Verwenden Sie für neu eingerichtete Verbindungen nur IKEv2.

Authentifizieren Sie die Verbindungen mit Zertifikaten. Nutzen Sie hierbei für alle IPSec-Verbindungen nur ein einziges eigenes Zertifikat auf dem Intra2net System.

Sollte bei einer Gegenseite keine Authentifizierung per Zertifikat möglich sein und daher auf Pre-Shared-Key ausgewichen werden, sollte eine IKE-ID vom Typ ID_RFC822_ADDR / E-Mail verwendet werden und nicht die IP-Adresse als ID.

Bei Verwendung von Pre-Shared-Key sollte dieser per Zufallsgenerator erzeugt werden und mindestens 32 volle Bytes lang sein. Werden keine vollen Bytes, sondern nur ASCII-codierte verwendet, sollte der Schlüssel entsprechend länger sein. Jede Verbindung sollte einen eigenen, unterschiedlichen Pre-Shared-Key verwenden.

Es wird empfohlen einen Post-Quantum Pre-Shared Key (PPK) zu verwenden. Dies gilt auch bei Authentifizierung per Pre-Shared-Key. In diesem Fall sollten der PPK und der Pre-Shared-Key zur Authentifizierung unterschiedlich sein.

Als Verschlüsselungs- und Signaturalgorithmus (AEAD) wird AES-256-GCM mit einem Integritätsprüfwert (ICV) von 16 Bytes empfohlen.

Als Diffie Hellman Gruppe wird Curve-25519 für IKE_SA und Datentunnel (CHILD_SAs) empfohlen. Wird dies von der Gegenstelle noch nicht unterstützt, ist ECP-521 die nächst bessere Alternative.