Tổng quan
Trong hệ thống mật mã đối xứng, cả hai bên giao tiếp sử dụng cùng một khóa để mã hóa và giải mã thông tin. Các tiêu chí để xây dựng các khóa này phải được trao đổi một cách an toàn. Thông tin chỉ có thể được trao đổi một cách an toàn nếu khóa thuộc sở hữu độc quyền của các bên giao tiếp.
Mục tiêu của Internet Key Exchange (IKE) là để cả hai bên độc lập tạo ra cùng một khóa đối xứng. Khóa này sau đó được sử dụng để mã hóa và giải mã các gói tin IP thông thường được sử dụng trong việc truyền tải dữ liệu giữa các đầu mối VPN. IKE xây dựng đường hầm VPN bằng cách xác thực cả hai phía và đạt được sự thỏa thuận về các phương pháp mã hóa và toàn vẹn. Kết quả của một thỏa thuận IKE là một Hiệp định Bảo mật (SA).
Thỏa thuận về khóa và các phương pháp mã hóa này cũng phải được thực hiện một cách an toàn. Vì lý do này, IKE được thực hiện trong hai giai đoạn. Giai đoạn đầu tiên đặt nền tảng cho giai đoạn thứ hai. Cả IKEv1 và IKEv2 được hỗ trợ trong Security Gateways từ phiên bản R71 trở lên.
Diffie-Hellman (DH) là một phần của giao thức IKE được sử dụng để trao đổi vật liệu từ đó xây dựng các khóa đối xứng. Thuật toán Diffie-Hellman xây dựng một khóa mã hóa được biết đến là “bí mật chia sẻ” từ khóa bí mật của một bên và khóa công khai của bên kia. Vì các khóa đối xứng IPsec được phát sinh từ khóa DH chia sẻ này giữa các cặp, không có điểm nào thực sự trao đổi các khóa đối xứng.
Giai đoạn I của IKE
Trong Giai đoạn I của IKE:
-
Các cặp đối tác xác thực, thông qua các chứng chỉ hoặc qua một bí mật trước trao đổi. (Có sẵn nhiều phương pháp xác thực khác khi một trong các cặp là một khách hàng truy cập từ xa.)
-
Một khóa Diffie-Hellman được tạo ra. Tính chất của giao thức Diffie-Hellman đảm bảo rằng cả hai bên có thể tạo ra bí mật chia sẻ, một khóa chỉ được biết đến của các cặp.
-
Vật liệu khóa (điểm ngẫu nhiên và dữ liệu toán học khác) cùng với một thỏa thuận về phương pháp cho giai đoạn II của IKE được trao đổi giữa các cặp.
Về hiệu suất, việc tạo ra Khóa Diffie-Hellman rất chậm và nặng nề. Kết quả của giai đoạn này là SA IKE, một thỏa thuận về khóa và các phương pháp cho giai đoạn II của IKE. Hình dưới đây thể hiện quá trình diễn ra trong Giai đoạn I của IKE.
Lưu ý – Các giai đoạn đàm phán cụ thể có sự khác biệt giữa IKEv1 và IKEv2.
Giai đoạn II của IKE (Chế độ nhanh hoặc Pha IPSec)
Giai đoạn II của IKE được mã hóa theo các khóa và phương pháp đã đồng ý trong giai đoạn I của IKE. Vật liệu khóa trao đổi trong giai đoạn II của IKE được sử dụng để xây dựng các khóa IPsec. Kết quả của giai đoạn II là Hiệp định Bảo mật IPsec. SA IPsec là sự thỏa thuận về khóa và phương pháp cho IPsec, do đó IPsec xảy ra theo các khóa và phương pháp đã đồng ý trong giai đoạn II của IKE.
Sau khi các khóa IPsec được tạo ra, việc truyền dữ liệu hàng loạt xảy ra:
IKEv1 và IKEv2
IKEv2 được hỗ trợ trong cộng đồng VPN hoạt động ở chế độ Đơn giản.
IKEv2 được cấu hình trong cửa sổ Thuộc tính Cộng đồng VPN > Mã hóa. Thiết lập mặc định là chỉ hỗ trợ IKEv1. IKEv2 tự động luôn được sử dụng cho lưu lượng IPv6. Cấu hình phương pháp mã hóa chỉ áp dụng cho lưu lượng IPv4.
