Kapitel4
Manuelle Schlüsselverwaltung
Encrypton Algorthm
(Verschlüsselungsalgorithmus):
Die Länge des zum Verschlüsseln/Entschlüsseln von
ESP-Paketen verwendeten Schlüssels hängt von der
Verschlüsselungsmethode ab. Beachten Sie, dass beide
Seiten die gleiche Methode verwenden müssen.
Encrypton Key
(Verschlüsselungsschlüssel): Dieses Feld
gibt den Schlüssel an, der für die Ver- und Entschlüsselung
des IP-Datenverkehrs eingesetzt werden soll. Dieses
Feld kann sowohl Zeichen als auch Hexadezimalwerte
enthalten. Hinweis: Beide Seiten müssen den gleichen
Verschlüsselungsschlüssel verwenden.
Authentcaton Algorthm
(Authentifizierungsalgorithmus):
Die Authentifizierungsmethode authentifiziert die ESP-Pakete
(Encapsulating Security Payload). Wählen Sie MD oder SHA aus.
Beachten Sie, dass beide Seiten (VPN-Endpunkte) die gleiche
Methode verwenden müssen.
MD:
Einseitiger Hash-Algorithmus, der ein 128-Bit-Digest
erzeugt.
SHA:
Einseitiger Hash-Algorithmus, der ein 160-Bit-Digest
erzeugt .
Authentcaton Key
(Authentifizierungsschlüssel): Dieses
Feld bestimmt den Schlüssel, der für die Authentifizierung
des IP-Datenverkehrs eingesetzt werden soll. Dieses
Feld kann sowohl Zeichen als auch Hexadezimalwerte
enthalten. Hinweis: Beide Seiten müssen den gleichen
Authentifizierungsschlüssel verwenden.
Inbound SPI/Outbound SPI
SPI). Der SPI (Security Parameter Index) ist im ESP-Header
enthalten. Auf diese Weise kann der Empfänger die SA
auswählen, in der ein Paket verarbeitet werden sollte.
Der SPI ist ein 32-Bit-Wert. Er kann sowohl Dezimal- als
auch Hexadezimalwerte enthalten (z. B. „987654321" oder
„0x3ade68b1"). Jeder Tunnel muss einen eindeutigen
Eingangs-SPI und einen eindeutigen Ausgangs-SPI
besitzen. Ein bestimmter SPI darf nicht von mehreren
Tunneln verwendet werden. Hinweis: Der Eingangs-
SPI muss mit dem Ausgangs-SPI des anderen Gateways
übereinstimmen und umgekehrt.
Im Feld Status im unteren Bereich des Bildschirms wird
angezeigt, wann ein Tunnel aktiv ist.
Klicken Sie auf die Schaltfläche Connect (Verbinden),
um eine Verbindung mit einem VPN-Tunnel herzustellen.
Klicken Sie auf die Schaltfläche Dconnect (Trennen), um
die Verbindung des aktuellen VPN-Tunnels zu trennen.
Wenn die Protokollierung im Fenster Log (Protokoll) auf
der Registerkarte Admnstraton (Verwaltung) aktiviert
ist, können Sie mit der Schaltfläche Vew Log (Protokoll
anzeigen) Ihre VPN-Aktivität in einem eigenen Fenster
anzeigen. Im Fenster VPN Log (VPN-Protokoll) werden
erfolgreiche Verbindungen, Übertragungen und Empfänge
sowie die jeweils verwendeten Verschlüsselungstypen
angezeigt. Durch Klicken auf die Schaltfläche Advanced
Wreless-N ADSL2+ Gateway
(Eingangs-SPI/Ausgangs-
Erweiterte Konfiguration
Settngs (Erweiterte Einstellungen) können Sie das Fenster
Advanced Settings (Erweiterte Einstellungen) öffnen.
Klicken Sie auf Save Settngs (Einstellungen speichern),
um die Änderungen zu speichern, bzw. auf Cancel
Changes (Änderungen verwerfen), um Ihre Änderungen
zu verwerfen.
Erweiterte IPSec VPN-Tunnel-Einrichtung
„Advanced VPN Tunnel Setup" (Erweiterte IPSec VPN-Tunnel-
Einrichtung)
Im Fenster Advanced Settings (Erweiterte Einstellungen)
können Sie die Einstellungen für bestimmte VPN-Tunnel
einstellen.
Phase
1:
Phase 1
dient
Sicherheitsverknüpfung
(SA,
auch IKE SA (Internet Key Exchange Security Association)
genannt. Nach Abschluss von Phase 1 wird in Phase 2
mindestens eine „IPSec SA" erstellt und als Schlüssel für
IPSec-Sitzungen verwendet.
Operaton Mode
(Betriebsmodus): Es gibt zwei Modi,
Main (Hauptmodus) und Aggressive (Aggressiver Modus),
die die gleichen IKE-Nutzlasten auf unterschiedlichen
Sequenzen austauschen. Der Hauptmodus wird häufiger
verwendet, wobei einige Anwender jedoch den schnelleren
aggressiven Modus vorziehen. Der Hauptmodus eignet
sich für normale Anwendungen und ist mit Blick auf die
Authentifizierungsanforderungen anspruchsvoller als der
aggressive Modus. Die Verwendung des Hauptmodus wird
empfohlen, da dieser Modus sicherer ist. Bei beiden Modi
werden vom VPN-Router Anfragen sowohl im Haupt- als
auch im aggressiven Modus vom standortfernen VPN-
Gerät akzeptiert. Wenn ein Benutzer auf einer Seite des
Tunnels eine UFI (Unique Firewall Identifier, eindeutige
Firewall-ID) verwendet, sollte diese unter dem Feld
Username (Benutzername) eingegeben werden.
zur
Erstellung
einer
Security
Association),
23