Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=profiles-IPsec

IPsec-Profile

Mit IPsec-Profilen können Sie die IKE-Parameter (Internet Key Exchange) der Phase 1 und Phase 2 für den Aufbau von IPsec- und L2TP-Tunneln zwischen zwei Firewalls festlegen.

Notiz

Bei Sophos Firewall Version 18.5 und früheren Versionen wurden IPsec-Profile als IPsec-Richtlinien bezeichnet.

Die Standardprofile decken einige gängige Szenarien ab. Sie können auch benutzerdefinierte Profile konfigurieren.

  • Um die Sicherheitsparameter für Phase 1 und Phase 2 festzulegen, gehen Sie zu Profile > IPsec-Profile.
  • Um ein IPsec-Profil zu klonen, klicken Sie auf Klonen. Button for duplicating a policy..

  • Klicken Weitere Eigenschaften anzeigen Über der Namensspalte können Sie zusätzliche Einstellungen für die Listenansicht auswählen. Sie können die Eigenschaften per Drag & Drop verschieben, um die Listenansicht neu anzuordnen.

    Tipp

    Zur Fehlerbehebung bei IPsec-Tunneln in Verbindungen und Failovergruppen benötigen Sie möglicherweise die Eigenschaften des IPsec-Profils.

  • Sie können IPsec-Profile auf die folgenden Konfigurationen anwenden:

    • VPN-Fernzugriff > IPsec Und L2TP
    • Site-to-Site-VPN > IPsec

Sie können IPsec-Tunnel zwischen zwei Sophos Firewall-Geräten oder zwischen einer Sophos Firewall und einer Firewall eines Drittanbieters erstellen.

IKE und SAs

Internet Key Exchange (IKE): IKE ermöglicht die Einrichtung einer Sicherheitsassoziation (SA) für die gemeinsame, sichere IPsec-Kommunikation. Beide Firewalls generieren über IKE denselben symmetrischen Schlüssel. Dieser Schlüssel dient der Ver- und Entschlüsselung von IP-Paketen.

Sie können die IKEv1- und IKEv2-Protokolle für den Schlüsselaustausch festlegen. Der aggressive Modus ist für IKEv2 nicht verfügbar.

Sicherheitsassoziation: Die Firewalls bauen über IKE-Aushandlung eine Sicherheitsassoziation (SA) untereinander auf und verwalten eine Liste dieser SAs, solange die entsprechenden Tunnel verbunden sind. SAs enthalten die Quell- und Ziel-IP-Adressen, Verschlüsselungs- und Authentifizierungsalgorithmen, die Schlüsselgültigkeitsdauer und den SPI (Security Personnel Interface).

Sicherheitsparameterindex: Der SPI ist eine eindeutige lokale Kennung, die von jeder Firewall generiert wird. Der SPI bezieht sich auf jede SA und identifiziert den Tunnel, zu dem ein Paket gehört.

Parameter der Phase 1

IKE SA: Die Firewall, die den Tunnel initiiert, sendet ihre Phase-1-Parameter, und die Peers verhandeln die zu verwendenden Parameter. Zu diesen Parametern gehören der Verschlüsselungsalgorithmus, der Hash-Algorithmus (Datenauthentifizierung), die Schlüssellänge, die DH-Gruppe, die Peer-Authentifizierungsmethode und die Schlüsselgültigkeitsdauer.

Im Hauptmodus verwenden IKE-SAs sechs Nachrichten und verschlüsselte Authentifizierung. Im aggressiven Modus verwenden sie drei Nachrichten und unverschlüsselte Authentifizierung.

Sobald die Peers eine Einigung erzielt haben, verfügt jeder über eine gemeinsame IKE-SA-Richtlinie für den Aufbau des Phase-1-Tunnels und einen Sicherheitsparameterindex (SPI), die eindeutige Kennung für jeden Tunnel. Anschließend führen die Peers einen Diffie-Hellman-Schlüsselaustausch (DH) durch und generieren lokal den gemeinsamen geheimen Schlüssel.

Peer-Authentifizierung: Die Peers authentifizieren sich dann gegenseitig mit dem von Ihnen angegebenen Authentifizierungstyp. IPsec.

Die von Ihnen angegebenen lokalen und Remote-Schnittstellen bzw. Gateways authentifizieren sich gegenseitig mithilfe einer der folgenden Optionen, abhängig vom Verbindungstyp:

  • IPsec-Verbindungen: Vorab geteilter Schlüssel, digitales Zertifikat oder RSA-Schlüssel.

