Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=profiles-IPsec-add

Fügen Sie ein IPsec-Profil hinzu

Sie können die Parameter für Phase 1 und Phase 2 des Internet Key Exchange (IKE) festlegen, um IPsec- und L2TP-Tunnel zwischen zwei Firewalls einzurichten. Außerdem können Sie die Einstellungen für die Schlüsselaushandlung und die Erkennung inaktiver Peers konfigurieren.

Allgemeine Einstellungen

Konfigurieren Sie die IKE-Version und die Einstellungen für die Schlüsselaushandlung.

  1. Gehe zu Profile > IPsec-Profile und klicken Hinzufügen.
  2. Geben Sie einen Namen ein.

  3. Für Schlüsselaustausch: Wählen Sie eine IKE-Version für Phase-1- und Phase-2-Austausche aus:

    • IKEv1
    • IKEv2: Es ist schneller und sicherer und bietet zusätzliche Vorteile wie NAT-Traversal.

  4. (Nur IKEv1) Für Authentifizierungsmodus: Wählen Sie für den Diffie-Hellman-Schlüsselaustausch der Phase 1 einen Modus aus den folgenden Optionen aus:

    • Hauptmodus: Führt drei bidirektionale Datenaustausche durch und ist sicher. IKEv2 verwendet immer den Hauptmodus.

    • Aggressiver Modus: Führt den Schlüsselaustausch in drei Nachrichten durch, und die Authentifizierungsinformationen werden im Klartext gesendet.

      Warnung

      Wir empfehlen den aggressiven Modus nicht, da er nicht sicher ist.

  5. Für Wichtige Verhandlungsversuche: Geben Sie hier an, wie oft die Firewall versuchen soll, den Schlüsselaustausch für den Tunnel auszuhandeln, bevor sie den Vorgang abbricht. Wir empfehlen, diesen Wert auf null zu setzen.

  6. Wählen Verbindung neu verschlüsseln um die Verhandlung automatisch zu starten, bevor der Schlüssel für Phase-1- und Phase-2-Austausche abläuft.

    Deaktivieren Sie das Kontrollkästchen, wenn nur die Remote-Firewall die Aktivierung initiieren soll. Um die Sicherheit zu gewährleisten, aktivieren Sie die erneute Schlüsselüberprüfung auf einer oder beiden Firewalls.

    Tipp

    Die Firewall unterstützt ausschließlich zeitbasierte Schlüsselneuerzeugung. Wenn Sie Verbindungen mit Firewalls von Drittanbietern herstellen, stellen Sie sicher, dass Sie dort ebenfalls die zeitbasierte Schlüsselneuerzeugung aktivieren.

  7. Wählen Verwenden Sie ein striktes Profil um sicherzustellen, dass der IKE-Austausch nur die konfigurierten Parameter verwendet und Standardwerte, die das System möglicherweise verwendet, ausschließt.

    Dies gewährleistet einen erfolgreichen Handshake in Situationen, in denen Paketfragmentierung Probleme verursacht, die den Aufbau von Tunneln verhindern.

  8. Wählen Daten im komprimierten Format übergeben Um die Nutzdaten zu komprimieren und die Bandbreitennutzung zu reduzieren, werden die Daten vor der Verschlüsselung komprimiert.

  9. Wählen SHA2 mit 96-Bit-Abschneidung um die HMAC-Hashwerte der Authentifizierung zu kürzen.

Phase 1

Legen Sie die Einstellungen für Phase 1 fest, um einen verschlüsselten Tunnel zwischen den beiden Firewalls herzustellen.

  1. Legen Sie die Lebensdauer des Schlüssels und die Einstellungen für die Schlüsselerneuerung fest:

    1. Für Schlüsselleben: Geben Sie die Zeit in Sekunden ein.

      Es handelt sich um die Lebensdauer der Sicherheitsassoziation (SA). Wenn die SA abläuft, beginnt die Schlüsselverhandlung erneut, sofern Sie dies ausgewählt haben. Verbindung neu verschlüsseln: und eine neue SA wird eingerichtet oder die Verbindung wird beendet.

      Tipp

      Um Schlüsselaustauschkonflikte zu vermeiden, befolgen Sie diese Richtlinien:

      Die Lebensdauer des Initiators sollte kürzer sein als die des Responders.

      Die Lebensdauer des Phase-2-Schlüssels sollte in beiden Firewalls niedriger sein als der Wert für Phase 1.

      Sehen Sie sich beispielsweise die Werte in den Standardprofilen an. Zweigstelle (IKEv2) für den Initiator und Hauptsitz (IKEv2) für den Antwortenden.

    2. Für Neueingabemarge: Geben Sie die Zeit in Sekunden ein.

      Wenn dieser Zeitpunkt im entscheidenden Lebensabschnitt verbleibt, beginnt der Verhandlungsversuch.

    3. Für Neueingabemarge zufällig festlegen um: Geben Sie einen Prozentwert ein, um den die Rückmeldemarge zufällig variiert wird.

    Beispiel

    Schlüssellebensdauer: 8 Stunden

    Nachfrist für die Schlüsselübergabe: 10 Minuten. Der Versuch der Schlüsselverhandlung sollte bei 7 Stunden 50 Minuten beginnen.

