Versionen im Vergleich

Alte Version 4

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 5

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Seiteneigenschaften


Description:

Die IKE- und IPSec-Lifetimes müssen nicht auf beiden Seiten übereinstimmen, das Rekeying wird dann von dem Initiator kurz vor Ablauf der ausgehandelten Lifetime (üblicherweise die kleinere Lifetime beider Router) angestoßen. Es kann aber in Einzelfällen zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten. Dazu müssen die Lifetimes allerdings auf beiden Routern auf den gleichen oder zumindest einen sehr ähnlichen Wert gesetzt werden.

Aus Sicherheitsgründen sollten die Lifetimes nicht zu hoch sein, da die Schlüssel ansonsten kompromittiert werden könnten. Ebenso sollten die Lifetimes aber auch nicht zu klein sein, um ein häufiges und aufwendiges Rekeying zu vermeiden.

In diesem Artikel wird beschrieben, wie die Lifetimes für IKEv1 auf einem LANCOM Router angepasst werden können. 

Info

Wenden Sie sich bezüglich der Konfiguration der Lifetimes auf einem Gerät eines Fremdherstellers bitte an den jeweiligen Hersteller.

Requirements:

  • LCOS ab Version 8.50 (download aktuelle Version)
  • LANtools ab Version 8.50 (download aktuelle Version)
  • Bereits eingerichtete und funktionsfähige VPN-Verbindung per IKEv1
  • Informationen zu den Lifetimes müssen von der Gegenseite vorliegen oder auf beiden Seiten frei wählbar sein
  • SSH-Client wie z.B. PuTTY für den Zugriff auf die Konsole

Procedure:

1. Anpassung der IKE-Lifetimes (Phase 1):

There is no need for the IKE and IPsec lifetimes to be the same at both ends. Rekeying is initiated shortly before the negotiated lifetime expires, usually after the shorter of the two routers’ lifetimes. However, under certain circumstances the connection may be lost during rekeying. If this is the case, it may be worthwhile to increase the lifetimes so that disconnections occur less often. This does require the lifetimes on both routers to have the same or at least a very similar values.

For security reasons, the lifetimes should not be too long, otherwise the keys could be compromised. Equally, the lifetimes should not be too short in order to avoid frequent and time-consuming rekeying.

This article describes how to adjust the IKEv1 lifetimes on a LANCOM router. 

Info

Regarding the configuration of lifetimes on a third-party device, please contact the manufacturer.



Requirements:

  • LCOS as of version 8.50 (download latest version)
  • LANtools from version 8.50 (download latest version)
  • A configured and functional IKEv1 VPN connection
  • Information about the lifetimes must be available or freely selectable at both ends
  • SSH client such as PuTTY for access to the command line


Procedure:

1) Adjust the IKE lifetimes (phase 1):

1.1) Open the configuration of the router in LANconfig and navigate to 1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü VPN → IKE/IPSec → IKE proposals.  

1.2 Klicken Sie auf Add, um ein neues Proposal zu erstellen.) Click on Add to create a new proposal.

Hinweis

Under no circumstances should you edit or adapt the existing default proposals, otherwise other VPN connections that use the adapted proposal may no longer function correctly

Hinweis

Die vorhandenen Standard-Proposals sollten auf keinen Fall bearbeitet und angepasst werden, da ansonsten gegebenenfalls andere VPN-Verbindungen nicht mehr korrekt funktionieren, wenn diese das angepasste Proposal verwenden.

1.3 Tragen Sie die Verschlüsselungseinstellungen wie bei der bisherigen VPN-Verbindung ein und passen folgende Parameter an) Enter the encryption settings as for the previous VPN connection and adjust the following parameters:

  • Identification: Vergeben Sie einen aussagekräftigen Namen Enter a descriptive name (in diesem Beispiel this example OFFICE-PH1-PROP). Die Länge ist auf maximal 17 Zeichen beschränktThe key length is limited to 17 characters.
  • Lifetime: Tragen Sie die gewünschte Gültigkeitsdauer in Sekunden ein. Eine Gültigkeitsdauer in kBytes wird in der Phase 1 nicht konfiguriert, da hier nur sehr wenige Daten übertragen werden. Belassen Sie den Wert daher auf der Standard-Einstellung Enter the required lifetime in seconds. A lifetime in kBytes is not configured in phase 1 because very little data is transferred here. In this case leave the value at the default setting 0 kBytes.
Info

LANCOM Systems empfiehlt eine maximale Gültigkeitsdauer von 108.000 Sekunden zu verwenden (entspricht der Standard-Einstellung). Das BSI empfiehlt mit Stand November 2021 für IKEv2 sogar eine maximale Gültigkeitsdauer von 86.400 Sekunden (1 Tag)recommends a maximum lifetime of 108,000 seconds (corresponds to the default setting). As of November 2021, the BSI (German Federal Office for Information Security) recommends a maximum lifetime of 86,400 seconds (1 day) for IKEv2.

