Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Standardverschlüsselungseinstellungen für den virtuellen VPN-Client (Microsoft L2TP/IPSec) beschrieben.
Gilt für: Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 325158
Zusammenfassung
Die folgende Liste enthält die Standardverschlüsselungseinstellungen für den virtuellen VPN-Client (Virtual Private Network) von Microsoft L2TP/IPSec für frühere Versionsclients:
- Datenverschlüsselungsstandard
- Secure Hash Algorithm
- Diffie-hellman Medium
- Transportmodus
- Kapselung der Sicherheitsnutzlast
Der Client unterstützt die folgenden Einstellungen nicht:
- Tunnelmodus
- AH (Authentifizierungsheader)
Diese Werte sind hartcodiert im Client, und Sie können sie nicht ändern.
Datenverschlüsselungsstandard
Der Datenverschlüsselungsstandard (Data Encryption Standard, 3DES) bietet Vertraulichkeit. 3DES ist die sicherste der DES-Kombinationen und hat eine etwas langsamere Leistung. 3DES verarbeitet jeden Block dreimal, wobei jeweils ein eindeutiger Schlüssel verwendet wird.
Secure Hash Algorithm
Sicherer Hashalgorithmus 1 (SHA1) mit einem 160-Bit-Schlüssel bietet Datenintegrität.
Diffie-Hellman Medium
Diffie-Hellman-Gruppen bestimmen die Länge der Basisprimzahlen, die während des Schlüsselaustauschs verwendet werden. Die Stärke eines abgeleiteten Schlüssels hängt teilweise von der Stärke der Diffie-Hellman-Gruppe ab, auf der die Primzahlen basieren.
Gruppe 2 (mittel) ist stärker als Gruppe 1 (niedrig). Gruppe 1 stellt 768 Bits von Schlüsselmaterial bereit, und Gruppe 2 stellt 1.024 Bit bereit. Wenn in jedem Peer nicht übereinstimmende Gruppen angegeben werden, ist die Aushandlung nicht erfolgreich. Sie können die Gruppe während der Aushandlung nicht wechseln.
Eine größere Gruppe führt zu mehr Entropie und somit zu einem Schlüssel, der schwieriger zu brechen ist.
Transportmodus
Für IPSec gibt es zwei Betriebsmodi:
- Transportmodus – Im Transportmodus wird nur die Nutzlast der Nachricht verschlüsselt.
- Tunnelmodus (nicht unterstützt) – Im Tunnelmodus werden die Nutzlast, der Header und die Routinginformationen verschlüsselt.
IPSec-Sicherheitsprotokolle
Kapselung der Sicherheitsnutzlast
Die Kapselung der Sicherheitsnutzlast (SECURITY Payload, ESP) bietet Vertraulichkeit, Authentifizierung, Integrität und Antiwiedergabe. ESP signiert nicht das gesamte Paket, es sei denn, das Paket wird getunnelt. Ordinarily, only the data is protected, not the IP header. ESP stellt keine Integrität für den IP-Header (Adressierung) bereit.
Authentifizierungsheader (nicht unterstützt)
Authentifizierungsheader (AH) stellt Authentifizierung, Integrität und Anti-Replay für das gesamte Paket bereit (sowohl der IP-Header als auch die im Paket übertragenen Daten). AH signiert das gesamte Paket. Sie verschlüsselt die Daten nicht, sodass sie keine Vertraulichkeit bietet. Sie können die Daten lesen, aber nicht ändern. AH verwendet HMAC-Algorithmen, um das Paket zu signieren.
References
Problembehandlung bei einer Verbindung mit einem virtuellen privaten Microsoft L2TP/IPSec-Client