Unter finden Sie eine Liste von vordefinierten Profilen, die Sie mit selbst erstellten Profilen erweitern können.
Wichtig: Die vordefinierten Profile können weder bearbeitet noch gelöscht werden.
Anmerkung: Werden verwendete Sicherheits-Profile geändert, können in der erweiterten Listbar alle zugehörigen Verbindungen
neugestartet werden. Sicherheits-Profile werden in Vorlagen und Verbindungen gewählt.
Klicken Sie auf , um ein
neues Sicherheitsprofil hinzuzufügen.
Tabelle 1. Allgemeine Einstellungen
Eingabefeld
|
Beschreibung
|
Name
|
Geben Sie diesem Sicherheitsprofil einen aussagekräftigen Namen.
|
Verwendet in
|
Zeigt an, in welchen IPsec-Verbindungen dieses Profil aktuell verwendet wird.
|
Datenkomprimierung
|
Wenn man hier Datenkomprimierung wählt, dann wird diese für alle Verbindungen aktiviert, die
dieses Profil verwenden. Man spart dadurch zwar Bandbreite, erhöht aber auch die CPU-Last.
Wichtig: Wenn Sie Datenkomprimierung aktivieren, dann muss diese auch auf der Gegenstelle
aktiviert sein.
|
ISAKMP (IKE)
In diesem Tab können Sicherheits-Einstellungen für die IKE-Phase definiert werden. IKE definiert, wie Sicherheitsparameter
vereinbart und gemeinsame Schlüssel ausgetauscht werden
Tabelle 2. ISAKMP (IKE)
Eingabefeld
|
Beschreibung
|
IKE-Version
|
Wählen Sie IKEv1 oder IKEv2 |
Verschlüsselungsalgorithmen
|
Wählen Sie aus der Liste der verfügbaren
Verschlüsselungsalgorithmen diejenigen aus, die Sie verwenden
wollen.IKEv1:
- 3DES-EDE-CBC 168 bit (3des) (veraltet)
- AES-CBC 128 bit (aes128)
- AES-CBC 192 bit (aes192)
- AES-CBC 256 bit (aes256)
- Blowfish-CBC 128 bit (blowfish128) (veraltet)
- Blowfish-CBC 192 bit (blowfish192) (veraltet)
- Blowfish-CBC 256 bit (blowfish256) (veraltet)
- Serpent-CBC 128 bit (serpent128)
- Serpent-CBC 192 bit (serpent192)
- Serpent-CBC 256 bit (serpent256)
- Twofish-CBC 128 bit (twofish128)
- Twofish-CBC 192 bit (twofish192)
- Twofish-CBC 256 bit (twofish256)
IKEv2:
- 3DES-EDE-CBC 168 bit (3des) (veraltet)
- AES-CBC 128 bit (aes128)
- AES-CBC 192 bit (aes192)
- AES-CBC 256 bit (aes256)
- AES-CCM 128 bit with 64 bit ICV (aes128ccm8)
- AES-CCM 128 bit with 96 bit ICV (aes128ccm12)
- AES-CCM 128 bit with 128 bit ICV (aes128ccm16)
- AES-CCM 192 bit with 64 bit ICV (aes192ccm8)
- AES-CCM 192 bit with 96 bit ICV (aes192ccm12)
- AES-CCM 192 bit with 128 bit ICV (aes192ccm16)
- AES-CCM 256 bit with 64 bit ICV (aes256ccm8)
- AES-CCM 256 bit with 96 bit ICV (aes256ccm12)
- AES-CCM 256 bit with 128 bit ICV (aes256ccm16)
- AES-COUNTER 128 bit (aes128ctr)
- AES-COUNTER 192 bit (aes192ctr)
- AES-COUNTER 256 bit (aes256ctr)
- AES-GCM 128 bit with 64 bit ICV (aes128gcm8)
- AES-GCM 128 bit with 96 bit ICV (aes128gcm12)
- AES-GCM 128 bit with 128 bit ICV (aes128gcm16)
- AES-GCM 192 bit with 64 bit ICV (aes192gcm8)
- AES-GCM 192 bit with 96 bit ICV (aes192gcm12)
- AES-GCM 192 bit with 128 bit ICV (aes192gcm16)
- AES-GCM 256 bit with 64 bit ICV (aes256gcm8)
- AES-GCM 256 bit with 96 bit ICV (aes256gcm12)
- AES-GCM 256 bit with 128 bit ICV (aes256gcm16)
- Blowfish-CBC 128 bit (blowfish128) (veraltet)
- Blowfish-CBC 192 bit (blowfish192) (veraltet)
- Blowfish-CBC 256 bit (blowfish256) (veraltet)
- Camellia-CBC 128 bit (camellia128)
- Camellia-CBC 192 bit (camellia192)
- Camellia-CBC 256 bit (camellia256)