1.4 Wechseln Sie in das Menü ) Navigate to the IKE proposal lists menu.

1.5 Klicken Sie auf Add, um eine neue ) Click on Add to create a new IKE proposal list zu erstellen.

Hinweis

Die vorhandenen IKE-Proposal-Listen sollten auf keinen Fall bearbeitet und angepasst werden, da ansonsten gegebenenfalls andere VPN-Verbindungen nicht mehr korrekt funktionieren, wenn diese die angepasste Liste verwendenUnder no circumstances should you edit or adapt the existing IKE proposal lists, otherwise other VPN connections that use the adapted list may no longer function correctly.

1.6 Passen Sie folgende Parameter an) Enter the following parameters:

  • Identification: Vergeben Sie einen aussagekräftigen Namen  Enter a descriptive name (in diesem Beispiel this example OFFICE-PH1-LIST). Die Länge ist auf maximal 17 Zeichen beschränktThe key length is limited to 17 characters.
  • Proposal: Wählen Sie im Dropdownmenü das in Schritt From the drop-down menu, select the IKE proposal created in step 1.3 erstellte IKE-Proposal aus.



2. Anpassung der IPSec-Lifetimes (Phase ) Adjust the IPsec lifetimes (phase 2):

2.1 Wechseln Sie in das Menü IPSec proposals) Switch to the IPsec proposals menu.

2.2 Klicken Sie auf Add, um ein neues IPSec proposal zu erstellen.) Click on Add to create a new IPsec proposal.

Hinweis

Under no circumstances should you edit or adapt the existing default proposals, otherwise other VPN connections that use the adapted proposal may no longer function correctly

Hinweis

Die vorhandenen Standard-Proposals sollten auf keinen Fall bearbeitet und angepasst werden, da ansonsten gegebenenfalls andere VPN-Verbindungen nicht mehr korrekt funktionieren, wenn diese das angepasste Proposal verwenden.

2.3 Tragen Sie die Verschlüsselungseinstellungen wie bei der bisherigen VPN-Verbindung ein und passen folgende Parameter an) Enter the encryption settings as for the previous VPN connection and adjust the following parameters:

  • Identification: Vergeben Sie einen aussagekräftigen Namen Enter a descriptive name (in diesem Beispiel this example OFFICE-PH2-PROP). Die Länge ist auf maximal 17 Zeichen beschränktThe key length is limited to 17 characters.
  • Lifetime: Tragen Sie die gewünschte Gültigkeitsdauer in Sekunden ein. Belassen Sie die Gültigkeitsdauer in kBytes auf der Standard-Einstellung 2.000.Enter the required lifetime in seconds. Leave the lifetime in kBytes at the default setting 2,000,000 kBytes
Info

LANCOM Systems empfiehlt eine maximale Gültigkeitsdauer von 28.800 Sekunden (8 Stunden) in Verbindung mit einem Datenvolumen von 2.000.000 kBytes zu verwenden (entspricht der Standard-Einstellung). Das BSI empfiehlt mit Stand November 2021 für IKEv2 sogar eine maximale Gültigkeitsdauer von 14.400 Sekunden (4 Stunden)recommends a maximum lifetime of 28,800 seconds (8 hours) in combination with a data volume of 2,000,000 kBytes (corresponds to the default setting). As of November 2021, the BSI (German Federal Office for Information Security) recommends a maximum lifetime of 14,400 seconds (4 hours) for IKEv2.

2.4 Wechseln Sie in das Menü IPSec-Proposal-Listen) Switch to the IPsec proposal lists menu.

2.5 Klicken Sie auf Add, um eine neue IPSec proposal list zu erstellen.) Click on Add to create a new IPsec proposal list.

Info

Instead of creating a new IPsec proposal list, you can also directly edit the proposal list for the VPN connection itself (in this example

Info

Anstatt eine neue IPSec-Proposal-Liste zu erstellen, kann auch die Proposal-Liste der anzupassenden VPN-Verbindung bearbeitet werden (in diesem Beispiel IPS-VPN-OFFICE). Stellen Sie in diesem Fall aber unbedingt sicher, dass diese nicht noch von anderen VPN-Verbindungen verwendet wird, da diese ansonsten gegebenenfalls nicht mehr korrekt funktionierenHowever, make absolutely sure that it is not being used by any other VPN connections, otherwise they may no longer function properly.

2.6 Passen Sie folgende Parameter an) Enter the following parameters:

  • Identification: Vergeben Sie einen aussagekräftigen Namen  Enter a descriptive name (in diesem Beispiel this example OFFICE-PH2-LIST). Die Länge ist auf maximal 17 Zeichen beschränktThe key length is limited to 17 characters.
  • Proposal: Wählen Sie im Dropdownmenü das in Schritt From the drop-down menu, select the IPsec proposal created in step 2.3 erstellte IPSec-Proposal aus.



3. Zuweisen der angepassten Proposals zu der VPN-Verbindung:

...