Erhöhung der Sicherheit drei Schlüssel hintereinander verwendet.

AES – Advanced Encryption Standard bietet den höchsten Sicherheitsstandard. Die effektive Schlüssellänge bei AES kann 128, 192 und 256 Bit betragen. Dieses Sicherheitssystem unterstützt eine Vielzahl von Verschlüsselungsalgorithmen.

Serpent – Serpent ist ein 128-Bit-Blockcode, d. h. die Daten werden in 128-Bit-Blöcken mit einer variablen Länge von 128, 192 oder 256 Bit verschlüsselt und entschlüsselt. Der Serpent-Algorithmus besteht aus 32 Runden oder Wiederholungen des Hauptalgorithmus.

Serpent ist schneller als DES und sicherer als Triple-DES.

BlowFish – BlowFish ist ein symmetrischer Verschlüsselungsalgorithmus, der zur Verschlüsselung und Entschlüsselung von Nachrichten denselben geheimen Schlüssel verwendet. Es handelt sich hierbei ebenfalls um einen Blockcode, der eine Nachricht bei der Verschlüsselung und Entschlüsselung in Blöcke fester Länge aufteilt. Er weist eine 64-Bit-Blockgröße und eine Schlüssellänge von 32 bis 448 Bit auf und besteht aus 16 Hauptalgorithmus-Runden.

TwoFish – TwoFish ist ein symmetrischer Schlüssel-Blockcode mit einer Blockgröße von 128 Bit und einer Schlüsselgröße bis 256 Bit.

Wählen Sie einen Authentifizierungsalgorithmus aus, der von den kommunizierenden Parteien für die Integrität der ausgetauschten Daten für Phase 2 verwendet werden soll.

Unterstützte Authentifizierungsalgorithmen: MD5, SHA1

Es können höchstens drei Kombinationen von Verschlüsselungs- und Authentifizierungsalgorithmus ausgewählt werden. Der entfernte Peer muss so konfiguriert werden, dass mindestens eine der festgelegten Kombinationen verwendet wird.

Standard: MD5

Wählen Sie eine Diffie-Hellman-Gruppe von 1, 2, 5, 14, 15 oder 16 aus. Die DH-Gruppe gibt die für die Verschlüsselung verwendete Schlüssellänge vor.

Der entfernte Peer muss so konfiguriert werden, dass dieselbe Gruppe verwendet wird. Wenn auf den Peers nicht übereinstimmende Gruppen spezifiziert sind, scheitert die Aushandlung.

Wenn Wie Phase -1 ausgewählt wird, wird die beim Verbindungsinitiator festgelegte PFS-Gruppe verwendet.

Wird Kein PFS ausgewählt, kann dieser Sicherheitsparameter nicht für Phase 2 hinzugefügt werden.

Geben Sie die Schlüssel-Lebensdauer in Sekunden an. Die Schlüssel-Lebensdauer beschreibt die zulässige Zeit bis zum Schlüsselablauf.

Standard: 3600 Sekunden