Impostazioni di sicurezza IPsec/IKE
La tabella seguente include informazioni dettagliate sui parametri di sicurezza IPsec/IKE.
| Parametro | Descrizione |
|---|---|
| Algoritmo di crittografia | L'algoritmo di crittografia da utilizzare per garantire che i dati non siano visualizzabili quando in transito. Per impostazione predefinita, tutti gli algoritmi sono selezionati. È necessario configurare almeno uno degli algoritmi selezionati nel dispositivo gateway locale per ogni fase IKE. |
| Algoritmo di hash | L'algoritmo di hash da utilizzare per verificare l'integrità e l'autenticità dei dati. Per impostazione predefinita, tutti gli algoritmi sono selezionati. È necessario configurare almeno uno degli algoritmi selezionati nel dispositivo gateway locale per ogni fase IKE. |
| Numeri del gruppo Diffie-Hellman |
I numeri del gruppo Diffie-Hellman definiscono la sicurezza delle chiavi utilizzate nel processo IKE (Internet Key Exchange). I numeri di gruppo più elevati sono più sicuri ma richiedono più tempo per l'elaborazione della chiave. Per impostazione predefinita, tutti i gruppi sono selezionati. È necessario configurare almeno uno dei gruppi selezionati nel dispositivo gateway locale per ogni fase IKE. |
| Permanenza (in secondi) |
Il valore della permanenza determina la durata di un'istanza di connessione con un insieme di chiavi di crittografia/autenticazione per i pacchetti utente, dalla riuscita della negoziazione alla scadenza. Intervallo per la fase 1: 900-28800 secondo con valore predefinito 28800. Intervallo per la fase 2: 900-3600 secondi con valore predefinito 3600. La permanenza nella fase 2 deve essere inferiore alla permanenza nella fase 1. La connessione viene nuovamente negoziata tramite il canale di reimpostazione delle chiavi prima della sua scadenza; consultare Tempo di margine di reimpostazione di nuova chiave. Se il lato locale e quello remoto entrano in conflitto sulla durata della permanenza, sul lato con la permanenza più lunga si avrà un accumulo di connessioni sostituite. Vedere anche Tempo di margine di reimpostazione di nuova chiave e Fuzz di reimpostazione della chiave. |
| Tempo di margine di reimpostazione di nuova chiave (secondi) | Il tempo di margine in secondi prima della scadenza della connessione o del canale di reimpostazione della chiave, durante il quale il lato locale della connessione VPN tenta di negoziare una sostituzione. Il tempo esatto di reimpostazione della chiave viene selezionato in maniera casuale in base al valore di Fuzz di reimpostazione della nuova chiave. È rilevante solo a livello locale, non è necessario che il valore sia concordato con il lato remoto. Intervallo: 900-3600 secondi.Il valore predefinito è 3600. |
| Intervallo della finestra di riproduzione (pacchetti) |
Dimensione della finestra di riproduzione IPsec per questa connessione. Il valore predefinito -1 utilizza il valore configurato con il comando charon.replay_window nel file strongswan.conf. Valori superiori a 32 sono supportati solo quando si utilizza il backend Netlink. Il valore 0 disabilita la protezione della riproduzione IPsec. |
| Fuzz di reimpostazione della chiave (%) |
Valore che indica la percentuale massima di aumento casuale dei valori di marginbyte, marginpacket e margintime per randomizzare gli intervalli di reimpostazione della chiave (importante per gli host con molte connessioni). Il valore del fuzz di reimpostazione della chiave può superare 100%. Il valore di marginTYPE, dopo l'aumento casuale, non deve superare il valore di lifeTYPE, in cui TYPE indica il tipo di byte, packet o time. Il valore 0% disabilita la randomizzazione. È rilevante solo a livello locale, non è necessario che il valore sia concordato con il lato remoto. |
| Timeout DPD (secondi) | Il periodo di tempo dopo il quale si verifica un timeout DPD (Dead Peer Detection). È possibile specificare un valore pari a 30 o superiore. Il valore predefinito è 30. |
| Azione timeout DPD |
L'azione da intraprendere dopo il verificarsi del timeout DPD. Riavvia - Riavvia la sessione quando si verifica il timeout DPD. Chiudi - Termina la sessione quando si verifica il timeout DPD. Nessuna - Non intraprende nessuna azione quando si verifica il timeout DPD. |
| Azione all'avvio |
Determina il lato che inizializza la connessione e definisce il tunnel della connessione VPN. Aggiungi - Il gateway VPN locale che inizializza la connessione. Avvia - Il gateway VPN cloud che inizializza la connessione. Indirizza - Adatta ai gateway VPN che supportano l'opzione di indirizzamento. Il tunnel viene attivato solo quando c'è traffico inizializzato dal gateway VPN locale o dal gateway VPN cloud. |