    Zusätzlich können Sie lokale und Remote-IDs wie DNS-Namen, IP-Adressen oder E-Mail-Adressen verwenden, damit sich die Peers gegenseitig authentifizieren können, wenn Sie vorab geteilte Schlüssel oder RSA-Schlüssel verwenden. Bei Verwendung digitaler Zertifikate können Sie DER ASN.1 DN (x.509) für die lokalen und Remote-IDs verwenden.

  • L2TP: Vorab geteilter Schlüssel oder digitales Zertifikat. IKEv2 ist für L2TP-Tunnel nicht verfügbar.

Sie können die lokalen und entfernten Peers des Tunnels, den Peer-Authentifizierungsmechanismus und zusätzliche Authentifizierungsparameter, wie z. B. lokale und entfernte IDs, festlegen. IPsec Und L2TP.

Die Phase-1-Aushandlung ist abgeschlossen, die Peers haben sich gegenseitig authentifiziert, und die Firewalls haben einen bidirektionalen Phase-1-Tunnel zwischen den Peers aufgebaut. Über diesen Tunnel verhandeln die Firewalls die Phase-2-Parameter. Schlägt die Phase-1-Aushandlung fehl, können die Firewalls die Phase-2-Parameter nicht aushandeln.

Parameter der Phase 2

Die Sophos Firewall nutzt das Encapsulating Security Payload (ESP)-Protokoll im Tunnelmodus und bietet Datenintegrität, Datenursprungsauthentifizierung und einen Anti-Replay-Dienst.

IPsec-SAs: Die Firewalls nutzen den Phase-1-Tunnel, um Phase-2-SAs auszuhandeln. Diese umfassen den Verschlüsselungsalgorithmus, den Authentifizierungsalgorithmus, die Schlüssellebensdauer und optional den DH-Schlüsselaustausch mit Perfect Forward Secrecy (PFS). Sobald sich die Peers auf diese Parameter geeinigt haben, richten sie eine IPsec-SA ein und identifizieren diese mit einem lokalen SPI, dem eindeutigen Identifikator.

Perfect Forward Secrecy: Sie können PFS verwenden, um neue gemeinsame geheime Schlüssel für die Phase-2-Tunnel zu generieren.

Verkehrsselektoren: Stimmen die Verkehrsselektoren, d. h. die Subnetze oder Hosts (z. B. Server), auf beiden Firewalls überein, bauen die Firewalls einen Tunnel zwischen jedem Subnetzpaar (bzw. Hostpaar) auf. Phase-2-SAs verschlüsseln und authentifizieren den Datenverkehr zwischen den entsprechenden Hosts und Subnetzen.

Da Phase-2-SAs und Tunnel zwischen jedem Subnetz-Host-Paar eingerichtet werden, ist ihre Anzahl ein Vielfaches der von Ihnen angegebenen lokalen und entfernten Subnetze (oder Hosts). Siehe folgendes Beispiel:

Lokale Subnetze: Subnetz L1 und Subnetz L2

Remote-Subnetze: Subnetz R3 und Subnetz R4

In diesem Beispiel richten die Firewalls die folgenden vier Phase-2-Tunnel ein:

  • L1 bis R3
  • L1 bis R4
  • L2 zu R3
  • L2 bis R4

Eingehende Pakete werden anschließend entkapselt und entschlüsselt. Nachdem die entsprechende Firewall-Regel die Sicherheitsrichtlinien angewendet hat, wird der Datenverkehr an das Ziel gesendet. Ausgehende Pakete werden nach Anwendung der entsprechenden Firewall-Regel gekapselt und verschlüsselt.

XAuth: Zusätzlich können Sie die Benutzer- und Gruppenauthentifizierung mittels XAuth (Erweiterte Authentifizierung) festlegen, wenn Sie das VPN im Client-Server-Modus konfigurieren. Die Firewall am zentralen Standort kann im Servermodus konfiguriert werden. XAuth verwendet Ihren bestehenden Authentifizierungsmechanismus (z. B. AD, RADIUS oder LDAP) zur Authentifizierung der Benutzer nach dem Phase-1-Austausch. Anschließend konfigurieren Sie die Remote-Firewall im Clientmodus mit einem Benutzernamen und einem Passwort zur Authentifizierung gegenüber der Firewall im Servermodus.

