Innominate mGuard - Innominate Security Technologies AG
Innominate mGuard - Innominate Security Technologies AG
Innominate mGuard - Innominate Security Technologies AG
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Perfect Forward Secrecy (PFS)<br />
Verfahren zur zusätzlichen Steigerung der Sicherheit bei der Datenübertragung.<br />
Bei IPsec werden in bestimmten Intervallen die Schlüssel für den Datenaustausch<br />
erneuert. Mit PFS werden dabei mit der Gegenstelle neue<br />
Zufallszahlen ausgehandelt, anstatt sie aus zuvor verabredeten Zufallszahlen<br />
abzuleiten.<br />
Nur wenn die Gegenstelle PFS unterstützt, wählen Sie Ja.<br />
Bei Auswahl des Verbindungstyps Transport (L2TP Microsoft Windows)<br />
setzen Sie Perfect Forward Secrecy (PFS) auf Nein.<br />
SA Lebensdauer<br />
Die Schlüssel einer IPsec Verbindung werden in bestimmten Abständen erneuert,<br />
um die Kosten eines Angriffs auf eine IPsec Verbindung zu erhöhen.<br />
ISAKMP SA Lebensdauer (Sekunden)<br />
Lebensdauer der für die ISAKMP SA vereinbarten Schlüssel in Sekunden.<br />
Die Werkseinstellung sind 3600 Sekunden (1 Stunde). Das erlaubte Maximum<br />
sind 86400 Sekunden (24 Stunden).<br />
IPsec SA Lebensdauer (Sekunden)<br />
Lebensdauer der für die IPsec SA vereinbarten Schlüssel in Sekunden.<br />
Die Werkseinstellung sind 28800 Sekunden (8 Stunden). Das erlaubte Maximum<br />
sind 86400 Sekunden (24 Stunden).<br />
Rekey Margin (Sekunden)<br />
Minimale Zeitspanne vor Ablauf der alten Schlüssel, innerhalb der ein neuer<br />
Schlüssel erzeugt werden soll. Werkseinstellung: 540 Sekunden (9 Minuten).<br />
Rekeyfuzz (Prozent)<br />
Maximum in Prozent, um das Rekey Margin zufällig vergrößert werden soll.<br />
Dies dient dazu, den Schlüsselaustausch auf Maschinen mit vielen VPN-Verbindungen<br />
zeitversetzt stattfinden zu lassen. Werkseinstellung: 100 Prozent.<br />
Keying Versuche<br />
Anzahl der Versuche, die unternommen werden sollen, neue Schlüssel mit der<br />
Gegenstelle zu vereinbaren.<br />
Der Wert 0 bedeutet bei Verbindungen, die der <strong>mGuard</strong> initiieren soll, unendlich<br />
viele Versuche, ansonsten 5 Versuche.<br />
Rekey<br />
Bei Ja wird der <strong>mGuard</strong> versuchen, einen neuen Schlüssel zu vereinbaren,<br />
wenn die Gültigkeit des alten abläuft.<br />
Dead Peer Detection<br />
Wenn die Gegenstelle das Dead Peer Detection (DPD) Protokoll unterstützt,<br />
können die jeweiligen Partner erkennen, ob die IPsec Verbindung noch gültig ist<br />
oder nicht und evtl. neu aufgebaut werden muss.<br />
Ohne DPD muß je nach Konfiguration bis zum Ablauf der SA Lebensdauer gewartet<br />
werden oder die Verbindung manuell neu initiiert werden.<br />
Aktion<br />
Bei Halten (Voreinstellung) wird versucht, die IPsec Verbindung neu aufzubauen,<br />
wenn diese für tot erklärt wurde, aber nur, wenn das lokal angeschlossene<br />
Netz versucht, Daten zur Gegenstelle zu senden.<br />
Bei Löschen wird nicht versucht die Verbindung erneut aufzubauen.<br />
Die Werkseinstellung ist Hold.<br />
133 von 157