IPSec-Einstellungen

Bei IPSec handelt es sich um ein Protokoll, das die Sicherheit von über ein IP-Netzwerk gesendeten und empfangenen IP-Paketen gewährleistet, indem es vor Bedrohungen wie Diebstahl, Abänderung und betrügerischem Auftreten schützt. IPSec wird für TCP-, UDP (User Datagram Protocol)- und ICMP (Internet Control Message Protocol)-Pakete verwendet. IPSec ist anderen Sicherheitsprotokollen überlegen, da es dem Basis-Internetprotokoll IP Sicherheitsfunktionen hinzufügt und nicht von der Anwendungssoftware und Netzwerkkonfiguration abhängig ist.
In diesem Abschnitt werden die Schritte zum Erstellen einer Sicherheitsrichtlinie zum Festlegen der IPSec-Kommunikation mithilfe des Bedienfelds des Systems erläutert. In einer Sicherheitsrichtlinie werden die IPSec-Einstellungen gespeichert, wie z. B. die mit IPSec zu verarbeitenden Pakete und der für die Authentisierung und Verschlüsselung zu verwendende Algorithmus. Eine logische Verbindung für Aktionen durch entsprechend einer IPSec-Sicherheitsrichtlinie geführte Verhandlungen wird als IPSec SA (Security Association) bezeichnet.
Nachstehend finden Sie Informationen zu den Funktionen des vom System verwendeten IPSec.

Kommunikationsmodus

Da nur der Transportmodus vom IPSec des Systems unterstützt wird, werden Authentisierung und Verschlüsselung nur auf den Datenteil der IP-Pakete angewendet.

Authentisierungs- und Verschlüsselungsmethode

Mindestens eine der folgenden Methoden muss für das System festgelegt sein. Sie können nicht beide Methoden gleichzeitig festlegen.
AH (Authentication Header)
Ein Protokoll zur Zertifizierung der Authentisierung durch Erkennen von Änderungen an übertragenen Daten, wie z. B. dem IP-Header. Die übertragenen Daten sind nicht verschlüsselt.
ESP (Encapsulating Security Payload)
Ein Protokoll, das Diskretion durch Verschlüsselung bietet und gleichzeitig nur die Integrität und Authentisierung des Nutzlastteils der übertragenen Daten zertifiziert.

Key Exchange Protocol

Unterstützt IKEv1 (Internet Key Exchange Version 1) beim Austauschen von Schlüsseln auf Grundlage von ISAKMP (Internet Security Association und Key Management Protocol). IKE umfasst zwei Phasen: in Phase 1 wird die für IKE (IKE SA) verwendete SA erstellt. In Phase 2 wird die für IPSec (IPSec SA) verwendete SA erstellt.
Zum Festlegen der Authentisierung mit der Methode des gemeinsamen Schlüssels ist es erforderlich, sich vorher für einen gemeinsamen Schlüssel zu entscheiden. Dabei handelt es sich um ein Schlüsselwort, das für beide Systeme zum Senden und Empfangen von Daten verwendet wird. Verwenden Sie das Bedienfeld des Systems zum Festlegen desselben gemeinsamen Schlüssels wie auf dem Empfänger, um die IPSec-Kommunikation mit diesem zu ermöglichen, und führen Sie die Authentisierung anhand der Methode mit dem gemeinsamen Schlüssel aus.
Zur Auswahl der Authentisierung mit einer digitalen Signatur muss ein CA-Zertifikat (X.509-Zertifikat) zur bilateralen Authentisierung des IPSec-Ziels registriert werden. Informationen zum Installieren der CA-Zertifikatdatei mithilfe des Remote UI finden Sie im Abschnitt "Installieren einer Zertifikatdatei". Nähere Informationen zum Registrieren der installierten CA-Zertifikatdatei finden Sie im Abschnitt "Registrieren/Bearbeiten einer CA-Zertifikatdatei".
Die zur Authentisierung mit der Methode der digitalen Signatur verwendbaren Schlüsselpaar- und Zertifikattypen werden nachstehend angezeigt.
RSA (Rivest Shamir Adleman)-Algorithmus
Schlüsselpaar im PKCS#12-Format

WICHTIG
Falls Sie beim Definieren des Modus <Main> und der Authentisierungsmethode mit gemeinsamem Schlüssel auf dem Bildschirm <Einstellungen IKE> mehrere Sicherheitsrichtlinien registrieren möchten, gelten folgende Beschränkungen.
Schlüssel für die Methode mit gemeinsamem Schlüssel: Beim Definieren mehrerer Remote-IP-Adressen, für die eine Sicherheitsrichtlinie übernommen werden muss, sind alle gemeinsamen Schlüssel für diese Sicherheitsrichtlinie identisch (dies gilt nicht für die Definition einer einzelnen Adresse).
Vorrang: Beim Definieren mehrerer Remote-IP-Adressen, für die eine Sicherheitsrichtlinie übernommen werden muss, haben Sicherheitsrichtlinien, für die eine einzelne Adresse definiert ist, Vorrang gegenüber dieser Sicherheitsrichtlinie.
093E-1LE