Sie können die Verkehrsselektoren und XAuth-Einstellungen auswählen am IPsec Und L2TP.

Verschlüsselung, Authentifizierung, gemeinsames Geheimnis und Schlüssellebensdauer

Verschlüsselung: Sie können Verschlüsselungsalgorithmen wie AES verwenden. Dabei handelt es sich um symmetrische Schlüssel, die Paketdaten verschlüsseln und entschlüsseln.

Authentifizierung: Sie können Authentifizierungsalgorithmen wie SHA2 verwenden, um Daten zu authentifizieren und somit deren Integrität sicherzustellen. Die Sophos Firewall nutzt HMAC (Hash-basierter Message Authentication Code). Dabei wird mithilfe des Authentifizierungsalgorithmus ein Hashwert aus den Paketen und dem gemeinsamen geheimen Schlüssel berechnet. Dieser Hashwert wird mit den Paketen gesendet. Die Remote-Firewall berechnet den Hashwert aus der Nachricht und dem zugehörigen gemeinsamen geheimen Schlüssel erneut, um die Übereinstimmung der Hashwerte zu bestätigen.

Sie können bis zu drei Verschlüsselungs- und Authentifizierungsalgorithmen kombinieren, um ein einheitliches Set zu gewährleisten. Die Sophos Firewall verwendet die sicherste Kombination für die Kommunikation mit der Remote-Firewall.

Diffie-Hellman: Der DH-Schlüsselaustausch ermöglicht es Firewalls, den symmetrischen Schlüssel sicher über einen unsicheren Kanal wie das Internet auszutauschen. Jede Firewall generiert ein öffentliches und privates Schlüsselpaar und teilt den öffentlichen Schlüssel über den unsicheren Kanal mit der entfernten Firewall. Anschließend berechnet jede Firewall privat ein gemeinsames Geheimnis basierend auf dem lokalen privaten Schlüssel und dem öffentlichen Schlüssel der entfernten Firewall. Die privaten Schlüssel und das gemeinsame Geheimnis werden nicht ausgetauscht. Die Firewalls verwenden das gemeinsame Geheimnis, um den symmetrischen Schlüssel unabhängig voneinander abzuleiten.

Perfekte Vorwärtsgeheimhaltung: PFS leitet die Phase-2-Schlüssel unabhängig von den Phase-1-Schlüsseln ab. Bei Auswahl von PFS generieren die Firewalls für jeden Phase-2-Tunnel einen neuen Schlüssel mit jeweils einem neuen DH-Schlüsselaustausch. Alternativ können Sie die Phase-1-DH-Gruppen zur Generierung eines neuen Schlüssels verwenden oder auf einen neuen DH-Schlüsselaustausch für Phase 2 verzichten. Wenn Sie keine DH-Gruppe auswählen, verwenden die Firewalls den geheimen Phase-1-Schlüssel für die Phase-2-Austausche. PFS bietet die höchste Sicherheit, da für jeden Phase-2-Tunnel ein unabhängiger gemeinsamer Schlüssel mit einer anderen DH-Gruppe als der Phase-1-Gruppe generiert wird.

Schlüsselleben: Sie können die Firewalls so einstellen, dass sie den Aushandlungsprozess automatisch starten, bevor der aktuelle gemeinsame geheime Schlüssel abläuft. Jede der Firewalls kann die Neuverhandlung initiieren. Wenn Sie die Schlüsselerneuerung auf der lokalen Firewall deaktivieren, kann diese weiterhin auf eine Anfrage der Remote-Firewall reagieren. Wenn Sie die Schlüsselerneuerung auf beiden Firewalls deaktivieren, verwendet die Verbindung während ihrer gesamten Lebensdauer denselben Schlüssel.

Die in Phase 1 festgelegten Einstellungen für Schlüssellebensdauer und Schlüsselerneuerung werden auch für die Schlüsselerneuerung in Phase 2 verwendet. Je nach PFS verwendet die Aushandlung den in Phase 1 neu generierten Schlüssel oder erzeugt einen neuen Schlüssel für Phase 2.

Sie können die maximale Anzahl an Wiederholungsversuchen festlegen, falls ein Schlüsselaustausch fehlschlägt. Alternativ können Sie auch festlegen, dass keine Wiederholungsversuche erfolgen.