Để cấu hình thiết lập IKE cho VPN Truy cập từ xa Một đường hầm được mã hóa giữa các khách hàng truy cập từ xa (như Endpoint Security VPN) và một cổng an ninh cổng thông tin (Security Gateway). trong SmartConsole Check Point Ứng dụng giao diện đồ họa (GUI) được sử dụng để quản lý môi trường Check Point – cấu hình Chính sách Bảo mật, cấu hình thiết bị, theo dõi các sản phẩm và sự kiện, cài đặt các bản cập nhật, v.v., nhấp vào Menu > Kiểm soát toàn cục > Truy cập từ xa > VPN – Xác thực và Mã hóa.
Ghi chú:
-
IKEv2 không được hỗ trợ cho Truy cập từ xa.
-
IKEv2 không được hỗ trợ trên thiết bị UTM-1 Edge hoặc đối tượng VSX Virtual System Extension. Giải pháp mạng ảo Check Point, được lưu trữ trên máy tính hoặc cụm có trừu tượng ảo hóa của Check Point Security Gateways và các thiết bị mạng khác. Các Thiết bị ảo này cung cấp cùng chức năng như các đối tượng vật lý. thấp hơn R75.40VS. Nếu đã bao gồm các thiết bị UTM-1 Edge hoặc các đối tượng VSX như vậy trong một Cộng đồng VPN, thiết lập Mã hóa phải là Hỗ trợ IKEv1.
Phương pháp Mã hóa và Tính toàn vẹn
Hai tham số quyết định trong quá trình đàm phán:
-
Thuật toán mã hóa
-
Thuật toán hash
-
AES-128
-
AES-256 (mặc định)
-
3DES
-
DES
-
CAST (chỉ dùng với IKEv1)
-
AES-128 (mặc định)
-
AES-256
-
3DES
-
DES
-
DES-40CP (chỉ dùng với IKEv1)
-
CAST (chỉ dùng với IKEv1)
-
CAST-40 (chỉ dùng với IKEv1)
-
NULL
-
AES-GCM-128
-
AES-GCM-256
-
MD5
-
SHA1 (mặc định)
-
SHA-256
-
SHA-512
-
AES-XCBC
-
SHA -384
-
MD5
-
SHA1 (mặc định)
-
SHA-256
-
SHA-512
-
AES-XCBC
-
SHA -384
Tham số
IKE Giai đoạn 1 (SA IKE)
IKE GIAI ĐOẠN 2 (SA IPSec)
Mã hóa
Tính toàn vẹn
NULL có nghĩa là chỉ thực hiện kiểm tra tính toàn vẹn; các gói tin không được mã hóa.
Giai đoạn Diffie Hellman
Việc tính toán khóa Diffie-Hellman (còn được gọi là thỏa thuận khóa mũ) dựa trên các nhóm toán học Diffie Hellman (DH). Một Security Gateway hỗ trợ các nhóm DH này trong hai giai đoạn của IKE.
Tham số
IKE Giai đoạn 1 (SA IKE)
IKE Giai đoạn 2 (SA IPSec)
Nhóm Diffie Hellman
-
Nhóm 2 (1024 bit) (mặc định)
-
Nhóm 1 (768 bit)
-
Nhóm 5 (1536 bit)
-
Nhóm 14 (2048 bit)
-
Nhóm 19 (256-bit ECP)
-
Nhóm 20 (384-bit ECP)
-
Nhóm 2 (1024 bit) (mặc định)
-
Nhóm 1 (768 bit)
-
Nhóm 5 (1536 bit)
-
Nhóm 14 (2048 bit)
-
Nhóm 19 (256-bit ECP)
-
Nhóm 20 (384-bit ECP)
Một nhóm với số bit lớn hơn đảm bảo một khóa khó bị phá vỡ hơn, nhưng mang một chi phí lớn về hiệu suất, vì việc tính toán yêu cầu nhiều chu kỳ CPU hơn.
Các chế độ Giai đoạn I
Giữa các Security Gateway, có hai chế độ cho giai đoạn I của IKE. Những chế độ này chỉ áp dụng cho IKEv1:
-
Chế độ Chính
-
Chế độ Nhanh
Nếu chế độ nhanh chưa được chọn, Security Gateway mặc định là chế độ chính, thực hiện thỏa thuận IKE với sáu gói tin. Chế độ nhanh thực hiện thỏa thuận IKE với ba gói tin.