- Camellia-CCM 128 bit with 64 bit ICV
(camellia128ccm8)
- Camellia-CCM 128 bit with 96 bit ICV
(camellia128ccm12)
- Camellia-CCM 128 bit with 128 bit ICV
(camellia128ccm16)
- Camellia-CCM 192 bit with 64 bit ICV
(camellia192ccm8)
- Camellia-CCM 192 bit with 96 bit ICV
(camellia192ccm12)
- Camellia-CCM 192 bit with 128 bit ICV
(camellia192ccm16)
- Camellia-CCM 256 bit with 64 bit ICV
(camellia256ccm8)
- Camellia-CCM 256 bit with 96 bit ICV
(camellia256ccm12)
- Camellia-CCM 256 bit with 128 bit ICV
(camellia256ccm16)
- Camellia-COUNTER 128 bit (camellia128ctr)
- Camellia-COUNTER 192 bit (camellia192ctr)
- Camellia-COUNTER 256 bit (camellia256ctr)
- CAST-CBC 128 bit (cast128) (veraltet)
- ChaCha20/Poly1305 256 bit with 128 bit ICV
(chacha20poly1305)
|
Authentifizierungsalgorithmen
|
Wählen Sie aus der Liste der verfügbaren
Authentifizierungsalgorithmen diejenigen aus, die Sie verwenden
wollen.IKEv1:
- MD5 HMAC 96 bit (md5)
- SHA1 HMAC 96 bit (sha1)
- SHA2_256 HMAC 128 bit (sha2_256)
- SHA2_384 HMAC 192 bit (sha2_384)
- SHA2_512 HMAC 256 bit (sha2_512)
IKEv2:
- AES CMAC 96 bit (aesmac)
- AES XCBC 96 bit (aesxcbc)
- MD5 HMAC 96 bit (md5)
- SHA1 HMAC 96 bit (sha1)
- SHA2_256 HMAC 128 bit (sha2_256)
- SHA2_384 HMAC 192 bit (sha2_384)
- SHA2_512 HMAC 256 bit (sha2_512)
|
DH-Gruppen
|
Wählen Sie aus der Liste der verfügbaren
Diffie-Hellmann-Gruppen diejenigen aus, die Sie verwenden wollen.
- DH Group 02 (modp1024) (veraltet)
- DH Group 05 (modp1536) (veraltet)
- DH Group 14 (modp2048)
- DH Group 15 (modp3072)
- DH Group 16 (modp4096)
- DH Group 17 (modp6144)
- DH Group 18 (modp8192)
- DH Group 19 NIST Elliptic Curve (ecp256)
- DH Group 20 NIST Elliptic Curve (ecp384)
- DH Group 21 NIST Elliptic Curve (ecp521)
- DH Group 25 NIST Elliptic Curve (ecp192) (veraltet)
- DH Group 26 NIST Elliptic Curve (ecp224)
- DH Group 27 Brainpool Ellipcic Curve (ecp224bp)
- DH Group 28 Brainpool Ellipcic Curve (ecp256bp)
- DH Group 29 Brainpool Ellipcic Curve (ecp384bp)
- DH Group 30 Brainpool Ellipcic Curve (ecp512bp)
- DH Group 31 Ellipcic Curve 25519 (x25519)
|
SA-Lebensdauer
|
Geben Sie die gewünschte SA-Lebensdauer in Sekunden an. |
Mobile IKE (nur IKEv2)
|
Diese nur für IKEv2 verfügbare Option erlaubt das Wechseln der IP-Adressen ohne
Verbindungsabbruch. |
Anmerkung: Die Verschlüsselungsalgorithmen, Authentifizierungsalgorithmen und DH-Gruppen, die hier definier werden,
werden beim Aufbau der IPsec-Verbindung verwendet, um eine Verschlüsselungs-Authentifizierungs-Kombination mit der
Gegenstelle auszuhandeln. Je mehr Einträge hier definiert werden, desto höher sind die Kombinationsmöglichkeiten.
Wichtig: Die Anzahl der Kombinationsmöglichkeiten ist bei Verwendung von IKEv1 auf etwas über 200 begrenzt. Bei
IKEv2 gibt es keine Beschränkung.
IPsec (ESP)
Encapsulating Security Payload (ESP) stellt Mechanismen zur Sicherstellung der Authentizität, Integrität und Vertraulichkeit
der übertragenen IP-Pakete bereit. Diese Einstellungen bestimmen somit die Verschlüsselungs- und
Authentifizierungsalgorithmen der eigentlichen IP-Pakete.
Tabelle 3. IPsec (ESP)
Eingabefeld
|
Beschreibung
|
Verschlüsselungsalgorithmen
|
Wählen Sie aus der Liste der verfügbaren
Verschlüsselungsalgorithmen diejenigen aus, die Sie verwenden
wollen.
