2 Untermenü Pre IPSec Rules
Contents
1. Tabelle 6 5 PHASE 2 Message Hash Algoritnmen Beachten Sie dass der NULL Algorithmus in einem einzelnen Proposal entwe Kc der nur f r die Verschl sselung oder nur f r die Authentifizierung festgelegt Hinweis werden kann aber nicht f r beides Beachten Sie dass RipeMD 160 und Tiger 192 f r Message Hashing in Phase 2 nicht zur Verf gung stehen Ein Phase 2 Proposal w rde somit beispielsweise folgenderma en aussehen Beispielwerte Bedeutung 1 ESP Blowfish MD5 IP Pakete werden unter Anwendung des ESP Protokolls der Blowfish Verschl sselung und des MD5 Message Hash verarbeitet 10 ESP NULL SHA1 IP Pakete werden unter Anwendung des ESP Protokolls verarbeitet die NULL Verschl sse lung und SHA 1 werden zur Erzeugung des Message Hash genutzt 16 AH none MD5 IP Pakete werden unter Anwendung des AH Protokolls ohne Verschl sselung und mit MD5 als Message Hash Algorithmus verarbeitet Tabelle 6 6 Beispiele f r PHASE 2 PROPOSALS 70 wmmm Bintec Benutzerhandbuch IPSec Definition 6 Phase 2 Lifetime Informationen ber die Lebensdauer des Proposals finden Sie unter Phase 1 Lifetime auf Seite 57 Falls Sie eine bestimmte IPSec SA Lebensdauer f r die sen Peer festlegen m chten k nnen Sie dies im Men EDIT LIFETIME vorneh men Use PFS Da PFS Perfect Forward Secrecy eine weitere Diffie Hellman Schl sselbe rechnung erfordert um neues Verschl sselungsmat2. Authentication Method Mode 20 mmmm Bintec Benutzerhandbuch IPSec Untermen Peer specific Settings B Heartbeats Hier w hlen Sie ob und in welcher Weise IPSec Heartbeats verwendet werden Um feststellen zu k nnen ob eine Security Association SA noch g ltig ist oder nicht ist ein Bintec IPSec Heartbeat implementiert wor den Dieser sendet bzw empf ngt je nach Kon figuration alle 5 Sekunden Signale bei deren Ausbleiben die SA nach 20 Sekunden als ung ltig verworfen wird Zur Verf gung stehen EB default Defaultwert Das Gateway ver wendet die Einstellung des Default Profils E none Das Gateway sendet und erwartet keinen Heartbeat Wenn Sie Ger te ande rer Hersteller verwenden setzen Sie diese Option EB expect Das Gateway erwartet einen He artbeat vom Peer sendet selbst aber kei nen Bm send Das Gateway erwartet keinen Heart beat vom Peer sendet aber einen EM both Das Gateway erwartet einen Heart beat vom Peer und sendet selbst einen EB auto Automatische Erkennung ob die Ge genstelle ein Bintec Gateway ist Wenn ja wird Heartbeat both bei Gegenstelle mit Bintec oder none bei Gegenstelle ohne Bintec gesetzt IPSec Bintec Benutzerhandbuch 21 3 Untermen Configure Peers Heartbeat Forts F r Ger te der VPN Access Linie werden Heartbeats f r Phase 1 und Phase 2 getrennt konfiguriert Wenn Interoperabilit t mit lterer
3. D Untermen Pre IPSec Rules Local Type Geben Sie die lokalen Adressdaten ein M gliche Werte siehe Tabelle Local Remote Type auf Seite 10 Remote Type Geben Sie die entfernten Adressdaten ein Die Optionen stimmen gr tenteils mit den Optio nen im Feld LocAL TYPE berein mit einer Ausnahme Die Option own gibt es nicht und wird durch die Option peer ersetzt Dieses ist jedoch nur in Peer Konfigurationen relevant Action Sie k nnen zwischen zwei Optionen w hlen Bm pass Defaultwert Diese Option l sst IP Sec Pakete unge ndert passieren RB drop Diese Option weist alle Pakete die mit dem eingestellten Filter bereinstim men ab Tabelle 2 2 IPSec gt PrE IPSec RuLes gt APPENDI EDIT LOCAL REMOTE TYPE Das Feld LOcAL REMOTE TYPE hat folgende Optionen welche bestimmte Ein stellungen in den mit ihnen verbundenen Zusatzfeldern f r IP Netzmaske und Port erfordern Wert Notwendige Einstellungen host Definieren Sie die IP Adresse einer einzelnen Maschine auf die diese Regel angewendet werden soll Wenn Sie als Protokoll tcp oder udp ausge w hlt haben um den Datenverkehr einzu schr nken werden Sie evtl aufgefordert eine PORT Nummer einzutragen 8 mammaa Bintec Benutzerhandbuch IPSec Das Untermen APPEND EDIT B Wert Notwendige Einstellungen net Defaultwert Definieren Sie die IP Adresse des Netzwerks und die entsprechende Netzmaske auf die diese Re
4. E expect Das Gateway erwartet einen He artbeat vom Peer sendet selbst aber kei nen Bm send Das Gateway erwartet keinen Heart beat vom Peer sendet aber einen E both Das Gateway erwartet einen Heart beat vom Peer und sendet selbst einen E auto Automatische Erkennung ob die Ge genstelle ein Bintec Gateway ist Wenn ja wird Heartbeat both bei Gegenstelle mit Bintec oder none bei Gegenstelle ohne Bintec gesetzt Bintec Benutzerhandbuch IPSec ve E IPSec Heartbeat Forts F r Ger te der VPN Access Linie werden Heartbeats f r Phase 1 und Phase 2 getrennt konfiguriert Wenn Interoperabilit t mit lterer Software zu gew hrleisten ist m ssen die Werte f r Phase 1 und Phase 2 identisch konfi guriert werden Propagate PMTU Hier w hlen Sie aus ob w hrend der Phase 2 die PMTU Path Maximum Transfer Unit pro pagiert werden soll oder nicht Zur Verf gung stehen RB default Das Gateway verwendet die Ein stellung des Default Profils E no Die Path Maximum Transfer Unit wird nicht bermittelt Defaultwert E yes Die Path Maximum Transfer Unit wird bermittelt Tabelle 6 1 IPsec gt IPSec PHASE 2 DEFAULTS EDIT gt ADD EDIT Das Men View PROPOSALS dient wie bei den Phase 1 Proposals lediglich der Auflistung der zur Verf gung stehenden Proposals Das Men EDIT LIFETIMES unterscheiden sich nicht von dem in Phase 1 Lifetime auf Seite 57 beschrie
5. auto aktiviert die automatische Codiererken nung Falls der Zertifikat Download im auto Modus fehlschl gt versuchen Sie es mit einer bestimmten Codierung Tabelle 7 5 IPSec gt CERTIFICATE AND KEY MANAGEMENT gt Own CERTIFICATES CERTIFICATE AUTHORITY CERTICICATES PEER CERTIFICATES DOWNLOAD Dar ber hinaus k nnen Sie bei Peer Zertifikaten die Option FORCE TRUSTED ak tivieren Wenn FORCE TRUSTED aktiviert ist macht Ihr Bintec Gateway keine R ckfrage bei der Zertifizierungsstelle ob das Zertifikat g ltig ist oder nicht Den Zertifikateimportvorgang starten Sie mit START Bintec Benutzerhandbuch 85 Untermen Certificate and Key Management 86 7 3 Untermen Certificate Revocation Lists Nach Aufruf des Zertifikat R ckruflisten Men s wird Ihnen eine Liste der ge speicherten CRLs Certificate Revocation Lists angezeigt Das erste Men fen ster enth lt wichtige Informationen ber die CHL e BR die Beschreibung Description die Sie beim Download der CRL eingege ben haben EM den Herausgeber Issuer der CRL normalerweise Ihre Zertifizierungsstel le die Seriennummer Serial Number der CRL die NumC das ist die Zahl der zur ckgerufenen Zertifikate die in der CRL enthalten sind Das Men sieht folgenderma en aus VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC CERTMGMT CRLS IPSec Configuration MyGateway CRL Management Description Issuer SerialNo Num
6. 5 Untermen IKE Phase 1 Defaults Falls Sie sich entschlie en zus tzliche Lebensdauerwerte zu konfigurieren k nnen Sie dies im Men EDIT LIFETIMES durchf hren Die Men maske sieht fol genderma en aus VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PHASE1 ADD LIFETIME ADD MyGateway Edit Lifetime Values Lifetime Restriction Based On Time and Traffic 900 Seconds 11000 Kb Matching Policy Loose SAVE Exit Das Men umfasst folgende Felder Lifetime Restriction W hlen Sie das Kriterium f r das Ende der Based On Schl ssellebensdauer m gliche Werte sind E Time and Traffic Defaultwert E Time E Traffic Abh ngig von Ihrer Wahl wird Ihnen eines der folgenden Felder oder beide angezeigt Seconds nur f r LIFETIME RESTRICTION BASED ON Time and Traffic oder Time Geben Sie die Lebensdauer f r Phase 1 Schl ssel in Sekunden ein Der Wert darf jeder ganzzahlige Wert von 0 bis 4294967295 sein Defaultwert ist 900 58 m mmmma Bintec Benutzerhandbuch IPSec ven MB IPSec Kb Nur f r LIFETIME RESTRICTION BASED ON Time and Traffic oder Traffic Geben Sie die Lebensdauer f r Phase 1 Schl ssel als Menge der verarbeiteten Daten in Kb ein Der Wert darf jeder ganzzahlige Wert von 0 bis 4294967295 sein Defaultwert ist 11000 Matching Policy Hier k nnen Sie ausw hlen wie strikt das Gateway die konfigurierte Lifetime einh lt Zur Verf gung
7. MyGateway Description Protocol dont verify Local Type net Ip Type net Ip CANCEL Die Felder in diesem Men k nnen folgende Werte einnehmen Description Geben Sie eine Beschreibung ein aus der her vorgeht welcher Teil des Datenverkehrs von der Regel betroffen ist Protocol 46 anne Bintec Benutzerhandbuch Hier k nnen Sie definieren ob die Regel nur f r Pakete mit einem bestimmten Protokoll gelten soll Sie haben die Wahl zwischen der Festlegung eines Protokolls und der Option dont verify letzteres bedeutet dass das Protokoll nicht als Filterkriterium benutzt wird IPSec Untermen APPEND EDIT D Local Type Geben Sie die lokalen Adresseinstellungen ein Einzelheiten dazu finden Sie in Tabelle Local Remote Type auf Seite 49 Remote Type Geben Sie die Adresseinstellungen der fernen Gegenstelle ein Einzelheiten dazu finden Sie in Tabelle Local Remote Type auf Seite 49 Action Hier k nnen Sie zwischen zwei Optionen w h len RB pass Diese Option l sst die Pakete unver schl sselt passieren RB drop Diese Option verwirft alle Pakete die den konfigurierten Filtern entsprechen Tabelle 4 2 IPSec gt Post IPSec RuLes gt APPEND EDIT LOCAL REMOTE TYPE Im Feld LOCAL REMOTE TYPE gibt es folgende Optionen welche bestimmte Ein stellungen in den mit ihnen verbundenen Zusatzfeldern f r IP Netzmaske und Port erfordern W
8. benen 6 1 Definition Die im Folgenden beschriebenen Felder des Men s IPSec PHASE 2 DEFAULTS EDIT gt ADD EDIT bed rfen n herer Erl uterung Phase 2 Proposal Dieses Feld erm glicht Ihnen jede Kombination aus IPSec Protokoll gt gt Verschl sselungsalgorithmus und oder Message Hash Algorithmus zu Bintec Benutzerhandbuch ennen 67 D Untermen IPSec Phase 2 Defaults w hlen In den folgenden Tabellen sind die Elemente dieser potentiellen Kom binationen aufgef hrt IPSec Protokoll Beschreibung ESP Encapsulated Secu gt gt ESP bietet Nutzdatenverschl sselung rity Payload sowie Authentifizierung AH Authentication Hea SS AH bietet nur Authentifizierung aber keine der Nutzdatenverschl sselung Falls Sie eine Kom bination w hlen bei der das AH Protokoll benutzt wird wird als Verschl sselungsalgorith mus none angezeigt z B AH none MD5 Tabelle 6 2 PHASE 2 IPSec Protokolle Zus tzlich zur Verschl sselung und Authentifizierung unterst tzt Bintec IPSec Implementierung die gt gt Kompression von IP Nutzdaten durch gt gt IPComP IP Payload Compression Protocol IP Nutzdatenkompression ist ein Protokoll zur Verkleinerung von IP Datagrammen Dieses Protokoll vergr ert die Ge samt Kommunikationsperformance zwischen einem Paar miteinander kommu nizierender Hosts Gateways Knoten Es komprimiert die Datagramme vorausgesetzt die Knoten verf gen ber au