Chế độ Chính được ưu tiên vì:
-
Chế độ chính được mã hóa một phần, từ điểm mà khóa DH chia sẻ được biết đến cho cả hai bên.
-
Chế độ chính ít bị tác động bởi các cuộc tấn công từ chối dịch vụ (DoS). Trong chế độ chính, tính toán DH được thực hiện sau khi xác thực. Trong chế độ nhanh, tính toán DH được thực hiện song song với việc xác thực. Một bên chưa được xác thực có thể buộc tính toán Diffie-Hellman tốn nhiều CPU cho bên khác.
-
Lưu ý – Sử dụng chế độ nhanh khi Một Check Point Security Gateway cần thương lượng với giải pháp VPN bên thứ ba không hỗ trợ chế độ chính.
Khi xử lý truy cập từ xa, IKE có các chế độ bổ sung:
-
Chế độ Kết hợp cung cấp một phương thức thay thế cho giai đoạn I của IKE, nơi Security Gateway được phép xác thực với chứng chỉ và khách hàng thông qua một phương thức khác, chẳng hạn như SecurID. Để biết thêm thông tin về chế độ Kết hợp, xem Hướng dẫn Quản trị VPN Truy cập từ xa R81.
-
Chế độ Văn phòng là một phần mở rộng của giao thức IKE. Chế độ Văn phòng được sử dụng để giải quyết vấn đề định tuyến giữa các khách hàng truy cập từ xa và miền VPN. Trong quá trình thỏa thuận IKE, một chế độ đặc biệt được gọi là chế độ cấu hình được chèn giữa giai đoạn I và II. Trong chế độ cấu hình, khách hàng truy cập từ xa yêu cầu một địa chỉ IP từ Security Gateway. Sau khi Security Gateway gán địa chỉ IP, khách hàng tạo một bộ chuyển đổi ảo trong Hệ điều hành. Bộ chuyển đổi ảo sử dụng địa chỉ IP đã được gán.
Đàm phán lại Thời gian sống của IKE và IPsec
Giai đoạn I của IKE tốn nhiều tài nguyên bộ xử lý hơn giai đoạn II của IKE, do khóa Diffie-Hellman phải được tạo ra và các bên xác thực mỗi lần. Vì lý do này, giai đoạn I của IKE được thực hiện ít thường xuyên hơn. Tuy nhiên, SA IKE chỉ có hiệu lực trong một khoảng thời gian nhất định, sau đó SA IKE phải được thương lượng lại. SA IPsec có thời hạn còn ngắn hơn, có nghĩa là nhiều cuộc thương lượng giai đoạn II của IKE diễn ra.
Giai đoạn giữa mỗi thương lượng được gọi là thời gian sống. Thông thường, thời gian sống càng ngắn, đường hầm IPsec càng an toàn (với giá trị tiêu tốn nhiều tài nguyên bộ xử lý hơn trong thương lượng IKE). Với thời gian sống lâu hơn, các kết nối VPN trong tương lai có thể được thiết lập nhanh hơn. Mặc định, giai đoạn I của IKE diễn ra mỗi ngày; giai đoạn II của IKE diễn ra mỗi giờ, nhưng thời gian chờ với mỗi giai đoạn có thể được cấu hình.
Cấu hình tần suất của Hiệp định Bảo mật IKE và IPsec trong SmartConsole > Menu > Đối tượng > Trình duyệt đối tượng > Cộng đồng VPN > Đối tượng Cộng đồng VPN > Nâng cao.
Tính Mật mã Chuyển tiếp Hoàn hảo
Các khóa được tạo bởi các đối tác trong giai đoạn II của IKE và được sử dụng cho IPsec dựa trên một chuỗi các chữ số nhị phân ngẫu nhiên được trao đổi giữa các đối tác và khóa DH tính toán trong giai đoạn I của IKE.
Khóa DH được tính toán một lần, sau đó được sử dụng nhiều lần trong giai đoạn II của IKE. Vì các khóa được sử dụng trong giai đoạn II của IKE dựa trên khóa DH được tính toán trong giai đoạn I của IKE, tồn tại một mối quan hệ toán học giữa chúng. Vì lý do này, việc sử dụng một khóa DH đơn lẻ có thể làm mất đi sự mạnh mẽ của các khóa tiếp sau. Nếu một khóa bị nghi ngờ, các khóa tiếp theo có thể bị nghi ngờ một cách dễ dàng hơn.
Trong mật mã học, Mật mã Chuyển tiếp Hoàn hảo (PFS) đề cập đến trạng thái mà việc xâm phạm một khóa phiên hiện tại hoặc khóa riêng dài hạn không gây ra việc xâm phạm các khóa trước hoặc sau. Security Gateways đáp ứng yêu cầu này bằng một chế độ PFS. Khi PFS được kích hoạt, một khóa DH mới được tạo trong giai đoạn II của IKE và được thay mới cho mỗi cuộc trao đổi khóa.
Tuy nhiên, do một khóa DH mới được tạo trong mỗi giai đoạn I của IKE, không tồn tại mối phụ thuộc giữa các khóa này và những khóa được tạo trong các cuộc thỏa thuận Giai đoạn I của IKE sau này. Kích hoạt PFS trong giai đoạn II của IKE chỉ trong các tình huống yêu cầu mức bảo mật cực kỳ cao.
Các nhóm DH được hỗ trợ cho PFS là: 1, 2, 5, 14, 19 và 20. Mặc định là nhóm 2 (1042 bit).
Cấu hình điều này trong Thuộc tính Cộng đồng VPN > Mã hóa > Hiệp định Bảo mật IKE (Giai đoạn 2) > Sử dụng Mật mã Chuyển tiếp Hoàn hảo.
Ghi chú:
-
Tính năng Mật mã Chuyển tiếp Hoàn hảo (PFS) chỉ hỗ trợ IPsec và chỉ dành cho khách hàng VPN từ xa. Khi PFS được kích hoạt trên một Security Gateway, tất cả khách hàng VPN Truy cập từ xa không được hỗ trợ sẽ không thể kết nối với thông báo lỗi “Người dùng không được xác định đúng cách”.
-
Tính năng Mật mã Chuyển tiếp Hoàn hảo (PFS) sử dụng cùng nhóm Diffie-Hellman (DH) trong Giai đoạn 2 như được cấu hình cho Giai đoạn 1 (Menu SmartConsole > Chính > Truy cập từ xa > VPN – Xác thực và Mã hóa > Mã hóa thuật toán > Chỉnh sửa > Giai đoạn 1 > Sử dụng nhóm Diffie-Hellman).
Nén IP
Nén IP là quá trình giảm kích thước phần dữ liệu của gói tin TCP/IP. Việc giảm kích thước này có thể mang lại sự cải thiện đáng kể về hiệu suất. IPsec hỗ trợ thuật toán nén IP Flate/Deflate. Deflate là một thuật toán thông minh thích ứng cách nén dữ liệu theo dữ liệu thực tế. Có thể kích hoạt IP nén trong giai đoạn II của IKE. Mặc định không kích hoạt nén IP.
Nén IP quan trọng cho người dùng khách hàng truy cập từ xa có kết nối chậm.
Mã hóa của Security Gateway làm cho các gói tin TCP/IP trở nên “lẫn lộn”. Loại dữ liệu này không thể nén và băng thông bị mất do đó. Nếu IP nén được kích hoạt, gói tin sẽ được nén trước khi mã hóa. Điều này giúp khôi phục lại băng thông đã mất.
Mạng con và Hiệp định Bảo mật
Theo mặc định, một đường hầm VPN được tạo cho các mạng con mà các máy tính đặt trên đó, chứ không chỉ cho các máy tính chủ tham gia vào giao tiếp.
Một Hiệp định Bảo mật Duy nhất cho Mỗi Cặp Đối tác
Nếu bạn tắt tùy chọn Hỗ trợ Trao đổi khóa cho các mạng con trên từng Security Gateway, bạn có thể tạo một Hiệp định Bảo mật duy nhất cho một cặp đối tác.
Nếu Security Gateway được cấu hình để Hỗ trợ tra cứu khóa cho các mạng con, nhưng tùy chọn này không được hỗ trợ trên đối tác từ xa, khi Máy A giao tiếp với Máy C, Hiệp định Bảo mật (SA 1) sẽ được thương lượng giữa mạng con của Máy A và địa chỉ IP của Máy C. Sau đó, cùng một SA được sử dụng giữa bất kỳ máy tính nào trong mạng con 10.10.11.x và Máy C.
Khi Máy A giao tiếp với Máy B, một Hiệp định Bảo mật riêng biệt (SA 2) được thương lượng giữa mạng con của Máy A và Máy B. Như trước, cùng một SA được sử dụng giữa bất kỳ máy tính nào trong mạng con 10.10.11.x và Máy B.
