IPsec/IKE-beveiligingsinstellingen
De volgende tabel bevat meer informatie over de IPsec/IKE-beveiligingsparameters.
| Parameter | Beschrijving |
|---|---|
| Versleutelingsalgoritme | Selecteer het versleutelingsalgoritme dat u wilt gebruiken, zodat de gegevens-in-transit niet zichtbaar zijn. Standaard worden alle algoritmen geselecteerd. U moet ten minste één van de geselecteerde algoritmen op uw lokale gatewayapparaat configureren voor elke IKE-fase. |
| Hash-algoritme | Het hash-algoritme dat moet worden gebruikt om de integriteit en authenticiteit van de gegevens te verifiëren. Standaard worden alle algoritmen geselecteerd. U moet ten minste één van de geselecteerde algoritmen op uw lokale gatewayapparaat configureren voor elke IKE-fase. |
| Diffie-Hellman-groepsnummers |
Met Diffie-Hellman-groepsnummers wordt de sterkte bepaald van de sleutel die wordt gebruikt in het Internet Key Exchange-proces (IKE). Hogere groepsnummers zijn veiliger, maar de berekening van de sleutel duurt langer. Standaard zijn alle groepen geselecteerd. U moet ten minste één van de geselecteerde groepen op uw lokale gatewayapparaat configureren voor elke IKE-fase. |
| Levensduur (seconden) |
De levensduur bepaalt de duur van een verbindingssessie met een set versleutelings-/verificatiesleutels voor gebruikerspakketten, vanaf de succesvolle onderhandeling tot het verstrijken ervan. Bereik voor fase 1: 900-28800 seconden (standaard 28800). Bereik voor fase 2: 900-3600 seconden (standaard 3600). De levensduur voor fase 2 moet korter zijn dan de levensduur voor fase 1. De verbinding wordt opnieuw tot stand gebracht via het sleutelkanaal voordat deze verloopt (zie Margetijd voor opnieuw versleutelen. Als de lokale en externe kant het niet eens zijn over de levensduur, ontstaat er een warboel van achterhaalde verbindingen aan de kant met de langste levensduur. Zie ook Margetijd voor opnieuw versleutelen en Fuzz voor opnieuw versleutelen. |
| Margetijd voor opnieuw versleutelen (seconden) | De margetijd gedurende welke de lokale kant van de VPN-verbinding probeert te onderhandelen over een vervanging voordat de verbinding of het sleutelkanaal verloopt. De exacte tijd voor opnieuw versleutelen wordt willekeurig gekozen op basis van de waarde van Fuzz voor opnieuw versleutelen. Alleen lokaal relevant, de externe kant hoeft er niet mee in te stemmen. Bereik: 900-3600 seconden. De standaardwaarde is 3600. |
| Grootte van venster voor opnieuw afspelen (pakket) |
De grootte van het IPsec-venster voor opnieuw afspelen voor deze verbinding. De standaardwaarde -1 gebruikt de waarde die is geconfigureerd met charon.replay_window in het bestand strongswan.conf. Waarden groter dan 32 worden alleen ondersteund bij gebruik van de Netlink-backend. Met een waarde van 0 wordt de bescherming voor IPsec opnieuw afspelen uitgeschakeld. |
| Fuzz voor opnieuw versleutelen (%) |
Het maximale percentage waarmee margebytes, margepakketten en margetijd willekeurig worden verhoogd om de intervallen voor opnieuw versleutelen te randomiseren (belangrijk voor hosts met veel verbindingen). De waarde van de fuzz voor opnieuw versleutelen kan meer zijn dan 100%. De waarde van marginTYPE, na de willekeurige verhoging, mag niet groter zijn dan lifeTYPE, waarbij TYPE bytes, pakketten of tijd kan zijn. Met de waarde 0% wordt randomiseren uitgeschakeld. Alleen lokaal relevant, de externe kant hoeft er niet mee in te stemmen. |
| DPD-time-out (seconden) | De tijd waarna er een time-out voor Dead Peer Detection (DPD) optreedt. U kunt een waarde van 30 of hoger opgeven. De standaardwaarde is 30. |
| Actie na time-out voor Dead Peer Detection (DPD) |
De actie die moet worden ondernomen nadat een time-out voor DPD (Dead Peer Detection) is opgetreden. Opnieuw starten: Start de sessie opnieuw op wanneer er een time-out voor DPD optreedt. Wissen: Beëindig de sessie wanneer er een time-out voor DPD optreedt. Geen: Onderneem geen actie wanneer er een time-out voor DPD optreedt. |
| Opstartactie |
Bepaalt welke kant de verbinding initieert en de tunnel voor de VPN-verbinding tot stand brengt. Toevoegen: Uw lokale VPN-gateway initieert de verbinding. Starten: De Cloud VPN-gateway initieert de verbinding. Routeren: Geschikt voor VPN-gateways die de optie Routeren ondersteunen. De tunnel is alleen actief als er verkeer is dat wordt geïnitieerd door de lokale VPN-gateway of de Cloud VPN-gateway. |