9. handlung fehl und es wird keine Verbindung hergestellt force Comp Ihr Gateway fordert dass bei der IPSec SA Aushandlung IPComP vereinbart werden kann Falls der Peer dies nicht akzeptiert wird keine Verbindung hergestellt Tabelle 6 3 PHASE 2 IPComP Optionen bei IPSec Proposals Da die wichtigsten Verschl sselungs und Hash Algorithmen bereits beschrie ben wurden werden sie hier nur noch aufgelistet Nur der NULL Algorithmus steht in Phase 1 nicht zur Verf gung Algorithmen Beschreibung Blowfish DE j e Ge Beschreibungen der Verschl sselungsalgorith DES men finden Sie in der Tabelle IKE Phase st 1 Defaults Verschl sselungsalgorithmen auf Seite 55 Twofish Rijndael NULL Der NULL Algorithmus nimmt keine Ver schl sselung der IP Pakete vor ist jedoch not wendig falls IP Pakete eine Authentifizierung durch das ESP Protokoll ohne Verschl sselung ben tigen Tabelle 6 4 PHASE 2 Verschl sselungsalgorithmen Bintec Benutzerhandbuch ennen 69 D Untermen IPSec Phase 2 Defaults Dies sind die verf gbaren Hash Algorithmen Algorithmen Beschreibung MD5 Beschreibungen der Message Hash Algorith men finden Sie in der Tabelle IKE Phase SS 1 Defaults Message Hash Algorithmen auf Seite 56 NULL Falls der NULL Algorithmus f r die Authentifi zierung angewandt wird wird unter ESP kein Message Hash erzeugt und die Nutzdaten wer den nur verschl sselt
10. Bintec Benutzerhandbuch ennen 25 3 Untermen Configure Peers Falls Sie sich entschlie en zus tzliche Lebensdauerwerte zu konfigurieren k nnen Sie dies im Men EDIT LIFETIMES durchf hren Die Men maske sieht fol genderma en aus VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC LIFETIME IPsec Configuration Life Times MyGateway Edit Lifetime Values Lifetime Restriction Based On Time and Traffic 900 Seconds 11000 Kb Matching Policy Loose SAVE Exit Das Men umfasst folgende Felder Lifetime Restriction W hlen Sie das Kriterium f r das Ende der Based On Schl ssellebensdauer m gliche Werte sind E Time and Traffic Defaultwert E Time E Traffic Abh ngig von Ihrer Wahl wird Ihnen eines der folgenden Felder oder beide angezeigt Seconds Nur f r LIFETIME RESTRICTION BASED ON Time and Traffic oder Time Geben Sie die Lebensdauer f r Phase 1 Schl ssel in Sekunden ein Der Wert darf jeder ganzzahlige Wert von 0 bis 4294967295 sein Defaultwert ist 900 26 mmmmm Bintec Benutzerhandbuch IPSec Untermen Peer specific Settings D IPSec Kb nur f r LIFETIME RESTRICTION BASED ON Time and Traffic oder Traffic Geben Sie die Lebensdauer f r Phase 1 Schl ssel als Menge der verarbeiteten Daten in Kb ein Der Wert darf jeder ganzzahlige Wert von 0 bis 4294967295 sein Defaultwert ist 11000 Matching Policy Hier k nnen Sie ausw hlen wie s
11. gt gt IP Adresse an auf die die Filterregel angewendet werden soll Bintec Benutzerhandbuch ennen 5 2 Untermen Pre IPSec Rules M R Zeigt die L nge der gt gt Netzmaske an falls die Regel f r ein Netzwerk definiert wurde oder die Anzahl der aufeinanderfolgenden IP Adressen falls die Regel f r einen IP Adressbereich erstellt wurde Somit steht M32 f r eine 32 Bit Netzmaske 255 255 255 255 d h einen einzelnen Host und R10 f r eine Reihe von 10 IP Adressen ausschliesslich der spezifizierten Adresse Port Zeigt die lokale bzw entfernte gt gt Port Num mer an die zum Filtern der Pakete verwendet wird gilt nur f r UDP und TCP Ports 0 jeder Proto Zeigt das Protokoll an das zum Filtern der Pakete anhand dieser Regel angewendet wird Remote Address Zeigt die entfernte IP Adresse dieser Regel an A Zeigt die Aktion an die durch diese Regel aus gel st wird Die gefilterten Pakete werden ent weder abgelehnt DR oder k nnen unver ndert passieren PA Proposal Zeigt die angewendeten IPSec Proposals Vorschl ge an Bei Pre IPSec Rules ist die ses ohne Bedeutung da keine SAs Security Associations Sicherheitsvereinbarungen angewendet werden Tabelle 2 1 IPSEC PRE IPSEC RULES In diesem Men k nnen Sie lediglich eine Einstellung konfigurieren Sie k nnen definieren welcher der Traffic Listeneintr ge die erste aktive Regel in der Re gelkette sein sol
12. Bintec Benutzerhandbuch 63 5 Untermen IKE Phase 1 Defaults 64 Ey Hinweis m enabled NAT T wird in diesem Profil aktiviert E disabled NAT T wird in diesem Profil deaktiviert Wenn Sie eine IPSec Verbindung mit dem HTML Wizard oder mit dem IPSec Setup Tool Wizard konfigurieren wird NAT T grunds tzlich aktiviert enabled Bei der Verwendung des Setup Tool Wizards wird der Wert in einem ggf exi stierenden Default Profil allerdings nicht ver ndert Wenn Sie IPSec sowohl vom Gateway aus als auch von Hosts innerhalb des LANs zulassen wollen m ssen Sie die Eintr ge in der PNATOUTTABLE die sich auf den IKE Datenverkehr beziehen l schen Andernfalls werden alle IKE Ses sions auf die gleiche interne IP Adresse bezogen und nur die zuletzt initiierte IKE Session kommt wirklich zustande Das L schen der NAT Eintr ge f hrt allerdings dazu dass es bei IPSec Ver bindungen vom Gateway zu Peers die NAT T nicht unterst tzen unter bestimmten Umst nden zu Problemen kommen kann da der Quellport der IKE Verbindung vom NAT ver ndert wird Bintec Benutzerhandbuch IPSec e HR 6 Untermen IPSec Phase 2 Defaults Im Folgenden wird das Untermen IKPSEcC PHASE 2 DEFAULTS beschrie ben Ebenso wie f r die Phase 1 k nnen Sie Profile f r die Phase 2 des Tunnelauf baus definieren Die Konfiguration erfolgt im Men IPSec gt IPSEC PHASE 2 DEFAULTS EDIT gt ADDIEDIT VPN Access 25 Setup Tool B
13. Diese Liste enth lt eine Beschreibung des der Schl ssel s und informiert Sie ber den benutzten Algorithmus und die Schl ssell nge Dar ber hinaus k n nen Sie neue Schl ssel erzeugen oder Zertifikate f r existierende Schl ssel an fordern 7 1 1 Schl sselerzeugung Wenn Sie einen neuen Schl ssel erzeugen m chten k nnen Sie dies im Men CERTIFICATE AND KEY MANAGEMENT gt KEY MANAGEMENT gt CREATE vorneh men VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC CERTMGMT KEYS CREATE IPSec Configuration MyGateway Create Keys Description Algorithm rsa Key Size Bits 1024 RSA Public Exponent 65537 Create Exit Das Men erm glicht Ihnen folgende Parameter zu konfigurieren Description Hier k nnen Sie einen Namen f r den Schl s sel eingeben den Sie gerade erzeugen Algorithm Hier k nnen Sie einen der verf gbaren Algo rithmen ausw hlen Zur Verf gung stehen gt gt RSA Defaultwert und gt gt DSA 74 wmmm Bintec Benutzerhandbuch IPSec Untermen Key Management IPSec Key Size Bits Hier k nnen Sie die L nge des zu erzeugenden Schl ssels ausw hlen M gliche Werte 572 768 1024 1536 2048 4096 Beachten Sie dass ein Schl ssel mit der L nge 572 Bit als unsicher eingestuft werden k nnte w hrend ein Schl ssel mit 4096 Bit nicht nur viel Zeit zur Erzeugung erfordert son dern w hrend der IPSec Verarbeitung einen wesentlich
14. In Out 192 168 1 2 32 0 all 192 168 1 1 32 0 E 888 1232 DELETE EXIT Die Felder haben folgende Bedeutung Local Zeigt die lokale gt gt IP Adresse den Adres senbereich oder das Netz an welches von die ser SA gesch tzt wird LPort Zeigt die lokale gt gt Portnummer oder den Portnummernbereich an die der von dieser SA gesch tzt wird Pto Zeigt das Schicht 4 Protokoll des durch diese SA gesch tzten Datenverkehrs an 0 jedes Remote Zeigt die entfernte IP Adresse den Adressen bereich oder das Netz an welches von dieser SA gesch tzt wird 104 enne Bintec Benutzerhandbuch IPSec Untermen IPSec SA Bundles 10 RPort Zeigt die entfernte Portnummer oder den Port nummernbereich an die der von dieser SA gesch tzt wird CEA Zeigt an welche IPSec Protokolle f r die SA verwendet werden E C PComP E E ESP E A AH In Zeigt die Anzahl der ber diese SA empfange nen Bytes an Out Zeigt die Anzahl der ber diese SA gesendeten Bytes an Tabelle 10 3 IPSEC gt MONITORING IPSEC SECURITY ASSOCIATIONS Bitte beachten Sie dass sich die Anzeige eines markierten Eintrags nicht ak tualisiert IPSec Bintec Benutzerhandbuch m m m 105 10 Untermen Monitoring 106 mmmm Bintec Benutzerhandbuch IPSec Numerics IPSec Index IPSec 1 768 bit MODP 2 1024 bit MODP 3DES 5 1536 bit MODP A abort Action Admin Status aggressive agg
15. MONITORING AND DEBUGGING gt IPSEC zu erreichen IPSec Bintec Benutzerhandbuch 99 10 Untermen Monitoring Es sieht folgenderma en aus die hier aufgef hrten Werte sind nur Beispiele VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC MONITORING STATS IPSec Monitoring MyGateway Global Statistics Peers Up 10 16 Dormant 6 Blocked 0 SAs Phase 1 10 10 Phase 2 10 10 Packets In Out Total 850 600 Passed 50 50 Dropped 30 40 Protect 770 510 Errors 0 0 EXIT Die Felder und die Bedeutung der angezeigten Werte sind folgende Peers Up Zeigt die Anzahl der aktiven Peers OPERSTATUS up von der Anzahl der konfigu rierten Peers Peers Dormant Zeigt die Anzahl der inaktiven Peers OPERSTATUS dormant Peers Blocked Zeigt die Anzahl der blockierten Peers OPERSTATUS blocked SAs Phase 1 Zeigt die Anzahl der aktiven Phase 1 SAs State established zur Gesamtzahl der Phase 1 SAs an SAs Phase 2 Zeigt die Anzahl der aktiven Phase 2 SAs STATE established zur Gesamtzahl der Phase 2 SAs an 100 enne Bintec Benutzerhandbuch IPSec Untermen Global Statistics 10 Packets In Out Hier wird die Anzahl der Pakete angezeigt die auf eine bestimme Art und Weise behandelt worden sind BR Total Die Anzahl aller bearbeiteten Pakete m Passed Die Anzahl der Pakete die im Klar text weitergeleitet wurden BR Dropped Die Anzahl der verwo
16. Profile Nur f r ACTION protect Hier w hlen Sie ein IPSec Profil aus dass f r die Verschl sselung des Datenverkehrs ver wendet werden soll Die Einstellungsm glich keiten entsprechen denen des in Untermen IPSec Phase 2 Profile auf Seite 32 beschrie benen Men s Tabelle 3 17 IPSEC gt CONFIGURE PEERS gt APPENDIEDIT A TRAFFIC LIST SETTINGS Local Remote Type Im Feld LocAL REMOTE TYPE gibt es folgende Optionen welche bestimmte Ein stellungen in den mit ihnen verbundenen Zusatzfeldern f r IP Netzmaske und Port erfordern Wert Bedeutung host Geben Sie die gt gt IP Adresse eines einzel nen Rechners ein der unter diese Regel Rule fallen soll Wenn Sie als Protokoll tcp oder udp ausge w hlt haben um den Datenverkehr einzu schr nken werden Sie evtl aufgefordert eine PORT Nummer einzutragen IPSec Bintec Benutzerhandbuch sm 41 3 Untermen Configure Peers Wert Bedeutung net Geben Sie die IP Adresse eines Netzes und die dazugeh rige gt gt Netzmaske ein die unter diese Regel fallen sollen Die Eingabeaufforderung f r die Netzmaske erscheint automatisch wenn Sie net w hlen Sie wird von der Eingabeaufforderung f r die IP Adresse durch das Zeichen getrennt Wenn Sie als Protokoll tcp oder udp ausge w hlt haben um den Datenverkehr einzu schr nken werden Sie evtl aufgefordert eine PORT Nummer einzutragen range Geben Sie einen IP Adr
17. Settings auf Seite 43 Nach Eingabe der notwenigen Daten gelan gen Sie in das Wizard Men zur ck Wenn Sie den Peer mit Traffic Listen angelegt haben wechselt der Wizard in das Men zur Definition eines Traffic Listen Eintrags siehe Untermen Traffic List Settings auf Seite 39 Nach Eingabe der notwenigen Daten gelangen Sie in das Wizard Men zur ck Schritt 9 beendet die IPSec Wizard Konfiguration Das Gateway verf gt nun ber eine funktionsf hige IPSec Konfiguration Bintec Benutzerhandbuch ennen 97 DH Untermen Wizard 98 m mmmma Bintec Benutzerhandbuch IPSec Untermen Global Statistics 10 10 Untermen Monitoring Im Folgenden wird das Untermen MONITORING beschrieben Im Men IPSEC gt MONITORING gelangt man in folgende Untermen s BR GLOBAL STATISTICS BH IKE SECURITY ASSOCIATIONS BH IPSEc SA BUNDLES Das letzte Men aus dem IPSec Kontext ist IPSEC gt MONITORING Hier k nnen Sie sich den Status der globalen Statistiken IKE Security Associations und IP Sec Security Associations Bundles anzeigen lassen Dementsprechend enth lt es drei Untermen s die in den folgenden Kapiteln beschrieben werden 10 1 Untermen Global Statistics Alle Felder im Men IPSEC gt MONITORING GLOBAL STATISTICS k nnen nur ge lesen werden d h Sie k nnen sich hier die Einstellungen und Statistiken an zeigen lassen k nnen jedoch keine nderungen an der Konfiguration vornehmen Diese Men ist auch ber
18. Sie eine bestimmte IPSec SA Lebensdauer f r die sen Peer festlegen m chten k nnen Sie dies im Men EDIT LIFETIME vorneh men Use PFS Da PFS Perfect Forward Secrecy eine weitere Diffie Hellman Schl sselbe rechnung erfordert um neues Verschl sselungsmaterial zu erzeugen m ssen Sie die Exponentiations Merkmale w hlen Wenn Sie PFS aktivieren sind die Optionen die gleichen wie bei der Konfiguration in PHASE 1 GROUP Phase 1 Group auf Seite 27 PFS wird genutzt um die Schl ssel einer umgeschl ssel ten Phase 2 SA zu sch tzen auch wenn die Schl ssel der Phase 1 SA be kannt geworden sind 3 2 5 Untermen Select Different Traffic List Dieses Men steht nur dann zur Verf gung wenn Sie einen Peer konfigurieren der auf Traffic Lists beruht und nicht auf einem virtuellen Interface In diesem Men werden die f r diesen Peer konfigurierten Traffic Lists ange zeigt Falls Sie mehr als eine Traffic List konfiguriert haben k nnen Sie w hlen welche aktiviert werden soll Eine Liste aller verf gbaren Traffic Lists wird an gezeigt und Sie k nnen daraus w hlen wie es in der Hilfefunktion des Men fensters beschrieben ist 3 3 Untermen Traffic List Settings In diesem Men erstellen Sie die Regeln gem denen der Datenverkehr zum Peer behandelt wird Sie k nnen einen Traffic List Eintrag erstellen oder ab ndern Bintec Benutzerhandbuch ennen 39 3 Untermen Configure Peers Das Men fenster w
19. an und er m glicht Ihnen die Einstellungen zu ver ndern Wert Bedeutung id_protect Dieser Modus auch als Main Mode bezeich net erfordert sechs Meldungen f r eine Diffie Hellman Schl sselberechnung und damit f r die Einrichtung eines sicheren Kanals ber den die IPSec SAs ausgehandelt werden Er setzt voraus dass beide Peers statische IP Adressen haben falls f r die Authentifizierung Preshared Keys genutzt werden Bei der Ver wendung des IPSec Callbacks entf llt diese Einschr nkung siehe Untermen IPSec Callback auf Seite 15 aggressive Der Aggressive Mode ist erforderlich falls einer der Peers keine statische IP Adresse hat und Preshared Keys f r die Authentifizierung genutzt werden er erfordert nur drei Meldun gen f r die Einrichtung eines sicheren Kanals default Das Gateway verwendet die Einstellungen des Defaultwert Default Profils IPSec Bintec Benutzerhandbuch 29 3 Untermen Configure Peers La Hinweis Wert Bedeutung id protect only Das Gateway akzeptiert bei der Aushandlung ausschlie lich den ID Protect Mode Schl gt der Peer einen anderen Modus vor scheitert die Aushandlung aggressive only Das Gateway akzeptiert bei der Aushandlung ausschlie lich den Aggressive Mode Schl gt der Peer einen anderen Modus vor scheitert die Aushandlung Tabelle 3 10 PHASE 1 MODE Phase 1 Local ID Das ist die ID die Sie Ihrem Gateway
20. ben tigen Dies kann beispielsweise notwendig sein wenn die entfernte Seite mit lteren IPSec Implementierungen arbeitet Das Men ADVANCED SETTINGS sieht folgenderma en aus VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC ADVANCED IPSec Configuration Advanced Settings MyGateway Ignore Cert Req Payloads no Dont send Cert Req Payl no Dont Send Cert Chains no Dont send CRLs yes Dont send Key Hash Payl no Trust ICMP Messages n Dont Send Initial Contact no Sync SAs With Local Ifc no Max Symmetric Key Length 1024 Use Zero Cookies no RADIUS Authentication disabled SAVE CANCEL Die Felder und ihre Bedeutung sind wie folgt Ignore Cert Req Payloads Gibt an ob gt gt Zertifikatanforderungen die w hrend IKE Phase 1 von der entfernten Seite empfangen wurden ignoriert werden sol len yes oder nicht no Defaultwert Bintec Benutzerhandbuch ennen 89 D Untermen Advanced Settings 90 Dont send Cert Req Payl Gibt an ob w hrend der IKE Phase 1 Zertifi katanforderungen gesandt werden sollen no Defaultwert oder nicht yes Dont Send Cert Chains Gibt an ob w hrend IKE Phase 1 komplette Zertifikatketten gesandt werden sollen no Defaultwert oder nicht yes W hlen Sie hier yes falls Sie nicht die Zertifi kate aller Stufen von Ihrem bis zu dem der CA an den Peer senden m chten Dont send CRLs Gibt an ob
21. cal crl pem CN Test CA 1 OU Web test O SSH Comm S 1000471081 0059 DOWNLOAD DELETE EXIT Wenn Sie einen Eintrag hervorheben und mit ENTER best tigen wird ein Me n fenster aufgerufen welches Einzelheiten ber die CRL enth lt und Ihnen er Bintec Benutzerhandbuch IPSec Untermen Certificate Servers IPSec m glicht die Beschreibung der betroffenen CRL zu ver ndern Es sieht z B so aus VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC CERTMGMT CRLS EDIT IPSec Configuration MyGateway CRL Management Change Certificate Revocation List Attributes Description cal crl pem CRL Contents CRL IssuerName lt CN Test CA 1 OU Web test O SSH Comm Security C FI gt ThisUpdate 2002 Feb 19th 11 54 01 GMT NextUpdate 2002 Feb 19th 13 00 00 GMT Extensions Available not available RevokedCertList Entry 1 SerialNumber 1000471081 RevocationDate 2001 Sep 14th 12 38 01 GMT v SAVE EXIT Ausgehend vom ersten CERTIFICATE REVOCATION LiSTS Men fenster k nnen Sie auch das CRL DOWNLOAD Men aufrufen Hier k nnen Sie CRLs entweder ber TFTP oder durch direkte Eingabe importieren Dieser Prozess funktioniert auf gleiche Weise wie ein Zertifikatimport Weitere Einzelheiten finden Sie un ter Zertifikatimport auf Seite 83 7 4 Untermen Certificate Servers Hier k nnen Sie Zertifikatserver eintragen bzw editieren Im ersten Men fen ster werden vorhandene Eint
22. dieses Feld leer las sen w hlt das Gateway die Defaultwerte Diese sind BR Bei Authentifizierung mit Preshared Keys die lokale ID aus dem Default Profil EM Bei Authentifizierung mit gt gt Zertifikaten der erste im Zertifikat angege bene Subjekt Alternativname oder falls keiner angegeben ist der Subjekt name des Zertifikats Falls Sie Zertifikate f r die Authentifizierung nutzen und Ihr Zertifikat Subjekt Se Alternativnamen enth lt siehe Zertifikatanforderung auf Seite 75 m ssen Hinweis Sie hier achtgeben da das Gateway per Default den ersten Subjekt Alternativ namen w hlt Stellen Sie sicher dass Sie und Ihr Peer beide den gleichen Namen nutzen d h dass Ihre lokale ID und die Peer ID die Ihr Partner f r Sie konfiguriert identisch sind 62 m mmmma Bintec Benutzerhandbuch IPSec Definitionen IPSec Phase 1 Local Certificate Dieses Feld erm glicht Ihnen eines Ihrer eigenen Zertifikate f r die Authentifi zierung zu w hlen Es zeigt die Indexnummer dieses Zertifikats und den Namen an unter dem es gespeichert ist Dieses Feld wird nur bei Authentifizierungein stellungen auf Zertifikatbasis angezeigt und weist darauf hin dass ein Zertifikat zwingend erforderlich ist Phase 1 CA Certificates Hier k nnen Sie eine Liste zus tzlicher gt gt CA Zertifikate eingeben die f r dieses Profil akzeptiert werden sollen Eintr ge werden mit Kommata getrennt Dadurch wird es z B m glich auch f
23. genutzt um das Verschl sselungs material zu erzeugen none Das Gateway verwendet nach dem Ablauf der Lifetime keine bestimmte Exponentiation son dern verf hrt wie beim initialen Tunnelaufbau default Defaultwert Das Gateway verwendet die Einstellung des vom IPSecWizard erstellten Profils Tabelle 5 5 PHASE 1 GROUP Phase 1 Authentication Method Dieses Feld erm glicht Ihnen die Authentisierungs Methode f r das globale Profil zu ndern Wert Pre Shared Keys Bedeutung Falls Sie f r die Authentifizierung keine Zertifi kate verwenden k nnen Sie Pre Shared Keys w hlen Diese werden bei der Peerkonfigura tion im Men IPSEC gt CONFIGURE PEERS gt APPENDIEDIT konfiguriert Preshared Key ist das gemeinsame Passwort 60 annnn Bintec Benutzerhandbuch IPSec vn MB Wert Bedeutung DSA Signatures Phase 1 Schl sselberechnungen werden unter Nutzung des gt DSA Algorithmus authentifi ziert RSA Signatures Phase 1 Schl sselberechnungen werden unter Nutzung des gt gt RSA Algorithmus authentifi ziert RSA Encryption Mit RSA Verschl sselung werden als erwei terte Sicherheit zus tzlich die ID Nutzdaten verschl sselt default Das Gateway verwendet die Einstellungen des Defaultvalue Default Profils Tabelle 5 6 PHASE 1 AUTHENTICATION METHOD Phase 1 Mode Das Mode Feld zeigt den momentan konfigurierten Phase 1 Modus an und e
24. s IPSec Ey Hinweis Wert Bedeutung DN Ein Distinguished Name DN wird als Subjekt Alternativname benutzt RID Eine Registered Identity RID wird als Subjekt Alternativname benutzt NONE Es wird kein Subject Alternative Name einge tragen Tabelle 7 3 Auswahlm glichkeiten von SUBJECT ALTERNATIVE NAMES gt TYPE 7 2 Zertifikat Untermen s In den Zertifikat Untermen s Own CERTIFICATES CERTIFICATE AUTHORITY CERTIFICATES und PEER CERTIFICATES k nnen Sie die Zertifikate verwalten die Sie f r Authentifizierungsmethoden ben tigen die auf gt gt Zertifikaten auf bauen DSA und RSA Signaturen und RSA Verschl sselung Im allgemeinen m ssen Sie ein Peer Zertifikat nur in seltenen F llen herunter laden BE Sie haben die RSA Verschl sselung als Authentifizierungsmethode konfi guriert aber keinen Certificate Server angegeben E Sie empfangen das Peer Zertifikat nicht w hrend der IKE Aushandlung Dies ist dann der Fall wenn beim Peer das Absenden von Zertifikaten ge sperrt ist oder vom lokalen Gateway keine Certificate Requests Zertifikat anforderungen ausgesandt werden Beide Optionen k nnen im Men IPSEC gt ADVANCED SETTINGS eingestellt werden indem entweder IGNORE CERT REQ PAYLOADS oder DONT SEND CERT REQ PAYL auf yes gesetzt werden Bintec Benutzerhandbuch ennen 81 Untermen Certificate and Key Management Bintec Benutzerhandbuch Das erste Men fenster aller Zertifikat U
25. ver schl sselt Default ist no Traffic List Settings Nur f r VIRTUAL INTERFACE no Siehe Untermen Traffic List Settings auf Seite 39 Interface IP Settings Nur f r VIRTUAL INTERFACE yes Siehe Untermen Interface IP Settings auf Seite 43 Tabelle 3 1 IPSEC gt CONFIGURE PEERS gt APPEND EDIT Die Anpassung des Peers erfolgt in folgenden Men s m IPSEC CALLBACK Informationen zur Konfiguration des IPSec Callback siehe Untermen IPSec Callback auf Seite 15 H PEER SPECIFIC SETTINGS siehe Untermen Peer specific Settings auf Seite 18 E TRAFFIC LIST SETTINGS f r VIRTUAL INTERFACE no Informationen zur Kon figuration von Traffic Lists siehe Untermen Traffic List Settings auf Seite 39 EM INTERFACE IP SETTINGS f r VIRTUAL INTERFACE yes siehe Untermen Interface IP Settings auf Seite 43 14 m mmmma Bintec Benutzerhandbuch IPSec Untermen IPSec Callback IPSec 3 1 Untermen IPSec Callback Um Hosts die nicht ber feste IP Adressen verf gen eine sichere Verbindung ber das gt gt Internet zu erm glichen unterst tzt Bintec seit dem Release 6 2 2 den DynDNS Dienst Dieser Dienst erm glicht die Identifikation eines Peers anhand eines durch DNS aufl sbaren Host Namens Die Konfiguration der IP Adresse des Peers ist nicht notwendig Der DynDNS Dienst signalisiert aber nicht ob ein Peer wirklich online ist und kann einen Peer nich
26. vor nehmen sowie die IKE und IPSec Proposals erstellen kann werden weitere Konfigurationsschritte notwendig die z T nur auf der gt gt SNMP Shell m g lich aber f r eine IPSec Konfiguration unbedingt notwendig sind Bintec Benutzerhandbuch ennen 3 H Men IPSEC ENABLE IPSEC KS Hinweis Im Feld ENABLE IPSEC im IPSEC Hauptmen k nnen Sie direkt aus zwei Optio nen w hlen Dieses Feld enth lt die folgenden Werte Wert Bedeutung no Defaultwert IPSec ist nicht aktiviert unabh ngig von jegli cher Konfiguration yes IPSec ist aktiviert Durch die Grundkonfiguration mit dem IPSec Wizard wird IPSec aktiviert Falls Sie keine g ltige IPSec Lizenz haben werden alle IP Pakete abgewiesen solange bis Sie IPSec wieder deaktivieren Alle Ger te der VPN Access Linie verf gen per Default ber eine IPSec Lizenz Tabelle 1 1 Felder im Untermen ENABLE IPSEC Dar ber hinaus k nnen Sie f r die Felder IKE PHASE 1 DEFAULTS und IPSEC PHASE 2 DEFAULTS zwischen dem durch den Wizard Lauf automatisch ange legten Profil autogenerated und weiteren konfigurierten Profilen w hlen Pro file werden im Men EDIT angelegt oder bearbeitet Legen Sie neue Profile an um spezielle IKE und IPSec Einstellungen vorzu nehmen Um ein Defaultprofil festzulegen haben Sie folgende M glichkeiten EM Ver ndern Sie nicht das durch den Wizard Lauf automatisch angelegte Profil autogenerated Legen Sie a
27. wenn bereits eines vorhanden ist abort Diese Option steht zur Verf gung um einen notwendigen Konfigurationsschritt zu umge hen Die Option beendet den IPSec Wizard ebenso wie EXIT allerdings bleiben Sie im Wizard Men und k nnen den Wizard ggf direkt wieder aufrufen start start wizard Diese Option ruft entweder einen spezifischen Vorgang auf der bisher nicht ausgef hrt wurde start oder startet den Wizard von vorn start wizard Tabelle 9 1 IPSec Wizard M gliche Optionen f r Handlungsaufforderungen Der IPSec Wizard Schritt f r Schritt Der IPSec Wizard ist kein Men im eigentlichen Sinn sondern eine Abfolge au tomatisierter Abl ufe Der Wizard f hrt Sie dabei durch die zur Konfiguration notwendigen Men s Diese unterscheiden sich nicht von den Men s die auch vom IPSec Hauptmen zug nglich sind Sie k nnen eine mit dem Wizard er stellte Konfiguration daher jederzeit Ihren Bed rfnissen anpassen Der Wizard durchl uft folgende Schritte Der Wizard berpr ft ob auf Ihrem Gateway gt gt NAT aktiviert ist und passt die Einstellungen ggf so an dass eine funktionsf hige IPSec Konfiguration si chergestellt ist und keine Datenpakete unn tigerweise verworfen werden Wenn der Wizard nderungen an der NAT Konfiguration vornimmt werden die se in der Configuration History angezeigt Der Wizard stellt gt gt Verschl sselungs und Message Hash Algorithmen zu sogenannten Proposals zusa
