IPsec-Profile
Mit IPsec-Profilen können Sie die IKE-Parameter (Internet Key Exchange) der Phase 1 und Phase 2 zum Einrichten von IPsec- und L2TP-Tunneln zwischen zwei Firewalls angeben.
Notiz
Bei der Sophos Firewall Version 18.5 und früher wurden IPsec-Profile als IPsec-Richtlinien bezeichnet.
Die Standardprofile unterstützen einige gängige Szenarien. Sie können auch benutzerdefinierte Profile konfigurieren.
- Um die Sicherheitsparameter für Phase 1 und Phase 2 festzulegen, gehen Sie zu Profile > IPsec-Profile.
- Um ein IPsec-Profil zu klonen, klicken Sie auf Klonen
.
-
Klicken Zusätzliche Eigenschaften anzeigen über der Namensspalte können Sie weitere Einstellungen für die Listenansicht auswählen. Sie können die Eigenschaften per Drag & Drop verschieben, um die Listenansicht neu anzuordnen.
Tipp
Möglicherweise benötigen Sie die Eigenschaften des IPsec-Profils zur Fehlerbehebung bei IPsec-Tunneln in Verbindungen und Failover-Gruppen.
-
Sie können IPsec-Profile auf die folgenden Konfigurationen anwenden:
- Remote-Zugriff-VPN > IPsec Und L2TP
- Site-to-Site-VPN > IPsec
Sie können IPsec-Tunnel zwischen zwei Sophos Firewall-Geräten oder zwischen einer Sophos Firewall und einer Firewall eines Drittanbieters erstellen.
IKE und SAs
Internet-Schlüsselaustausch: IKE unterstützt Sie beim Einrichten einer Sicherheitszuordnung (SA) für gemeinsame, sichere IPsec-Kommunikation. IKE ermöglicht es beiden Firewalls, privat denselben symmetrischen Schlüssel zu generieren. Die Firewalls verwenden den symmetrischen Schlüssel zum Ver- und Entschlüsseln von IP-Paketen.
Sie können die Protokolle IKEv1 und IKEv2 für den Schlüsselaustausch angeben. Der aggressive Modus ist für IKEv2 nicht verfügbar.
Sicherheitsassoziation: Die Firewalls richten basierend auf der IKE-Aushandlung untereinander eine SA ein und verwalten eine Liste dieser SAs, bis die entsprechenden Tunnel verbunden bleiben. SAs enthalten die Quell- und Ziel-IP-Adressen, Verschlüsselungs- und Authentifizierungsalgorithmen, die Schlüssellebensdauer und den SPI.
Sicherheitsparameterindex: SPI ist eine eindeutige lokale Kennung, die jede Firewall generiert. Der SPI bezieht sich auf jede SA und identifiziert den Tunnel, zu dem ein Paket gehört.
Parameter der Phase 1
IKE SA: Die Firewall, die den Tunnel initiiert, sendet ihre Parameter für Phase 1, und die Peers handeln die zu verwendenden Parameter aus. Diese Parameter umfassen den Verschlüsselungsalgorithmus, den Hash-Algorithmus (Datenauthentifizierung), die Schlüssellänge, die DH-Gruppe, die Peer-Authentifizierungsmethode und die Schlüssellebensdauer.
Im Hauptmodus verwenden IKE SAs sechs Nachrichten und eine verschlüsselte Authentifizierung. Im aggressiven Modus verwenden sie drei Nachrichten und eine unverschlüsselte Authentifizierung.
Wenn sich die Peers einigen, verfügt jeder über eine gemeinsame IKE SA-Richtlinie für die Einrichtung des Phase-1-Tunnels und einen Security Parameter Index (SPI), die eindeutige Kennung für jeden Tunnel. Anschließend führen die Peers einen Diffie-Hellman-Schlüsselaustausch (DH) durch und generieren lokal den gemeinsamen geheimen Schlüssel.
Peer-Authentifizierung: Die Peers authentifizieren sich dann gegenseitig mit dem Authentifizierungstyp, den Sie in IPsec.
Die von Ihnen angegebenen lokalen und Remote-Schnittstellen oder Gateways authentifizieren sich gegenseitig, indem sie je nach Verbindungstyp eine der folgenden Optionen verwenden:
-
IPsec-Verbindungen: Preshared Key, digitales Zertifikat oder RSA-Schlüssel.