Tipp

Die Sophos Firewall unterstützt ausschließlich zeitbasierte Schlüsselneuerzeugung. Um eine IPsec-Verbindung zwischen der Sophos Firewall und einer Firewall eines Drittanbieters zu konfigurieren, wählen Sie auf der Firewall des Drittanbieters die zeitbasierte Schlüsselneuerzeugung aus.

NAT-Traversal

Die Sophos Firewall erkennt automatisch NAT-Geräte im IPsec-Pfad und führt standardmäßig NAT-Traversal (NAT-T) durch.

NAT-T ermöglicht es Firewalls, IPsec-Verbindungen herzustellen, wenn sich eine oder beide Firewalls hinter einem NAT-Gerät, wie beispielsweise einem Router, befinden. Bei diesem Router kann es sich um Ihren Netzwerkrouter oder einen Router Ihres Internetanbieters handeln.

Sophos Firewall-Geräte führen NAT-T für IKEv1 und IKEv2 sowie für Remote-Access-, richtlinienbasierte und routenbasierte IPsec-VPNs durch.

Notiz

Wenn Sie an einem Ende eine Firewall eines Drittanbieters verwenden, stellen Sie sicher, dass deren NAT-T-Einstellung aktiviert ist. Bei Sophos-Firewall-Geräten ist dies nicht erforderlich.

So konfigurieren Sie

Auf Sophos Firewall-Geräten ist keine NAT-T-Einstellung sichtbar, da diese automatisch erfolgt, sobald die Firewalls ein NAT-Gerät im IPsec-VPN-Pfad erkennen.

Um IPsec-Verbindungen herzustellen, wenn sich Sophos Firewall-Geräte hinter einem NAT-Gerät befinden, konfigurieren Sie die folgenden Einstellungen auf dem NAT-Gerät:

  1. Erstellen Sie eine DNAT-Regel, um eingehenden IPsec-VPN-Datenverkehr von der öffentlichen IP-Adresse auf die private IP-Adresse umzuleiten, die die Listening-Schnittstelle der Sophos Firewall ist.

  2. Folgende Dienste zulassen:

    • UDP-Port 500: Phase-1-IKE-Knoten nutzen diesen Dienst. Phase-2-Knoten nutzen diesen Dienst, wenn kein NAT-Gerät vorhanden ist.
    • IP-Protokoll 50: ESP-Pakete nutzen diesen Dienst, wenn kein NAT-Gerät vorhanden ist.
    • UDP-Port 4500: Wenn die Firewalls ein NAT-Gerät erkennen, verwenden sie diesen Dienst für die nachfolgenden Phase-1-Verhandlungen, Phase-2-IKE-Austausche und ESP-Pakete.

Sehen IPsec-VPN mit Firewall hinter einem Router.

Warum IPsec-Pakete mit UDP kapseln?

Firewalls erkennen das Vorhandensein eines NAT-Geräts während des IKE-Austauschs der Phase 1.

Kein NAT-Gerät: Wenn die Firewalls kein NAT-Gerät auf dem IPsec-Pfad erkennen, setzen sie den Phase-1-Austausch fort und führen den Phase-2-IKE-Austausch über UDP-Port 500 durch. Zusätzlich senden sie die Datenpakete (ESP) über IP-Protokoll 50.

NAT-Gerät auf dem IPsec-Pfad: Erkennen die Firewalls ein NAT-Gerät, stimmen beide Firewalls während der Phase-1-IKE-Aushandlung NAT-T zu. Die nachfolgenden Phase-1-Aushandlungen führen sie über UDP-Port 4500 durch. Zusätzlich verwenden sie UDP-Kapselung, um den Phase-2-IKE-Austausch und die ESP-Datenpakete in IP-Header einzubetten und über UDP 4500 zu senden.

Das NAT-Gerät übersetzt die IP-Adresse in diesem Header. Die entfernte Firewall entfernt den Header und verarbeitet das ursprüngliche IPsec-Paket.

NAT-Geräte übersetzen die private Quell-IP-Adresse in eine öffentliche Adresse. Zusätzlich können sie den Port übersetzen, wenn Port Address Translation (PAT) konfiguriert ist. ESP, ein Protokoll der Schicht 3, überträgt keine Portinformationen der Schicht 4. Die UDP-Kapselung mit Port 4500 als Quell- und Zielport ermöglicht es Firewalls, die Pakete zu identifizieren. Ohne UDP-Kapselung verwirft die entfernte Firewall die von einem NAT-Gerät empfangenen IPsec-Pakete.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen