Astaro Security Gateway Administrationshandbuch Seite 543

15 Fernzugriff
IKE-Authentifizierungsalgorithmus: Der Authentifizierungsalgorithmus
legt fest, welcher Algorithmus verwendet wird, um die Intaktheit der IKE-
Nachrichten zu prüfen. Die folgenden Algorithmen werden unterstützt:
MD5 (128 Bit)
l
SHA1 (160 Bit)
l
SHA2 256 (256 Bit)
l
SHA2 384 (384 Bit)
l
SHA2 512 (512 Bit)
l
IKE-SA-Lebensdauer: Dieser Wert bestimmt die Zeitspanne in Sekunden,
für die die IKE-SA (Security Association, dt. Sicherheitsverbindung) gültig
ist und wann die nächste Schlüsselerneuerung stattfindet. Gültige Werte
liegen zwischen 60 und 28800 Sekunden (8 Std.). Als Standardwert sind
7800 Sekunden voreingestellt.
IKE-DH-Gruppe: Während der Aushandlung einer Verbindung gleichen die
beiden Gegenstellen auch die aktuellen Schlüssel für die
Datenverschlüsselung ab. Für die Generierung des Sitzungsschlüssels
(session key) nutzt IKE den Diffie-Hellman-(DH-)Algorithmus. Dieser
Algorithmus generiert den Schlüssel per Zufallsprinzip basierend auf
sogenannten Pool Bits. Die IKE-Gruppe gibt hauptsächlich Aufschluss über
die Anzahl der Pool Bits. Je mehr Pool Bits, umso länger ist die zufällige
Zahlenkette – je größer die Zahlenkette, umso schwerer kann der Diffie-
Hellman-Algorithmus geknackt werden. Folglich bedeuten mehr Pool Bits
höhere Sicherheit, was allerdings auch bedeutet, dass mehr CPU-Leistung
für die Generierung benötigt wird. Momentan werden die folgenden Diffie-
Hellman-Gruppen unterstützt:
Gruppe 1: MODP 768
l
Gruppe 2: MODP 1024
l
Gruppe 5: MODP 1536
l
Gruppe 14: MODP 2048
l
Gruppe 15: MODP 3072
l
Gruppe 16: MODP 4096
l
ASG V8 Administrationshandbuch
15.4 IPsec
543