Description:
Die IKE- und IPSec-Lifetimes müssen nicht auf beiden Seiten übereinstimmen, das Rekeying wird dann von dem Initiator kurz vor Ablauf der ausgehandelten Lifetime (üblicherweise die kleinere Lifetime beider Router) angestoßen. Es kann aber in Einzelfällen zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten. Dazu müssen die Lifetimes allerdings auf beiden Routern auf den gleichen oder zumindest einen sehr ähnlichen Wert gesetzt werden.
Aus Sicherheitsgründen sollten die Lifetimes nicht zu hoch sein, da die Schlüssel ansonsten kompromittiert werden könnten. Ebenso sollten die Lifetimes aber auch nicht zu klein sein, um ein häufiges und aufwendiges Rekeying zu vermeiden.
In diesem Artikel wird beschrieben, wie die Lifetimes für IKEv1 auf einer LANCOM R&S®Unified Firewall angepasst werden können.
Requirements:
- LANCOM R&S®Unified Firewall ab LCOS FX 10.4
- Bereits eingerichtete und funktionsfähige VPN-Verbindung per IKEv1
- Informationen zu den Lifetimes müssen von der Gegenseite vorliegen oder auf beiden Seiten frei wählbar sein
- Web-Browser zur Konfiguration der Unified Firewall
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
Procedure:
1. Anpassung der IKE- und IPSec-Lifetimes auf der Unified Firewall:
1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall, wechseln in das Menü VPN → IPSec → Sicherheits-Profile und klicken auf das "Plus-Symbol", um ein neues Profil anzulegen.
Weitere Informationen zu Sicherheits-Profilen und Vorlagen für VPN-Verbindungen finden Sie in diesem Knowledge Base Artikel.
1.2 Tragen Sie die Verschlüsselungseinstellungen wie bei der bisherigen VPN-Verbindung ein und passen folgende Parameter im Reiter ISAKMP (IKE) (Phase 1) an:
- Name: Vergeben Sie einen aussagekräftigen Namen für das Sicherheits-Profil (in diesem Beispiel IKEv1-Filiale).
- SA-Lebensdauer: Tragen Sie die gewünschte Gültigkeitsdauer in Sekunden ein. Es kann ein maximaler Wert von 86.400 Sekunden (1 Tag) eingetragen werden.
LANCOM Systems empfiehlt eine maximale Gültigkeitsdauer von 86.400 Sekunden zu verwenden. Dies entspricht der maximal möglichen und auch der vom BSI mit Stand November 2021 für IKEv2 empfohlenen maximalen Gültigkeitsdauer von 86.400 Sekunden.
1.3 Wechseln Sie in den Reiter IPSec (ESP) (Phase 2), tragen die Verschlüsselungseinstellungen wie bei der bisherigen VPN-Verbindung ein und passen die SA-Lebensdauer an. Klicken Sie anschließend auf Erstellen:
- SA-Lebensdauer: Tragen Sie die gewünschte Gültigkeitsdauer in Sekunden ein. Es kann ein maximaler Wert von 86.400 Sekunden (1 Tag) eingetragen werden.
LANCOM Systems empfiehlt eine maximale Gültigkeitsdauer von 28.800 Sekunden (8 Stunden). Das BSI empfiehlt mit Stand November 2021 für IKEv2 sogar eine maximale Gültigkeitsdauer von 14.400 Sekunden (4 Stunden).
1.4 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken bei der verwendeten VPN-Verbindung auf das "Stift-Symbol", um in die erweiterten Einstellungen zu gelangen.
1.5 Wählen Sie das in Schritt 1.2 - 1.3 erstellte Sicherheits-Profil aus und klicken auf Speichern.
2. Neustart der VPN-Verbindung:
Damit die vorgenommenen Änderungen umgesetzt werden, muss die VPN-Verbindung neugestartet werden.
2.1 Klicken Sie in dem Menü Verbindungen bei der VPN-Verbindung auf das "Pfeilkreis-Symbol", um die VPN-Verbindung neuzustarten.
2.2 Bestätigen Sie die Abfrage mit einem Klick auf Neustarten.