Unterstützte IKE-Chiffren

Cloud VPN unterstützt die folgenden Chiffren und Konfigurationsparameter für Peer-VPN-Geräte oder VPN-Dienste. Die Verbindung wird automatisch ausgehandelt, solange auf der Peer-Seite eine unterstützte IKE-Chiffreeinstellung verwendet wird.

Eine Konfigurationsanleitung finden Sie unter Peer-VPN-Gateway konfigurieren.

IKE-Chiffren – Übersicht

Die folgenden IKE-Chiffren werden für klassisches VPN und HA VPN unterstützt.

Es gibt zwei Abschnitte für IKEv2: Einen für Chiffren, die Authenticated Encryption with Associated Data (AEAD) verwenden, und einen für Chiffren, die AEAD nicht verwenden.

IKEv2-Chiffren, die AEAD verwenden

Phase 1

Verschlüsselungszweck Cipher Hinweise
Verschlüsselung und Integrität
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
In dieser Liste ist die erste Zahl die Größe des ICV-Parameters in Byte (Oktetts) und die zweite die Schlüssellänge in Bits.

In einigen Dokumenten wird der ICV-Parameter (die erste Zahl) in Bits angegeben. Aus 8 wird dann 64, aus 12 wird 96 und aus 16 wird 128.
Pseudozufallsfunktion (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
Auf vielen Geräten ist keine explizite PRF-Einstellung erforderlich.
Diffie-Hellman (DH)
  • modp_2048 (Gruppe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Gruppe 5)
  • modp_3072 (Gruppe 15)
  • modp_4096 (Gruppe 16)
  • modp_8192 (Gruppe 18)
  • modp_1024 (Gruppe 2)
  • modp_1024_160 (modp_1024s160)
Das Cloud VPN-Angebot stellt diese Schlüsselaustauschalgorithmen in der angegebenen Reihenfolge dar. Cloud VPN akzeptiert jedes Angebot mit einem oder mehreren dieser Algorithmen in beliebiger Reihenfolge.
Lifetime Phase 1 36.000 Sekunden (10 Stunden)

Phase 2

Verschlüsselungszweck Cipher Hinweise
Verschlüsselung und Integrität
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
Das Cloud VPN-Angebot stellt diese Algorithmen in der angegebenen Reihenfolge dar. Cloud VPN akzeptiert jedes Angebot mit einem oder mehreren dieser Algorithmen in beliebiger Reihenfolge.

Die erste Zahl in jedem Algorithmus ist die Größe des ICV-Parameters in Byte (Oktetts) und die zweite die Schlüssellänge in Bit ist. In einigen Dokumenten wird der ICV-Parameter (die erste Zahl) in Bit angegeben. Aus 8 wird dann 64, aus 12 wird 96 und aus 16 wird 128.
PFS-Algorithmus (erforderlich)
  • modp_2048 (Gruppe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Gruppe 5)
  • modp_3072 (Gruppe 15)
  • modp_4096 (Gruppe 16)
  • modp_8192 (Gruppe 18)
  • modp_1024 (Gruppe 2)
  • modp_1024_160 (modp_1024s160)
Das Cloud VPN-Angebot stellt diese Schlüsselaustauschalgorithmen in der angegebenen Reihenfolge dar. Cloud VPN akzeptiert jedes Angebot mit einem oder mehreren dieser Algorithmen in beliebiger Reihenfolge.
Diffie-Hellman (DH) Siehe Phase 1. Wenn für Ihr VPN-Gateway DH-Einstellungen für Phase 2 erforderlich sind, verwenden Sie dieselben Einstellungen wie für Phase 1.
Lifetime Phase 2 10.800 Sekunden (3 Stunden)

IKEv2-Chiffren, die AEAD nicht verwenden

Phase 1

Verschlüsselungszweck Cipher Hinweise
Verschlüsselung
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
Das Cloud VPN-Angebot stellt diese Algorithmen für die symmetrische Verschlüsselung in der angegebenen Reihenfolge dar. Cloud VPN akzeptiert jedes Angebot mit einem oder mehreren dieser Algorithmen in beliebiger Reihenfolge.
Integrität
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
Das Cloud VPN-Angebot stellt diese HMAC-Algorithmen in der angegebenen Reihenfolge dar. Cloud VPN akzeptiert jedes Angebot mit einem oder mehreren dieser Algorithmen in beliebiger Reihenfolge.

