| Option | Bezeichnung |
|---|---|
| Schlüsselaustausch | Internet Key Exchange (IKE) Version, die verwendet soll. IKEv2 erfordert weniger Bandbreite als IKEv1 und hat integrierte EAP-Authentifizierung und NAT-Traversal, neben weiteren Verbesserungen. |
| Authentifizierungsmethode | Modus, der für den Austausch von Authentifizierungsinformationen (Phase 1) verwendet wird. Hauptmodus Führt den Diffie–Hellman Schlüsselaustausch in drei Zwei-Wege-Austauschvorgängen durch. Aggressiver Modus Führt den Diffie–Hellman Schlüsselaustausch mittels drei Nachrichten durch. Ein Tunnel kann schneller eingerichtet werden, da während der Authentifizierung weniger Nachrichten ausgetauscht werden und zur Verschlüsselung der Authentifizierungsinformationen kein kryptografischer Algorithmus verwendet wird. Verwenden Sie diese Option, wenn die entfernte Gegenstelle dynamische IP-Adressen besitzt. Warnung Der aggressive Modus ist unsicher und deshalb nicht empfehlenswert. |
| Schlüsselaushandlungsversuche | Maximale Anzahl an Schlüsselaushandlungsversuchen. |
| Schlüsselerneuerung zulassen | Aktivieren Sie die Schlüsselerneuerung, um die Aushandlung automatisch vor Schlüsselablauf zu starten. Die Aushandlung kann durch die lokale oder entfernte Gegenstelle eingeleitet werden. Je nach PFS-Einstellung wird für die Aushandlung derselbe Schlüssel verwendet oder ein neuer Schlüssel erzeugt. Konfigurieren Sie die Schlüssel-Lebensdauer (key life) für Phase 1 und 2, wenn die Option aktiviert ist. Deaktivieren, um den Aushandlungsprozess nur zu starten, wenn die Gegenstelle eine Schlüsselerneuerungsanfrage sendet. Falls die Gegenstelle so konfiguriert ist, dass sie nicht nach einer Schlüsselerneuerung für die Verbindung fragt, dann verwendet die Verbindung denselben Schlüssel, bis die Schlüssel-Lebensdauer abläuft. Dadurch wird die Verbindung unsicher, da kein neuer Schlüssel erzeugt wird. Das Ziel ist es, die Zeit zu begrenzen, in der ein Dritter, welcher Kontrolle über die Gegenstelle erlangt hat, die Sicherheitsbeziehungen ausnutzen kann. |
| Daten in komprimierten Format übergeben | Daten in komprimiertem Format übergeben, um dadurch den Durchsatz zu erhöhen. |
| SHA-2 mit 96-Bit-Verkürzung | Nur für IKEv1. Aktivieren Sie SHA2 mit 96-Bit-Verkürzung. |
| Option | Bezeichnung |
|---|---|
| Schlüssel-Lebensdauer | Lebensdauer des Schlüssels in Sekunden. |
| Zeit bis zur Schlüsselerneuerung | Zeit in Sekunden der verbleibenden Schlüssel-Lebensdauer nach der die Schlüsselerneuerung erneut durchgeführt werden sollte. Wenn die Schlüssel-Lebensdauer beispielsweise acht Stunden beträgt und für die Schlüsselerneuerung ein Zeitrahmen von zehn Minuten zur Verfügung steht, beginnt der Aushandlungsprozess nach sieben Stunden und 50 Minuten. |
| Zeit zufällig variieren um | Faktor, um den die Schlüsselerneuerungszeit in zufälliger Weise variiert. Wenn die Schlüssel-Lebensdauer beispielsweise acht Stunden beträgt, die Schlüsselerneuerung zehn Minuten und die Variation auf 20% eingestellt ist, beginnt die Aushandlung nach acht Minuten und endet bei zwölf Minuten. |
| DH-Gruppe | Diffie–Hellman -Gruppe, die für die Verschlüsselung verwendet werden soll. Die Gruppe gibt die für die Verschlüsselung verwendete Schlüssellänge vor. Anmerkung Die entfernte Gegenstelle muss dieselbe Gruppe verwenden. |
| Algorithmus-Kombinationen | Kombination von Verschlüsselungs- und Authentifizierungsalgorithmen, die verwendet werden sollen, um die Integrität des Datenaustauschs sicherzustellen. Anmerkung Die entfernte Gegenstelle muss mindestens eine der festgelegten Kombinationen verwenden. |
| Option | Bezeichnung |
|---|---|
| PFS-Gruppe | Perfect Forward Secrecy Gruppe (Diffie–Hellman-Gruppe), die verwendet werden soll, um einen neuen Schlüsselaustausch für jeden Phase-2-Tunnel zu erzwingen. Anmerkung Der Einsatz von PFS ist sicherer, dafür kann die Schlüsselerneuerung länger dauern. Nicht alle Hersteller unterstützen PFS. Überprüfen Sie Ihre Hardware-Spezifikationen bevor Sie eine Gruppe auswählen. |
| Schlüssel-Lebensdauer | Lebensdauer des Schlüssels in Sekunden. Die Schlüssel-Lebensdauer von Phase 2 muss kürzer sein als die von Phase 1. |
| Algorithmus-Kombinationen | Kombination von Verschlüsselungs- und Authentifizierungsalgorithmen, die verwendet werden sollen, um die Integrität des Datenaustauschs sicherzustellen. Anmerkung Die entfernte Gegenstelle muss mindestens eine der festgelegten Kombinationen verwenden. |
| Option | Bezeichnung |
|---|---|
| Dead Peer Detection | Im festgelegten Intervall überprüfen, ob die Gegenstelle aktiv ist. Bei Verbindungen mit statischen Endpunkten wird der Tunnel automatisch neu ausgehandelt. Verbindungen mit dynamischen Endpunkten erfordern von der Remote-Seite, den Tunnel neu auszuhandeln. |
| Gegenstelle überprüfen alle | Intervall in Sekunden zu dem der Peer geprüft wird. |
| Auf Antwort warten bis zu | Zeit in Sekunden, die auf die Rückmeldung des Peers gewartet wird. Wenn nicht innerhalb des festgelegten Intervalls eine Antwort empfangen wird, wird der Peer als inaktiv betrachtet. |
| Wenn Peer unerreichbar | Maßnahme, die durchgeführt werden soll, wenn festgestellt wird, dass die Gegenstelle inaktiv ist. |