Darüber hinaus können Sie lokale und Remote-IDs wie DNS-Name, IP-Adresse oder E-Mail-Adresse verwenden, damit sich die Peers gegenseitig authentifizieren können, wenn Sie Preshared- oder RSA-Schlüssel verwenden. Bei Verwendung digitaler Zertifikate können Sie DER ASN1 DN (x.509) für die lokalen und Remote-IDs verwenden.
-
L2TP: Vorinstallierter Schlüssel oder digitales Zertifikat. IKEv2 ist für L2TP-Tunnel nicht verfügbar.
Sie können die lokalen und Remote-Peers des Tunnels, den Peer-Authentifizierungsmechanismus und zusätzliche Authentifizierungsparameter wie lokale und Remote-IDs auf IPsec Und L2TP.
Die Phase-1-Verhandlung ist mit der gegenseitigen Authentifizierung der Peers abgeschlossen, und die Firewalls bauen einen bidirektionalen Phase-1-Tunnel zwischen den Peers auf. Die Firewalls nutzen den Phase-1-Tunnel, um die Phase-2-Parameter auszuhandeln. Wenn die Phase-1-Verhandlungen fehlschlagen, können die Firewalls die Phase-2-Parameter nicht aushandeln.
Parameter der Phase 2
Die Sophos Firewall verwendet das ESP-Protokoll (Encapsulating Security Payload) im Tunnelmodus und bietet Datenintegritäts- und Datenursprungsauthentifizierung sowie einen Anti-Replay-Dienst.
IPsec-SAs: Die Firewalls nutzen den Phase-1-Tunnel, um Phase-2-SAs auszuhandeln, einschließlich des Verschlüsselungsalgorithmus, des Authentifizierungsalgorithmus, der Schlüssellebensdauer und optional des DH-Schlüsselaustauschs mit Perfect Forward Secrecy (PFS). Wenn sich die Peers auf diese Parameter einigen, erstellen sie eine IPsec-SA und identifizieren diese mit einem lokalen SPI, der eindeutigen Kennung.
Perfect Forward Secrecy: Sie können PFS verwenden, um neue gemeinsame geheime Schlüssel für die Tunnel der Phase 2 zu generieren.
Verkehrsselektoren: Stimmen die Verkehrsselektoren, also die Subnetze oder Hosts (z. B. Server), auf beiden Firewalls überein, wird zwischen jedem Subnetz- (bzw. Host-)Paar ein Tunnel aufgebaut. Phase-2-SAs verschlüsseln und authentifizieren den Datenverkehr zwischen den entsprechenden Hosts und Subnetzen.
Da Phase-2-SAs und Tunnel zwischen jedem Subnetz- und Hostpaar eingerichtet werden, ist ihre Anzahl ein Vielfaches der von Ihnen angegebenen lokalen und Remote-Subnetze (oder Hosts). Siehe folgendes Beispiel:
Lokale Subnetze: Subnetz L1 und Subnetz L2
Remote-Subnetze: Subnetz R3 und Subnetz R4
In diesem Beispiel richten die Firewalls die folgenden vier Phase-2-Tunnel ein:
- L1 bis R3
- L1 bis R4
- L2 bis R3
- L2 bis R4
Eingehende Pakete werden anschließend entkapselt und entschlüsselt. Nachdem die entsprechende Firewall-Regel die Sicherheitsrichtlinien angewendet hat, wird der Datenverkehr an das Ziel gesendet. Ausgehende Pakete werden nach Anwendung der entsprechenden Firewall-Regel gekapselt und verschlüsselt.
XAuth: Zusätzlich können Sie die Benutzer- und Gruppenauthentifizierung mit XAuth (Erweiterte Authentifizierung) festlegen, wenn Sie das VPN im Client-Server-Modus konfigurieren. Sie können die Firewall am zentralen Standort im Servermodus konfigurieren. XAuth verwendet Ihren aktuellen Authentifizierungsmechanismus, z. B. AD, RADIUS oder LDAP, um Benutzer nach dem Austausch in Phase 1 zu authentifizieren. Anschließend konfigurieren Sie die Remote-Firewall im Client-Modus mit Benutzername und Kennwort zur Authentifizierung bei der Firewall im Servermodus.
Sie können die Verkehrsselektoren und XAuth-Einstellungen auf IPsec Und L2TP.
Verschlüsselung, Authentifizierung, gemeinsames Geheimnis und Schlüssellebensdauer
Verschlüsselung: Sie können Verschlüsselungsalgorithmen wie AES verwenden. Dabei handelt es sich um symmetrische Schlüssel, mit denen Paketdaten ver- und entschlüsselt werden.
Authentifizierung: Sie können Authentifizierungsalgorithmen wie SHA2 verwenden, um Daten zu authentifizieren und so deren Integrität sicherzustellen. Die Sophos Firewall verwendet HMAC (Hash-based Message Authentication Code) und berechnet mithilfe des Authentifizierungsalgorithmus einen Hashwert basierend auf den Paketen und dem gemeinsamen geheimen Schlüssel. Der Hashwert wird mit den Paketen gesendet. Die Remote-Firewall berechnet den Hashwert aus der Nachricht und dem gemeinsamen geheimen Schlüssel neu, um die Übereinstimmung der Hashwerte zu bestätigen.
Sie können bis zu drei Verschlüsselungs- und Authentifizierungsalgorithmen kombinieren, um einen gemeinsamen Satz zu gewährleisten. Die Sophos Firewall verwendet die sicherste Kombination für die Kommunikation mit der Remote-Firewall.
Diffie-Hellman: Der DH-Schlüsselaustausch ermöglicht den Firewalls den sicheren Austausch des symmetrischen Schlüssels über einen unsicheren Kanal, beispielsweise das Internet. Jede Firewall generiert ein öffentlich-privates Schlüsselpaar und gibt den öffentlichen Schlüssel über den unsicheren Kanal an die Remote-Firewall weiter. Jede Firewall berechnet dann privat einen gemeinsamen geheimen Schlüssel basierend auf dem lokalen privaten Schlüssel und dem öffentlichen Schlüssel der Remote-Firewall. Die privaten Schlüssel und der gemeinsame geheime Schlüssel werden nicht ausgetauscht. Die Firewalls verwenden den gemeinsamen geheimen Schlüssel, um den symmetrischen Schlüssel unabhängig abzuleiten.
Perfekte Vorwärtsgeheimnis: PFS leitet die Phase-2-Schlüssel unabhängig von den Phase-1-Schlüsseln ab. Wenn Sie PFS angeben, generieren die Firewalls für jeden Phase-2-Tunnel einen neuen Schlüssel mit jeweils einem neuen DH-Schlüsselaustausch. Alternativ können Sie die Phase-1-DH-Gruppen zur Generierung eines neuen Schlüssels verwenden oder auf einen neuen DH-Schlüsselaustausch für Phase 2 verzichten. Wenn Sie keine DH-Gruppe auswählen, verwenden die Firewalls den geheimen Phase-1-Schlüssel für den Phase-2-Austausch. PFS bietet die höchste Sicherheit und generiert für jeden Phase-2-Tunnel einen unabhängigen gemeinsamen Schlüssel mit einer anderen DH-Gruppe als der Phase-1-Gruppe.
Schlüssellebensdauer: Sie können den Firewalls erlauben, den Verhandlungsprozess automatisch zu starten, bevor der aktuelle gemeinsame geheime Schlüssel abläuft. Jede der Firewalls kann die Neuverhandlung starten. Wenn Sie die Neuverschlüsselung auf der lokalen Firewall deaktivieren, kann diese weiterhin auf eine Neuverschlüsselungsanforderung der Remote-Firewall reagieren. Wenn Sie sie auf beiden Firewalls deaktivieren, verwendet die Verbindung während ihrer gesamten Lebensdauer denselben Schlüssel.
Die in Phase 1 festgelegten Einstellungen für Schlüssellebensdauer und Neuverschlüsselung werden auch für die Neuverschlüsselung in Phase 2 verwendet. Je nach PFS wird bei der Aushandlung der neu generierte Schlüssel aus Phase 1 verwendet oder ein neuer Schlüssel für Phase 2 generiert.
Sie können die maximale Anzahl von Wiederholungsversuchen festlegen, wenn ein Schlüsselaustausch fehlschlägt. Alternativ können Sie festlegen, dass keine Wiederholungsversuche durchgeführt werden.
Tipp
Die Sophos Firewall unterstützt nur die zeitbasierte Neuverschlüsselung. Um eine IPsec-Verbindung zwischen der Sophos Firewall und einer Firewall eines Drittanbieters zu konfigurieren, wählen Sie die zeitbasierte Neuverschlüsselung in der Firewall des Drittanbieters aus.
