Versionen im Vergleich

Alte Version 5

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 6

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Seiteneigenschaften


Description:

Die IKE- und IPSec-Lifetimes müssen nicht auf beiden Seiten übereinstimmen, das Rekeying wird dann von dem Initiator kurz vor Ablauf der ausgehandelten Lifetime (üblicherweise die kleinere Lifetime beider Router) angestoßen. Es kann aber in Einzelfällen zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten. Dazu müssen die Lifetimes allerdings auf beiden Routern auf den gleichen oder zumindest einen sehr ähnlichen Wert gesetzt werden.

Aus Sicherheitsgründen sollten die Lifetimes nicht zu hoch sein, da die Schlüssel ansonsten kompromittiert werden könnten. Ebenso sollten die Lifetimes aber auch nicht zu klein sein, um ein häufiges und aufwendiges Rekeying zu vermeiden.

There is no need for the IKE and IPsec lifetimes to be the same at both ends. Rekeying is initiated shortly before the negotiated lifetime expires, usually after the shorter of the two routers’ lifetimes. However, under certain circumstances the connection may be lost during rekeying. If this is the case, it may be worthwhile to increase the lifetimes so that disconnections occur less often. This does require the lifetimes on both routers to have the same or at least a very similar values.

For security reasons, the lifetimes should not be too long, otherwise the keys could be compromised. Equally, the lifetimes should not be too short in order to avoid frequent and time-consuming rekeying.

This article describes how to adjust the IKEv1 lifetimes on a LANCOM R&S®Unified FirewallIn diesem Artikel wird beschrieben, wie die Lifetimes für IKEv1 auf einer LANCOM R&S®Unified Firewall angepasst werden können


Requirements:

  • LANCOM R&S®Unified Firewall ab as of LCOS FX 10.4
  • Bereits eingerichtete und funktionsfähige VPN-Verbindung per IKEv1
  • Informationen zu den Lifetimes müssen von der Gegenseite vorliegen oder auf beiden Seiten frei wählbar sein
  • A configured and functional IKEv1 VPN connection
  • Information about the lifetimes must be available or freely selectable at both ends
  • Web browser for configuring the Unified Firewall

    The following browsers are supportedWeb-Browser zur Konfiguration der Unified Firewall
    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Procedure:

1. Anpassung der IKE- und IPSec-Lifetimes auf der ) Adjusting the IKE and IPsec lifetimes on the Unified Firewall:

1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall, wechseln in das Menü ) Use a web browser to connect to the Unified Firewall, switch to the menu VPN → IPSec → Security Profiles und klicken auf das "Plus-Symbol", um ein neues Profil anzulegen.Profiles and click on the "+” icon to create a new profile.

Info

Further information on security profiles and templates for VPN connections can be found in this Knowledge Base article

Info

Weitere Informationen zu Sicherheits-Profilen und Vorlagen für VPN-Verbindungen finden Sie in diesem Knowledge Base Artikel.

1.2 Tragen Sie die Verschlüsselungseinstellungen wie bei der bisherigen VPN-Verbindung ein und passen folgende Parameter im Reiter ) Enter the encryption settings as for the previous VPN connection and adjust the following parameters in the ISAKMP (IKE) (Phase 1) antab:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Sicherheits-Profil (in diesem Beispiel Enter a descriptive name for the security profile (in this example VPN-Office).
  • SA Lifetime: Tragen Sie die gewünschte Gültigkeitsdauer in Sekunden ein. Es kann ein maximaler Wert von 86.400 Sekunden (1 Tag) eingetragen werdenEnter the required lifetime in seconds. You can enter a maximum value of 86,400 seconds (1 day).
Info

LANCOM Systems empfiehlt eine maximale Gültigkeitsdauer von 86.400 Sekunden zu verwenden. Dies entspricht der maximal möglichen und auch der vom BSI mit Stand November 2021 für IKEv2 empfohlenen maximalen Gültigkeitsdauer von 86.400 Sekunden.recommends a maximum lifetime of 86,400 seconds. This is the maximum possible value and corresponds to the maximum lifetime of 86,400 seconds for IKEv2 as recommended by the BSI in November 2021.

1.3 Wechseln Sie in den Reiter IPSec ) Go to the IPsec (ESP) (Phase 2), tragen die Verschlüsselungseinstellungen wie bei der bisherigen VPN-Verbindung ein und passen die SA Lifetime an. Klicken Sie anschließend auf tab, enter the encryption settings to match those of the VPN connection, and adjust the SA lifetime. Then click on Create:

  • SA Lifetime: Tragen Sie die gewünschte Gültigkeitsdauer in Sekunden ein. Es kann ein maximaler Wert von 86.400 Sekunden (1 Tag) eingetragen werdenEnter the required lifetime in seconds. You can enter a maximum value of 86,400 seconds (1 day).
Info

LANCOM Systems empfiehlt eine maximale Gültigkeitsdauer von 28.800 Sekunden (8 Stunden). Das BSI empfiehlt mit Stand November 2021 für IKEv2 sogar eine maximale Gültigkeitsdauer von 14.400 Sekunden (4 Stunden)recommends a maximum lifetime of 28,800 seconds (8 hours). As of November 2021, the BSI (German Federal Office for Information Security) recommends a maximum lifetime of 14,400 seconds (4 hours) for IKEv2.

1.4 Wechseln Sie in das Menü VPN → IPSec → Connections und klicken bei der verwendeten VPN-Verbindung auf das "Stift-Symbol", um in die erweiterten Einstellungen zu gelangen.

...