Werbung
Verwenden von IPSec
Verwenden Sie das IP-Sicherheitsprotokoll (IPSec), um das Abhören und Manipulieren von IP-Paketen zu verhindern,
die über ein IP-Netzwerk gesendet und empfangen werden. Die Verschlüsselung erfolgt auf der Ebene des IP-
Protokolls, um die Sicherheit zu gewährleisten, ohne sich auf eine Anwendung oder eine Netzwerkkonfiguration
verlassen zu müssen.
Anwendbare Bedingungen und unterstützte Modi von IPSec(P. 395)
IPSec-Richtlinienkonfiguration(P. 395)
Einrichten von IPSec(P. 396)
Anwendbare Bedingungen und unterstützte Modi von IPSec
Pakete, für die IPSec nicht gilt
●
Pakete, die eine Loopback-, Multicast- oder Broadcast-Adresse angeben
●
IKE-Pakete, die von UDP-Port 500 gesendet werden
●
ICMPv6-Pakete Neighbor Solicitation und Neighbor Advertisement
Betriebsmodus des Schlüsselaustauschprotokolls (IKE-Modus)
Der vom Gerät unterstützte IKE-Modus ist nur der Hauptmodus, der zur Verschlüsselung von Paketen
verwendet wird. Der nicht-verschlüsselnde aggressive Modus wird nicht unterstützt.
Kommunikationsmodus
Der vom Gerät unterstützte Kommunikationsmodus ist nur der Transportmodus, bei dem nur der Teil ohne
den IP-Header verschlüsselt wird. Der Tunnelmodus, der das gesamte IP-Paket verschlüsselt, wird nicht
unterstützt.
Verwenden von IPSec zusammen mit IP-Adressfilterung
Die IP-Adressfiltereinstellungen werden zuerst angewendet.
IPSec-Richtlinienkonfiguration
Um eine IPSec-Kommunikation auf dem Gerät durchzuführen, müssen Sie eine IPSec-Richtlinie erstellen, die den
anwendbaren Bereich und die Algorithmen für die Authentifizierung und Verschlüsselung enthält. Die Richtlinie
besteht hauptsächlich aus den folgenden Elementen.
Selektor
Geben Sie an, bei welchen IP-Paketen die IPSec-Kommunikation angewendet werden soll. Zusätzlich zur
Angabe der IP-Adresse des Geräts und der kommunizierenden Geräte können Sie auch deren Portnummern
angeben.
IKE
Das Schlüsselaustauschprotokoll unterstützt IKEv1 (Internetschlüsselaustausch, Version 1). Wählen Sie für die
Authentifizierungsmethode die Pre-Shared Key-Methode (vorher vereinbarter Schlüssel) oder die
Digitalsignatur-Methode.
●
Pre-Shared-Key-Methode:
Diese Authentifizierungsmethode verwendet ein gemeinsames Schlüsselwort, den so genannten Shared
Key, für die Kommunikation zwischen diesem Gerät und anderen Geräten.
●
Digitalsignatur-Methode:
Das Gerät und die anderen Geräte authentifizieren sich gegenseitig, indem sie ihre digitalen Signaturen
verifizieren.
ESP/AH
Legen Sie die Einstellungen für ESP/AH fest, bei dem es sich um das für die IPSec-Kommunikation
verwendete Protokoll handelt. ESP und AH können gleichzeitig verwendet werden. Verwenden Sie PFS
(Perfect Forward Secrecy) für noch mehr Sicherheit.
Sicherheit
Einstellen der Firewall(P. 386)
395
9AX0-083
Werbung