NAT-Traversal
Die Sophos Firewall erkennt NAT-Geräte im IPsec-Pfad automatisch und führt standardmäßig NAT-Traversal (NAT-T) durch.
NAT-T ermöglicht Firewalls den Aufbau von IPsec-Verbindungen, wenn sich eine oder beide Firewalls hinter einem NAT-Gerät, beispielsweise einem Router, befinden. Bei diesem Router kann es sich um Ihren Netzwerkrouter oder den Router eines Internetanbieters handeln.
Sophos Firewall-Geräte führen NAT-T für IKEv1 und IKEv2 sowie Remote-Zugriff, richtlinienbasierte und routenbasierte IPsec-VPNs aus.
Notiz
Wenn Sie an einem Ende eine Firewall eines Drittanbieters verwenden, stellen Sie sicher, dass Sie deren NAT-T-Einstellung ausgewählt haben. Auf Sophos Firewall-Geräten ist die Auswahl nicht erforderlich.
So konfigurieren Sie
Auf Sophos Firewall-Geräten können Sie keine NAT-T-Einstellung sehen, da diese automatisch ausgeführt wird, wenn die Firewalls ein NAT-Gerät im IPsec-VPN-Pfad erkennen.
Um IPsec-Verbindungen herzustellen, wenn sich Sophos Firewall-Geräte hinter einem NAT-Gerät befinden, konfigurieren Sie die folgenden Einstellungen auf dem NAT-Gerät:
- Erstellen Sie eine DNAT-Regel, um eingehenden IPsec-VPN-Verkehr von der öffentlichen IP-Adresse in die private IP-Adresse zu übersetzen, die die Abhörschnittstelle der Sophos Firewall darstellt.
-
Erlauben Sie die folgenden Dienste:
- UDP-Port 500: Phase-1-IKE-Austausche verwenden diesen Dienst. Phase-2-Austausche verwenden diesen Dienst, wenn kein NAT-Gerät vorhanden ist.
- IP-Protokoll 50: ESP-Pakete verwenden diesen Dienst, wenn kein NAT-Gerät vorhanden ist.
- UDP-Port 4500: Wenn die Firewalls ein NAT-Gerät erkennen, verwenden sie diesen Dienst für nachfolgende Verhandlungen der Phase 1, IKE-Austausche der Phase 2 und ESP-Pakete.
Sehen IPsec-VPN mit Firewall hinter einem Router.
Warum IPsec-Pakete mit UDP kapseln?
Firewalls erkennen die Anwesenheit eines NAT-Geräts während des IKE-Austauschs in Phase 1.
Kein NAT-Gerät: Wenn die Firewalls kein NAT-Gerät auf dem IPsec-Pfad erkennen, setzen sie den Phase-1-Austausch fort und führen den Phase-2-IKE-Austausch über UDP-Port 500 durch. Zusätzlich senden sie die Datenpakete (ESP) mithilfe des IP-Protokolls 50.
NAT-Gerät auf dem IPsec-Pfad: Wenn die Firewalls ein NAT-Gerät erkennen, stimmen beide Firewalls während der IKE-Verhandlung der ersten Phase NAT-T zu. Die nachfolgenden Verhandlungen der ersten Phase führen sie über UDP-Port 4500. Zusätzlich verwenden sie UDP-Kapselung, um die IKE-Austausch- und ESP-Datenpakete der zweiten Phase in IP-Header zu packen und über UDP 4500 zu senden.
Das NAT-Gerät übersetzt die IP-Adresse in diesem Header. Die Remote-Firewall entfernt den Header und verarbeitet das ursprüngliche IPsec-Paket.
NAT-Geräte übersetzen die private Quell-IP-Adresse in eine öffentliche Adresse. Zusätzlich können sie den Port übersetzen, wenn Port Address Translation (PAT) konfiguriert ist. ESP, ein Layer-3-Protokoll, überträgt keine Layer-4-Portinformationen. UDP-Kapselung mit 4500 als Quell- und Zielport ermöglicht den Firewalls die Identifizierung der Pakete. Ohne UDP-Kapselung verwirft die Remote-Firewall die von einem NAT-Gerät empfangenen IPsec-Pakete.
Weitere Ressourcen