    Randomisierung: 20 Prozent. Der Verhandlungsversuch beginnt um 7 Stunden 48 Minuten und endet um 7 Stunden 52 Minuten.

  2. Legen Sie die Verschlüsselungs- und Authentifizierungseinstellungen fest:

    1. Unter DH-Gruppe (Diffie-Hellman-Gruppe): Wählen Sie die Gruppen aus, um die Schlüsselstärke beim Schlüsselaustausch zu bestimmen. Wählen Sie dieselben Optionen in der Remote-Firewall.

      Innerhalb eines Gruppentyps (z. B. ecp und curve) erzeugen DH-Gruppen mit höheren Zahlen längere Schlüssel und sind stärker.

    2. Wählen Sie die Algorithmen für die folgenden Einstellungen aus:

      1. Verschlüsselung
      2. Authentifizierung

    Tipp

    Um die Integrität des Datenaustauschs zu gewährleisten, können Sie bis zu drei Verschlüsselungs- und Authentifizierungsalgorithmen auswählen.

    Sie müssen mindestens eine dieser Kombinationen in der Remote-Firewall konfigurieren.

    Notiz

    Im aggressiven Modus kann nur eine Kombination gespeichert werden.

Phase 2

Legen Sie die Einstellungen für die Phase-2-SAs fest, um die Datenübertragung durch den Tunnel zu sichern.

  1. Verwenden PFS-Gruppe (Perfect Forward Secrecy) erzwingt einen neuen Schlüsselaustausch für jeden Phase-2-Tunnel. Die Verwendung von PFS bietet mehr Sicherheit. Wählen Sie aus den folgenden Optionen:

    • Keiner: Schaltet PFS aus.

      Warnung

      Wir raten von dieser Option ab. Wenn die Phase-1-Schlüssel kompromittiert werden, können alle Phase-2-Sitzungen entschlüsselt werden. Verwenden Sie diese Option nur, wenn es sich bei dem Remote-Peer um eine Firewall eines Drittanbieters handelt, die PFS nicht unterstützt.

    • Gleiches gilt für Phase 1: Nutzt die DH-Gruppen der Phase 1 für die Verhandlungen der Phase 2.

    • Bei den anderen Optionen verwendet die Firewall die von Ihnen angegebene DH-Gruppe für Phase-2-Sitzungsschlüssel. Wir empfehlen die Auswahl einer DH-Gruppe.

  2. Für Schlüsselleben: Geben Sie die Zeit in Sekunden für die Phase-2-SAs ein.

    Tipp

    Um Schlüsselaustauschkonflikte zu vermeiden, befolgen Sie diese Richtlinien:

    Die Lebensdauer des Initiators sollte kürzer sein als die des Responders.

    Die Lebensdauer des Phase-2-Schlüssels sollte in beiden Firewalls niedriger sein als der Wert für Phase 1.

    Sehen Sie sich beispielsweise die Werte in den Standardprofilen an. Zweigstelle (IKEv2) für den Initiator und Hauptsitz (IKEv2) für den Antwortenden.

  3. Wählen Sie die Algorithmen für die folgenden Einstellungen aus:

    1. Verschlüsselung
    2. Authentifizierung

    Tipp

    Um die Integrität des Datenaustauschs zu gewährleisten, können Sie bis zu drei Verschlüsselungs- und Authentifizierungsalgorithmen auswählen.

    Sie müssen mindestens eine dieser Kombinationen in der Remote-Firewall konfigurieren.

    Notiz

    Im aggressiven Modus kann nur eine Kombination gespeichert werden.

Erkennung toter Gleichaltriger

Legen Sie die Einstellungen fest, um nicht reagierende Peers zu erkennen, bevor Daten gesendet werden, falls der Phase-2-Tunnel inaktiv geblieben ist. Wir empfehlen Ihnen, diese Option zu aktivieren. Erkennung toter Gleichaltriger.

  1. Wählen Erkennung toter Gleichaltrige um zu prüfen, ob der Peer verfügbar ist.
  2. Für Überprüfen Sie den Peer nach jedem: Geben Sie die Zeit in Sekunden ein.

  3. Für Warten Sie bis zu einer Antwort: Geben Sie die Antwortzeit in Sekunden für IKEv1 ein. Wenn der Peer innerhalb dieser Zeit nicht antwortet, gilt er als nicht verfügbar.

    Notiz

    Bei IKEv1 hängt die Anzahl der Prüfungen von der von Ihnen angegebenen Antwortzeit ab.

    Bei IKEv2 hängt die Anzahl der Prüfungen vom standardmäßigen Timeout für die erneute Übertragung von IKE-Nachrichten ab. Daher hat dieser Wert keine Auswirkung.

  4. Für Wenn der Gegenüber nicht erreichbar ist: Wählen Sie eine Aktion aus den folgenden Optionen aus:

    • Halten: Behält die installierten Verkehrswähler bei und verhandelt den Tunnel bei Bedarf neu.
    • Trennen: Schließt die Verbindung. Verwenden Sie dies für die Hauptniederlassung.

    • Neu starten: Löst bei einem DPD-Timeout sofort einen Versuch zur Neuverhandlung der Verbindung aus. Verwenden Sie diese Funktion für Außenstellen.

      Die Firewall versucht, den Tunnel anhand der Anzahl der Wichtige Verhandlungsversuche Sie geben es an.

  5. Klicken Speichern.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen