Konfigurieren Sie die BOVPN-Sicherheitseinstellungen

Gilt für: Cloud-verwaltete Fireboxen

In einem BOVPN für eine Cloud-verwaltete Firebox legen die Sicherheitseinstellungen die Authentifizierungs- und Verschlüsselungseinstellungen für die VPN-Aushandlung fest. Damit die VPN-Endpoints erfolgreich eine VPN-Verbindung aushandeln können, müssen die Sicherheitseinstellungen auf der Cloud-verwalteten Firebox mit den Einstellungen übereinstimmen, die auf dem Remote-Endpoint konfiguriert sind.

Bei einem BOVPN zwischen zwei Cloud-verwalteten Fireboxen desselben Kontos werden die BOVPN-Sicherheitseinstellungen automatisch auf beiden Endpointen konfiguriert und können nicht bearbeitet werden.

Phase 1-Einstellungen

BOVPNs von einer Cloud-verwalteten Firebox verwenden das IKEv2-Protokoll. VPN-Endpoints verwenden die Einstellungen der Phase 1, um einen sicheren, authentifizierten Kanal auszuhandeln, über den sie kommunizieren können. Eine Phase 1-Transformation ist eine Reihe von Sicherheitsprotokollen und Algorithmen, die zum Schutz von VPN-Daten verwendet werden. Während der IKE-Aushandlung müssen sich die VPN Endpoints auf die zu verwendenden Einstellungen einigen. Sie können ein VPN so konfigurieren, dass es einem Peer mehr als eine Phase 1-Transformation anbietet.

Alle BOVPNs, bei denen ein Remote-Endpoint mit einem Domänennamen konfiguriert ist, haben für Phase 1 dieselben Einstellungen.

Jede Phase 1-Transformation umfasst diese Einstellungen:

Die Authentifizierungseinstellungen bestimmen den Authentifizierungsalgorithmus und die Hash-Größe. Eine Cloud-verwaltete Firebox unterstützt diese Optionen:

  • SHA2-256
  • SHA2-384
  • SHA2-512

Die Verschlüsselungseinstellungen bestimmen den Verschlüsselungsalgorithmus (AES-CBC oder AES-GCM) sowie die Schlüssellänge. Eine Cloud-verwaltete Firebox unterstützt diese Optionen:

  • AES-CBC (128-Bit)
  • AES-CBC (192-Bit)
  • AES-CBC (256-Bit)
  • AES-CBC (128-Bit)
  • AES-CBC (192-Bit)
  • AES-CBC (256-Bit)

Die SA Life gibt die Anzahl der Stunden an, bis die ausgehandelte Phase 1-Sicherheitsverknüpfung abläuft.

Die PFS-Gruppe gibt die Diffie-Hellman-Schlüsselgruppe an, die für Perfect Forward Secrecy (PFS) in Phase 1-VPN-Verhandlungen verwendet wird. Eine Cloud-verwalte Firebox unterstützt die Diffie-Hellman-Gruppen 14, 15, 19 und 20.

Die Standard BOVPN-Konfiguration hat eine Phase 1 Transformation mit diesen Einstellungen:

  • Authentifizierung — SHA2-256
  • Verschlüsselung — AES (256)
  • SA Life — 24 Stunden
  • Perfect Forward Secrecy (PFS) — Diffie-Hellman-Gruppe 14

Sie können die Standard Phase 1-Transformation nicht löschen. Sie können weitere Phase 1-Transformationen hinzufügen und die Reihenfolge ändern, in der sie in VPN-Verhandlungen verwendet werden.

So konfigurieren Sie die Phase 1-Einstellungen:

  1. Zuerst müssen Sie ein BOVPN hinzufügen oder bearbeiten. Weitere Informationen finden Sie unter Konfigurieren Sie ein BOVPN für eine lokal verwaltete Firebox oder einen Drittanbieter-VPN-Endpoint.
  2. Konfigurieren Sie diese Einstellungen auf der Seite Sicherheit, wenn Sie ein BOVPN hinzufügen.
    Wenn Sie ein BOVPN bearbeiten möchten, wählen Sie die Registerkarte Sicherheit.

  1. Klicken Sie im Abschnitt Phase 1-Einstellungen auf Phase 1-Einstellungen hinzufügen.

  1. Wählen Sie in der Dropdown-Liste Wird authentifiziert einer der Optionen SHA2-256, SHA-384 oder SHA-512.
  2. Wählen Sie in der Dropdown-Liste Verschlüsselung eine der Optionen AES-CBC (128-Bit), AES-CBC (192-Bit), AES-CBC (256-Bit), AES-GCM (128-Bit), AES-GCM (192-Bit) oder AES-GCM (256-Bit).
  3. Um SA Life (Sicherheitsverknüpfung) zu ändern, geben Sie in das Textfeld SA Life die Anzahl der Stunden ein.
  4. Wählen Sie in der Dropdown-Liste Diffie-Hellman-Gruppe die Diffie-Hellman-Gruppe 14, 15, 19 oder 20.
  5. Klicken Sie auf Hinzufügen.
    Die Phase 1-Transformation wird unten an die Liste der Phase 1-Einstellungen angefügt.

  1. Das VPN verwendet die Einstellungen in der Reihenfolge, in der sie aufgelistet sind. Um die Reihenfolge der Einstellungen zu ändern, klicken Sie auf den Ziehpunkt für die Phase 1-Transformation und ziehen Sie ihn in der Liste nach oben oder unten.
  2. Um eine Phase 1-Transformation aus der Liste zu entfernen, klicken Sie auf .