Die Dokumentation für Ihr lokales VPN-Gateway verwendet möglicherweise einen anderen Namen für den Algorithmus. Beispiel: HMAC-SHA2-512-256 wird möglicherweise nur als SHA2-512 oder SHA-512 bezeichnet, ohne die Zahl für die Verkürzung und sonstige Zusatzinformationen anzugeben.
Pseudozufallsfunktion (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
Auf vielen Geräten ist keine explizite PRF-Einstellung erforderlich.
Diffie-Hellman (DH)
  • modp_2048 (Gruppe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Gruppe 5)
  • modp_3072 (Gruppe 15)
  • modp_4096 (Gruppe 16)
  • modp_8192 (Gruppe 18)
  • modp_1024 (Gruppe 2)
  • modp_1024_160 (modp_1024s160)
Das Cloud VPN-Angebot stellt diese Schlüsselaustauschalgorithmen in der angegebenen Reihenfolge dar. Cloud VPN akzeptiert jedes Angebot mit einem oder mehreren dieser Algorithmen in beliebiger Reihenfolge.
Lifetime Phase 1 36.000 Sekunden (10 Stunden)

Phase 2

Verschlüsselungszweck Cipher Hinweise
Verschlüsselung
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
Das Cloud VPN-Angebot stellt diese Algorithmen für die symmetrische Verschlüsselung in der angegebenen Reihenfolge dar. Cloud VPN akzeptiert jedes Angebot mit einem oder mehreren dieser Algorithmen in beliebiger Reihenfolge.
Integrität
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
Das Cloud VPN-Angebot stellt diese HMAC-Algorithmen in der angegebenen Reihenfolge dar. Cloud VPN akzeptiert jedes Angebot mit einem oder mehreren dieser Algorithmen in beliebiger Reihenfolge.

Die Dokumentation für Ihr lokales VPN-Gateway verwendet möglicherweise einen anderen Namen für den Algorithmus. Beispiel: HMAC-SHA2-512-256 wird möglicherweise nur als SHA2-512 oder SHA-512 bezeichnet, ohne die Zahl für die Verkürzung und sonstige Zusatzinformationen anzugeben.
PFS-Algorithmus (erforderlich)
  • modp_2048 (Gruppe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Gruppe 5)
  • modp_3072 (Gruppe 15)
  • modp_4096 (Gruppe 16)
  • modp_8192 (Gruppe 18)
  • modp_1024 (Gruppe 2)
  • modp_1024_160 (modp_1024s160)
Das Cloud VPN-Angebot stellt diese Schlüsselaustauschalgorithmen in der angegebenen Reihenfolge dar. Cloud VPN akzeptiert jedes Angebot mit einem oder mehreren dieser Algorithmen in beliebiger Reihenfolge.
Diffie-Hellman (DH) Siehe Phase 1. Wenn für Ihr VPN-Gateway DH-Einstellungen für Phase 2 erforderlich sind, verwenden Sie dieselben Einstellungen wie für Phase 1.
Lifetime Phase 2 10.800 Sekunden (3 Stunden)

IKEv1-Chiffren

Phase 1

Verschlüsselungszweck Cipher
Verschlüsselung AES-CBC-128
Integrität HMAC-SHA1-96
Pseudozufallsfunktion (PRF)* PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (Gruppe 2)
Lifetime Phase 1 36.600 Sekunden (10 Stunden, 10 Minuten)

* Weitere Informationen zu PRF in IKEv1 finden Sie unter RFC 2409.

Phase 2

Verschlüsselungszweck Cipher
Verschlüsselung AES-CBC-128
Integrität HMAC-SHA1-96
PFS-Algorithmus (erforderlich) modp_1024 (Gruppe 2)
Diffie-Hellman (DH) Wenn Sie DH für Ihr VPN-Gateway angeben müssen, verwenden Sie dieselbe Einstellung wie für Phase 1.
Lifetime Phase 2 10.800 Sekunden (3 Stunden)

Weitere Informationen