IPsec/IKE-Sicherheitseinstellungen
Die folgende Tabelle gibt weitere Informationen über die IPsec-/IKE-Sicherheitsparameter.
| Parameter | Beschreibung |
|---|---|
| Verschlüsselungsalgorithmus | Der Verschlüsselungsalgorithmus, durch den sichergestellt wird, dass die Daten während der Übertragung nicht einsehbar sind. Standardmäßig sind alle Algorithmen ausgewählt. Sie müssen mindestens einen der ausgewählten Algorithmen auf Ihrem lokalen Gateway-Gerät für jede IKE-Phase konfigurieren. |
| Hash-Algorithmus | Der Hash-Algorithmus, der verwendet wird, um die Integrität und Authentizität der Daten überprüfen zu können. Standardmäßig sind alle Algorithmen ausgewählt. Sie müssen mindestens einen der ausgewählten Algorithmen auf Ihrem lokalen Gateway-Gerät für jede IKE-Phase konfigurieren. |
| Diffie-Hellman-Gruppennummern |
Die Diffie-Hellman-Gruppennummern definieren die Stärke des Schlüssels, der beim IKE-Prozess (Internet Key Exchange, Internetschlüsselaustausch) verwendet wird. Höhere Gruppennummern sind sicherer, erfordern jedoch mehr Zeit für die Berechnung des Schlüssels. Standardmäßig sind alle Gruppen ausgewählt. Sie müssen mindestens eine der ausgewählten Gruppen auf Ihrem lokalen Gateway-Gerät für jede IKE-Phase konfigurieren. |
| Lebensdauer (Sekunden) |
Der Wert 'Lebensdauer' bestimmt die Zeitspanne einer Verbindungsinstanz mit einem Satz von Verschlüsselungs-/Authentifizierungsschlüsseln für Benutzerpakete, von der erfolgreichen Aushandlung bis zum Ablaufzeitpunkt. Bereich für Phase 1: 900-28800 Sekunden (Vorgabe: 28800). Bereich für Phase 2: 900-3600 Sekunden (Vorgabe: 3600). Die Lebensdauer für Phase 2 muss kleiner sein als die Lebensdauer für Phase 1. Die Verbindung wird, bevor sie abläuft, über den Schlüsselkanal neu ausgehandelt. Vergleiche den Abschnitt 'Grenzzeit bis zur Schlüsselerneuerung'. Wenn sich die lokale und die Remote-Seite nicht über die Lebensdauer einig sind, kommt es auf der Seite mit der längeren Lebensdauer zu einem Wust von überflüssigen Verbindungen. Siehe außerdem die Abschnitte 'Grenzzeit bis zur Schlüsselerneuerung und 'Schlüsselerneuerungsvarianz'. |
| Grenzzeit bis zur Schlüsselerneuerung (Sekunden) | Die Grenzzeit (Englisch: Rekey Margin Time) bevor die Verbindung oder der Schlüsselkanal abläuft, während der die lokale Seite der VPN-Verbindung versucht, einen Ersatzschlüssel auszuhandeln. Die Schlüsselerneuerungszeit (Englisch: Rekey Time) wird zufällig variiert und zwar nach dem Wert für die Schlüsselerneuerungsvarianz (Englisch: Rekey Fuzz). Ist nur lokal relevant. Die Remote-Seite (Gegenstelle) muss dem nicht zustimmen. Bereich: 900-3600 Sekunden. Der Standardwert ist 3600. |
| Replay-Fenstergröße (Paket) |
Die IPsec-Replay-Fenstergröße (Replay = Wiedereinspielung von übertragenen Daten) für diese Verbindung. Der Standardwert -1 verwendet den Wert, der mit 'charon.replay_window' in der Datei 'strongswan.conf' konfiguriert wurde. Werte größer als 32 werden nur unterstützt, wenn das Netlink-Backend verwendet wird. Ein Wert von 0 deaktiviert den IPsec-Replay-Schutz. |
| Schlüsselerneuerungsvarianz (%) |
Der maximale Prozentsatz, um den die Werte für 'marginbytes', 'marginpackets' und 'margintime' zufällig erhöht werden, um die Schlüsselerneuerungsintervalle zufällig zu variieren (wichtig für Hosts mit vielen gleichzeitigen Verbindungen). Diese Wert für die Schlüsselerneuerungsvarianz (Englisch: Rekey Fuzz) kann 100% überschreiten. Der Wert von 'marginTYPE' darf nach der zufälligen Erhöhung 'lifeTYPE' nicht überschreiten, wobei 'TYPE' für Bytes, Pakete oder Zeit steht. Ein Wert von 0% deaktiviert die Zufallsverteilung. Ist nur lokal relevant. Die Remote-Seite (Gegenstelle) muss dem nicht zustimmen. |
| DPD-Timeout (Sekunden) | Die Zeit, nach der ein DPD-Zeitüberschreitung (Dead Peer Detection) auftritt. Sie können einen Wert von 30 oder höher spezifizieren. Der Standardwert ist 30. |
| Aktion bei DPD-Timeout |
Die Aktion, die ausgeführt werden soll, wenn eine DPD-Zeitüberschreitung (Dead Peer Detection) auftritt. Neustart – Die Sitzung wird neu gestartet, wenn es zu einer DPD-Zeitüberschreitung kommt. Löschen – Die Sitzung wird gelöscht, wenn es zu einer DPD-Zeitüberschreitung kommt. Ohne – Keine Aktion durchführen, wenn es zu einer DPD-Zeitüberschreitung kommt |
| Aktion bei Start |
Bestimmt, welche Seite die Verbindung initiiert und den Tunnel für die VPN-Verbindung aufbaut. Hinzufügen – Ihr lokales VPN-Gateway initiiert die Verbindung. Start – das Cloud-VPN-Gateway initiiert die Verbindung. Route – eignet sich für VPN-Gateways, die die Route-Option unterstützen. Der Tunnel ist nur dann aktiv, wenn ein Datenverkehr vom lokalen VPN-Gateway oder vom Cloud VPN-Gateway initiiert wird. |