Phase 2-Einstellungen

VPN Endpoints verwenden Phase 2, um die Phase 2 SA (manchmal auch IPSec SA genannt) einzurichten. Die IPSec SA ist ein Satz von Datenverkehrsspezifikationen, die den Endpoints mitteilen, welcher Datenverkehr über das VPN gesendet werden soll und wie der Verkehr verschlüsselt und authentifiziert werden soll.

Cloud-verwaltete Fireboxen unterstützen diese Einstellungen der Phase 2:

Dies ist der Authentifizierungsalgorithmus und die Hash-Größe. Eine Cloud-verwaltete Firebox unterstützt diese Optionen:

  • SHA2-256
  • SHA2-384
  • SHA2-512

Dies ist der Algorithmus für die Verschlüsselung (AES oder AES-GCM) und die Länge des Schlüssels. Eine Cloud-verwaltete Firebox unterstützt diese Optionen:

  • AES-CBC (128-Bit)
  • AES-CBC (192-Bit)
  • AES-CBC (256-Bit)
  • AES-CBC (128-Bit)
  • AES-CBC (192-Bit)
  • AES-CBC (256-Bit)

Sie können Perfect Forward Secrecy (PFS) für Phase 2-Verhandlungen aktivieren oder deaktivieren. Wenn Sie PFS aktivieren, müssen Sie eine Diffie-Hellman-Schlüsselgruppe auswählen. Eine Cloud-verwalte Firebox unterstützt die Diffie-Hellman-Gruppen 14, 15, 19 und 20.

Die Standard BOVPN Konfiguration hat diese Phase 2 Einstellungen:

  • Authentifizierung — SHA2-256
  • Verschlüsselung — AES (256-Bit)
  • Perfect Forward Secrecy (PFS) — Aktiviert
  • PFS-Gruppe — Diffie-Hellman-Gruppe 14

So konfigurieren Sie die Phase 2-Einstellungen:

  1. Zuerst müssen Sie ein BOVPN hinzufügen oder bearbeiten.
  2. Wenn Sie ein BOVPN bearbeiten möchten, wählen Sie die Registerkarte Sicherheit.

  1. Wählen Sie in der Dropdown-Liste Wird authentifiziert einer der Optionen SHA2-256, SHA-384 oder SHA-512.
  2. Wählen Sie in der Dropdown-Liste Verschlüsselung eine der Optionen AES-CBC (128-Bit), AES-CBC (192-Bit), AES-CBC (256-Bit), AES-GCM (128-Bit), AES-GCM (192-Bit) oder AES-GCM (256-Bit).
  3. Um PFS zu ermöglichen, aktivieren Sie das Kontrollkästchen Perfect Secrecy (PFS) verwenden.
  4. Wenn PFS aktiviert ist, wählen Sie in der Dropdown-Liste PFS-Gruppe die Diffie-Hellman-Gruppe 14, 15, 19 oder 20.
  5. Um die Ablaufzeit des VPN-Schlüssels zu ändern, geben Sie die Anzahl der Stunden in das Textfeld Zeit ein.
  6. Aktivieren Sie das Kontrollkästchen Datenverkehr, damit der VPN-Schlüssel in Abhängigkeit vom Datenverkehr abläuft.
  7. Wenn Sie den Ablauf auf Basis des Datenverkehrs aktiviert haben, geben Sie im Textfeld Datenverkehr die Menge des Datenverkehrs in GB ein.

Ablauf des Schlüssels

Der Ablauf des Schlüssels legt fest, wann der Schlüssel für die Phase 2 Verschlüsselung abläuft. Je länger ein Phase 2 Verschlüsselungsschlüssel in Gebrauch ist, desto mehr Daten kann ein Angreifer sammeln und für einen Angriff auf den Schlüssel verwenden.

Die Standardeinstellung ist 8 Stunden. Optional können Sie den Ablauf zusätzlich zur Zeit auch auf Basis des Datenverkehrs aktivieren. Wenn Sie den Ablauf auf Basis des Datenverkehrs aktivieren, läuft der Schlüssel ab, wenn das Datenverkehrs- oder Zeitlimit erreicht ist, je nachdem, was zuerst eintritt.

Ändern der Einstellungen für den Ablauf des BOVPN-Schlüssels:

  1. Zuerst müssen Sie ein BOVPN hinzufügen oder bearbeiten.
  2. Wenn Sie ein BOVPN bearbeiten möchten, wählen Sie die Registerkarte Sicherheit.

  1. Um die Ablaufzeit des Schlüssels zu ändern, geben Sie in das Textfeld Zeit die Anzahl der Stunden ein, für die der Schlüssel gültig ist.
  2. So lassen Sie den Schlüssel in Abhängigkeit vom Datenverkehr ablaufen:
    1. Aktivieren Sie das Kontrollkästchen Datenverkehr.
    2. Geben Sie im Textfeld Datenverkehr die Menge des Datenverkehrs in GB an, die als Kriterium für den Ablauf des Schlüssels verwendet werden soll.

Zurücksetzen der Sicherheitseinstellungen

Klicken Sie auf Standardwert wiederherstellen, um die BOVPN-Sicherheitseinstellungen auf die Standardwerte zurückzusetzen.

Siehe auch

Eine Cloud-verwaltete Firebox zu WatchGuard Cloud hinzufügen