- 3DES-EDE-CBC 168 bit (3des) (veraltet)
- AES-CBC 128 bit (aes128)
- AES-CBC 192 bit (aes192)
- AES-CBC 256 bit (aes256)
- AES-CCM 128 bit with 64 bit ICV (aes128ccm8)
- AES-CCM 128 bit with 96 bit ICV (aes128ccm12)
- AES-CCM 128 bit with 128 bit ICV (aes128ccm16)
- AES-CCM 192 bit with 64 bit ICV (aes192ccm8)
- AES-CCM 192 bit with 96 bit ICV (aes192ccm12)
- AES-CCM 192 bit with 128 bit ICV (aes192ccm16)
- AES-CCM 256 bit with 64 bit ICV (aes256ccm8)
- AES-CCM 256 bit with 96 bit ICV (aes256ccm12)
- AES-CCM 256 bit with 128 bit ICV (aes256ccm16)
- AES-COUNTER 128 bit (aes128ctr)
- AES-COUNTER 192 bit (aes192ctr)
- AES-COUNTER 256 bit (aes256ctr)
- AES-GCM 128 bit with 64 bit ICV (aes128gcm8)
- AES-GCM 128 bit with 96 bit ICV (aes128gcm12)
- AES-GCM 128 bit with 128 bit ICV (aes128gcm16)
- AES-GCM 192 bit with 64 bit ICV (aes192gcm8)
- AES-GCM 192 bit with 96 bit ICV (aes192gcm12)
- AES-GCM 192 bit with 128 bit ICV (aes192gcm16)
- AES-GCM 256 bit with 64 bit ICV (aes256gcm8)
- AES-GCM 256 bit with 96 bit ICV (aes256gcm12)
- AES-GCM 256 bit with 128 bit ICV (aes256gcm16)
- Blowfish-CBC 128 bit (blowfish128) (veraltet)
- Blowfish-CBC 192 bit (blowfish192) (veraltet)
- Blowfish-CBC 256 bit (blowfish256) (veraltet)
- Camellia-CBC 128 bit (camellia128)
- Camellia-CBC 192 bit (camellia192)
- Camellia-CBC 256 bit (camellia256)
- CAST-CBC 128 bit (cast128) (veraltet)
- ChaCha20/Poly1305 256 bit with 128 bit ICV
(chacha20poly1305)
- Serpent-CBC 128 bit (serpent128)
- Serpent-CBC 192 bit (serpent192)
- Serpent-CBC 256 bit (serpent256)
- Twofish-CBC 128 bit (twofish128)
- Twofish-CBC 192 bit (twofish192)
- Twofish-CBC 256 bit (twofish256)
|
Authentifizierungsalgorithmen
|
Wählen Sie aus der Liste der verfügbaren
Authentifizierungsalgorithmen diejenigen aus, die Sie verwenden
wollen.
- AES XCBC 96 bit (aesxcbc)
- MD5 HMAC 96 bit (md5)
- MD5 HMAC 128 bit (md5_128)
- SHA1 HMAC 96 bit (sha1)
- SHA1 HMAC 160 bit (sha1_160)
- SHA2_256 HMAC 128 bit (sha2_256)
- SHA2_384 HMAC 192 bit (sha2_384)
- SHA2_512 HMAC 256 bit (sha2_512)
|
DH-Gruppen
|
Wählen Sie aus der Liste der verfügbaren
Diffie-Hellmann-Gruppen diejenigen aus, die Sie verwenden wollen.
- DH Group 02 (modp1024) (veraltet)
- DH Group 05 (modp1536) (veraltet)
- DH Group 14 (modp2048)
- DH Group 15 (modp3072)
- DH Group 16 (modp4096)
- DH Group 17 (modp6144)
- DH Group 18 (modp8192)
- DH Group 19 NIST Elliptic Curve (ecp256)
- DH Group 20 NIST Elliptic Curve (ecp384)
- DH Group 21 NIST Elliptic Curve (ecp521)
- DH Group 25 NIST Elliptic Curve (ecp192) (veraltet)
- DH Group 26 NIST Elliptic Curve (ecp224)
- DH Group 27 Brainpool Ellipcic Curve (ecp224bp)
- DH Group 28 Brainpool Ellipcic Curve (ecp256bp)
- DH Group 29 Brainpool Ellipcic Curve (ecp384bp)
- DH Group 30 Brainpool Ellipcic Curve (ecp512bp)
- DH Group 31 Ellipcic Curve 25519 (x25519)
|
SA-Lebensdauer
|
Geben Sie die gewünschte SA-Lebensdauer in Sekunden an. |
Klicken Sie auf Erstellen.
Der Dialog Sicherheits-Profil schließt sich. Das neue Sicherheits-Profil wird zur Liste der
verfügbaren Sicherheits-Profile in der Objektleiste hinzugefügt.