Khi không bật Hỗ trợ Trao đổi khóa cho các mạng con trên Security Gateways đang giao tiếp, sau đó một thỏa thuận bảo mật được thương lượng giữa các địa chỉ IP cá nhân; về hiệu quả, mỗi máy tính trở thành một SA duy nhất.
Bảo vệ IKE chống lại tấn công DoS
Hiểu về các cuộc tấn công DoS
Cuộc tấn công từ chối dịch vụ (DoS) được thực hiện nhằm mục đích giảm hiệu suất, chặn người dùng hợp lệ sử dụng một dịch vụ hoặc thậm chí làm hỏng một dịch vụ. Chúng không phải là mối đe dọa bảo mật trực tiếp trong ý nghĩa là không có dữ liệu bí mật nào được tiết lộ và người dùng không có đặc quyền trái phép. Tuy nhiên, chúng tiêu thụ các tài nguyên máy tính như bộ nhớ hoặc CPU.
Đại khái có hai loại cuộc tấn công DoS. Một loại bao gồm gửi các gói tin hỏng (rác) với hy vọng lợi dụng một lỗi và làm cho dịch vụ bị lỗi. Trong loại tấn công DoS còn lại, kẻ tấn công cố gắng lợi dụng một điểm yếu của dịch vụ hoặc giao thức bằng cách gửi các gói tin hợp lệ. Bảo vệ khỏi cuộc tấn công IKE DoS xử lý loại tấn công thứ hai này.
Các cuộc tấn công IKE DoS
Giao thức IKE yêu cầu Security Gateway nhận phân bổ bộ nhớ cho gói tin yêu cầu Giai đoạn 1 của IKE đầu tiên mà nó nhận được. Security Gateway trả lời và nhận một gói tin khác, sau đó xử lý gói tin này bằng thông tin được thu thập từ gói tin đầu tiên.
Một kẻ tấn công có thể gửi nhiều gói tin IKE đầu tiên, trong khi giả mạo một địa chỉ IP nguồn khác nhau cho mỗi gói. Security Gateway nhận được nhiệm vụ trả lời từng gói và phân bổ bộ nhớ cho mỗi gói. Điều này có thể tiêu thụ tất cả các tài nguyên CPU, do đó ngăn cản kết nối từ người dùng hợp lệ.
Kẻ tấn công gửi gói tin IKE có thể giả vờ là một máy chủ được cho phép khởi tạo các thương lượng IKE, chẳng hạn như Security Gateway Check Point. Điều này được gọi là một nguồn xác định. Kẻ tấn công cũng có thể giả vờ có địa chỉ IP mà Security Gateway không biết đến, chẳng hạn như khách hàng truy cập từ xa hoặc Security Gateway có địa chỉ IP động của Check Point. Điều này được gọi là mục tiêu không xác định.
Bảo vệ chống lại các cuộc tấn công IKE DoS
Khi số lượng cuộc thương lượng IKE đồng thời vượt quá ngưỡng chấp nhận được, Security Gateway kết luận rằng hoặc nó đang gặp tải quá hoặc đang trải qua một cuộc tấn công từ chối dịch vụ. Trong trường hợp như vậy, Security Gateway có thể lọc các đối tác là nguồn có thể gây ra cuộc tấn công từ chối dịch vụ tiềm ẩn. Các phần sau mô tả các loại phòng thủ khác nhau chống lại các cuộc tấn công IKE DoS.
Bảo vệ IKE DoS không được hỗ trợ cho các địa chỉ IPv6.
Các thiết lập Bảo vệ Cuộc tấn công IKE DoS trên SmartConsole
Để bảo vệ khỏi các cuộc tấn công IKE DoS:
-
Trong SmartConsole, nhấp vào Menu > Chính > VPN > Nâng cao.
-
Trong phần bảo vệ từ cuộc tấn công từ chối dịch vụ IKE, cấu hình các thiết lập sau:
-
Hỗ trợ bảo vệ DoS từ nguồn xác định – Thiết lập mặc định cho các nguồn được xác định là “Không trạng thái”. Nếu Security Gateway đang gặp tải, thiết lập này yêu cầu người điều khiển phản hồi một thông báo thông báo IKE một cách chứng minh rằng địa chỉ IP của đối tác không phải là giả mạo. Nếu đối tác không thể chứng minh điều này, Security Gateway sẽ không bắt đầu cuộc thương lượng IKE.
