utmshop Support-Portal - Sophos Firewall OS - Erstellen einer neuen IPsec-Richtlinie

Auf dieser Seite ist beschrieben, wie Sie eine neue IPsec-Richtlinie konfigurieren können.

Auf der Seite IPsec-Richtlinie hinzufügen können Sie manuell die Daten zum Hinzufügen einer IPsec-Richtlinie eingeben.

1. Gehen Sie zu Konfigurieren > VPN > IPsec-Profile und klicken Sie auf Hinzufügen.

2. Legen Sie die Details für die Allgemeinen Einstellungen fest.

Name

Geben Sie einen eindeutigen Namen für die IPsec-Richtlinie ein.

Beschreibung

Geben Sie eine Beschreibung für die IPsec-Richtlinie ein.

Schlüsselaustausch

Wählen Sie eine Internet Key Exchange (IKE) Version, die verwendet werden soll.

Authentifizierungsmethode

Wählen Sie einen Authentifizierungsmodus. Es dient dem Austausch von Authentifizierungsinformationen.

Verfügbare Optionen:

Hauptmodus – Führt den Diffie-Hellman-Schlüsselaustausch in drei Zwei-Wege-Austauschen aus.

Aggressiver Modus – Führt den Diffie-Hellman-Schlüsselaustausch in einem Zwei-Wege-Austausch aus. Ein Tunnel kann schneller eingerichtet werden, da während der Authentifizierung weniger Nachrichten ausgetauscht werden und zur Verschlüsselung der Authentifizierungsinformationen kein kryptografischer Algorithmus verwendet wird. Verwenden Sie diese Option, wenn der entfernte Peer dynamische IP-Adressen besitzt.

Der aggressive Modus ist unsicher und deshalb nicht empfehlenswert.

Schlüsselaushandlungsversuche

Legen Sie die maximale Anzahl an Schlüsselaushandlungsversuchen fest. Geben Sie 0 ein für unbegrenzte Versuche.

Schlüsselerneuerung zulassen

Aktivieren Sie die Schlüsselerneuerung, um die Aushandlung automatisch vor Schlüsselablauf zu starten. Die Aushandlung kann durch den lokalen oder entfernten Peer eingeleitet werden. Je nach PFS-Einstellung wird für die Aushandlung derselbe Schlüssel verwendet oder ein neuer Schlüssel generiert.

Daten in komprimiertem Format übergeben

Aktivieren Sie diese Option, um Daten in komprimiertem Format zu übergeben und dadurch den Durchsatz zu erhöhen.

SHA-2 mit 96-Bit-Verkürzung

Aktivieren für SHA2 mit 96-Bit-Verkürzung.

3. Geben Sie Details zu Phase 1 und Phase 2 an.

Schlüssel-Lebensdauer

Lebensdauer des Schlüssels in Sekunden.

Zeit bis zur Schlüsselerneuerung

Zeit in Sekunden der verbleibenden Schlüssel-Lebensdauer nach der die Schlüsselerneuerung erneut durchgeführt werden sollte. Wenn die Schlüssel-Lebensdauer beispielsweise acht Stunden beträgt und für die Schlüsselerneuerung ein Zeitrahmen von zehn Minuten zur Verfügung steht, beginnt der Aushandlungsprozess nach sieben Stunden und 50 Minuten.

Zeit variieren um

Faktor, um den die Schlüsselerneuerungszeit variiert. Wenn die Schlüssel-Lebensdauer beispielsweise acht Stunden beträgt, die Schlüsselerneuerung zehn Minuten und die Variation auf 20% eingestellt ist, beginnt die Aushandlung nach acht Minuten und endet bei zwölf Minuten.

Algorithmus

Kombination von Algorithmen, die für die Verschlüsselung und Authentifizierung des Diffie-Hellman-Schlüsselaustauschs verwendet werden soll. Sie können eine oder mehrere Kombinationen festlegen.

Der entfernte Peer muss so konfiguriert werden, dass mindestens eine der festgelegten Algorithmus-Kombinationen verwendet wird.

DH-Gruppe (Schlüsselgruppe)

Diffie-Hellman-Gruppe, die für die Verschlüsselung verwendet werden soll. Die Gruppe gibt die für die Verschlüsselung verwendete Schlüssellänge vor.

Der entfernte Peer muss so konfiguriert werden, dass dieselbe Gruppe verwendet wird.

Dead Peer Detection (DPD)

Aktivieren um im festgelegten Intervall zu prüfen, ob der Peer aktiv ist.

Peer überprüfen alle (nur wenn die Option Dead Peer Detection aktiviert ist)

Intervall in Sekunden zu dem der Peer geprüft wird.

Auf Antwort warten bis zu (nur wenn die Option Dead Peer Detection aktiviert ist)

Zeit in Sekunden, die auf die Rückmeldung des Peers gewartet wird. Wenn nicht innerhalb des festgelegten Intervalls eine Antwort empfangen wird, wird der Peer als inaktiv betrachtet.

Maßnahme wenn Peer unerreichbar (nur wenn die Option Dead Peer Detection aktiviert ist)

Legen Sie die Maßnahme fest, die durchgeführt werden soll, wenn festgestellt wird, dass der Peer inaktiv ist.

4. Klicken Sie auf Speichern.