Nếu nguồn được xác định, việc bảo vệ bằng câu hỏi là quá thận trọng và có thể ảnh hưởng đến hiệu suất. Một tùy chọn thứ ba là Không có, có nghĩa là không có bảo vệ tấn công từ chối dịch vụ.
-
Hỗ trợ bảo vệ DoS từ nguồn không xác định – Thiết lập mặc định cho các nguồn không xác định là “Câu đố”. Nếu Security Gateway đang gặp tải, thiết lập này yêu cầu đối tác giải một câu đố toán học. Việc giải quyết câu đố này tiêu tốn tài nguyên CPU của đối tác một cách khó khăn, từ đó làm khó khăn việc khởi tạo nhiều cuộc thương lượng IKE cùng một lúc.
Đối với nguồn không xác định, bảo vệ “Không trạng thái” có thể không đủ vì kẻ tấn công có thể kiểm soát tất cả các địa chỉ IP mà các yêu cầu IKE dường như được gửi từ. Một tùy chọn thứ ba là Không có, có nghĩa là không có bảo vệ tấn công từ chối dịch vụ.
-
-
Nhấp vào OK.
-
Cài đặt Chính sách Kiểm soát Truy cập.
Lưu ý – Bảo vệ IKE DoS không được hỗ trợ cho các địa chỉ IPv6.
Các thiết lập Bảo vệ Cuộc tấn công IKE DoS nâng cao
Bạn có thể cấu hình bảo vệ cuộc tấn công IKE DoS nâng cao trên Dịch vụ Quản lý Single-Domain Security Management hoặc Dịch vụ Quản lý Multi-Domain Security Management với Database Tool (GuiDBEdit Tool) (xem sk13009).
Lưu ý – Bảo vệ cuộc tấn công IKE DoS không được hỗ trợ cho IPv6.
Tham số
Mô tả
Giá trị được chấp nhận
Giá trị mặc định
ike_dos_threshold
Xác định phần trăm số thương lượng đồng thời tối đa, vượt qua đó Security Gateway sẽ yêu cầu bảo vệ chống tấn công từ chối dịch vụ.
Nếu đặt ngưỡng là 0, Security Gateway sẽ luôn yêu cầu bảo vệ chống tấn công từ chối dịch vụ.
0 – 100
70
ike_dos_puzzle_level_identified_initiator
Xác định mức độ câu đố gửi đến Security Gateway được biết đến.
Tham số này cũng xác định mức độ câu đố tối đa mà một Security Gateway sẵn sàng giải.
0 – 32
19
ike_dos_puzzle_level_unidentified_initiator
Xác định mức độ câu đố gửi đến đối tác không xác định (như khách hàng truy cập từ xa và Security Gateway DAIP).
Tham số này cũng xác định mức độ câu đố tối đa mà Security Gateway DAIP và khách hàng truy cập từ xa sẵn sàng giải.
0 – 32
19
ike_dos_max_puzzle_time_gw
Xác định thời gian tối đa trong mili giây mà một Security Gateway sẵn sàng giải quyết một câu đố bảo vệ DoS.
0 – 30000
500
ike_dos_max_puzzle_time_daip
Xác định thời gian tối đa trong mili giây mà một Security Gateway DAIP sẵn sàng giải quyết một câu đố bảo vệ DoS.
0 – 30000
500
ike_dos_max_puzzle_time_sr
Xác định thời gian tối đa trong mili giây mà một khách hàng sẵn sàng giải quyết một câu đố bảo vệ DoS.
0 – 30000
5000
ike_dos_supported_protection_sr
Khi tải xuống một khách hàng, nó điều khiển mức độ bảo vệ mà khách hàng sẵn sàng hỗ trợ.
Các Security Gateway sử dụng tham số ike_dos_protection_unidentified_initiator (tương đương với Thuộc tính Toàn cục Hỗ trợ Bảo vệ Cuộc tấn công từ chối dịch vụ từ Nguồn không xác định) để quyết định bảo vệ nào được yêu cầu từ các khách hàng từ xa, nhưng khách hàng / SecureClient sử dụng ike_dos_supported_protection_sr.
Thuộc tính khách hàng này cũng được gọi là ike_dos_supported_protection_sr trên Security Gateway.
Không có, Việc không, Câu đố
Câu đố