28. zu Algorithmen f r Phase 1 Proposals auf Seite 24 NULL Falls der NULL Algorithmus f r die Authentifi zierung angewandt wird wird unter ESP kein Message Hash erzeugt und die Nutzdaten wer den nur verschl sselt Tabelle 3 15 PHASE 2 Message Hash Algoritnmen Beachten Sie dass der NULL Algorithmus in einem einzelnen Proposal entwe Kc der nur f r die Verschl sselung oder nur f r die Authentifizierung festgelegt Hinweis werden kann aber nicht f r beides Beachten Sie dass RipeMD 160 und Tiger 192 f r Message Hashing in Phase 2 nicht zur Verf gung stehen Ein Phase 2 Proposal w rde somit beispielsweise folgenderma en aussehen Beispielwerte Bedeutung 1 ESP Blowfish MD5 IP Pakete werden unter Anwendung des gt gt ESP Protokolls der Blowfish Verschl sse lung und des MD5 Message Hash verarbeitet 10 ESP NULL SHA1 IP Pakete werden unter Anwendung des ESP Protokolls verarbeitet die NULL Verschl sse lung und SHA 1 werden zur Erzeugung des Message Hash genutzt 16 AH none MD5 IP Pakete werden unter Anwendung des AH Protokolls ohne Verschl sselung und mit MD5 als Message Hash Algorithmus verarbeitet Tabelle 3 16 Beispiele f r PHASE 2 PROPOSALS 38 mmmum Bintec Benutzerhandbuch IPSec Untermen Traffic List Settings E IPSec Phase 2 Lifetime Informationen ber die Lebensdauer des Proposals finden Sie unter Phase 1 Lifetime auf Seite 25 Falls
29. zuweisen Falls Sie dieses Feld leer las sen bernimmt das Gateway eine der Einstellungen aus dem Default Profil Diese sind BR Bei Authentifizierung mit Preshared Keys die lokale ID aus dem Default Profil EM Bei Authentifizierung mit gt gt Zertifikaten der erste im Zertifikat angege bene Subjekt Alternativname oder falls keiner angegeben ist der Subjekt name des Zertifikats Falls Sie Zertifikate f r die Authentifizierung nutzen und Ihr Zertifikat Subjekt Alternativnamen enth lt siehe Zertifikatanforderung auf Seite 75 m ssen Sie hier achtgeben da das Gateway per Default den ersten Subjekt Alternativ namen w hlt Stellen Sie sicher dass Sie und Ihr Peer beide den gleichen Namen nutzen d h dass Ihre lokale ID und die Peer ID die Ihr Partner f r Sie konfiguriert identisch sind Phase 1 Local Certificate Dieses Feld erm glicht Ihnen eines Ihrer eigenen Zertifikate f r die Authentifi zierung zu w hlen Es zeigt die Indexnummer dieses Zertifikats und den Namen an unter dem es gespeichert ist Dieses Feld wird nur bei Authentifizierungs einstellungen auf Zertifikatbasis angezeigt und weist darauf hin dass ein Zerti fikat zwingend erforderlich ist 30 mmum Bintec Benutzerhandbuch IPSec Untermen Peer specific Settings E IPSec Phase 1 CA Certificates Hier k nnen Sie eine Liste zus tzlicher gt CA Zertifikate eingeben die f r dieses Profil akzeptiert werden sollen Eintr ge wer
30. Benutzerhandbuch IPSec Untermen IPSec Callback D Wert passive Bedeutung Das lokale Gateway reagiert lediglich auf ein gehende ISDN Rufe und initiiert ggf den Auf bau eines IPSec Tunnels zum Peer Es werden keine ISDN Rufe an das entfernte Gateway abgesetzt um dieses zum Aufbau eines IPSec Tunnels zu veranlassen active Das lokale Gateway setzt einen ISDN Ruf an das entfernte Gateway ab um dieses zum Auf bau eines IPSec Tunnels zu veranlassen Auf eingehende ISDN Rufe reagiert das Gate way nicht both Das Gateway kann auf eingehende ISDN Rufe reagieren und ISDN Rufe an das entfernte Gateway absetzen Der Aufbau eines IPSec Tunnels wird sowohl ausgef hrt nach einem eingehenden ISDN Ruf als auch veranla t durch einen ausge henden ISDN Ruf Tabelle 3 3 ISDN CALLBACK Bei aktivem Callback wird daher sobald ein IPSec Tunnel ben tigt wird der Peer durch einen ISDN Ruf veranla t diesen zu initiieren Bei passivem Call back wird immer dann ein Tunnelaufbau zum Peer initiiert wenn ein ISDN Ruf auf der entsprechenden Nummer NUMBER im Men ISDNSO gt INCOMING CALL ANSWERING gt ADD EDIT f r ITEM IPSec eingeht Auf diese Weise wird sicher gestellt dass beide Peers erreichbar sind und die Verbindung ber das Internet zustande kommen kann Es wird lediglich dann kein Callback ausgef hrt wenn bereits SAs Security Associations vorhanden sind der Tunnel zum Peer also berei
31. Bintec Benutzerhandbuch 55 5 Untermen IKE Phase 1 Defaults Algorithmus Beschreibung SHA1 SS SHA1 ist ein Hash Algorithmus der von Secure Hash der NSA United States National Security Asso Algorithm 1 ciation entwickelt wurde Er wird als sicher ein gestuft ist aber langsamer als MD5 Wird mit 96 Bit Digest Length f r IPSec verwendet RipeMD 160 gt gt RipeMD 160 ist ein kryptographischer 160 Bit Hash Algorithmus Er wird als sicherer Ersatz f r MD5 und RipeMD angewandt Tiger 192 gt gt Tiger 192 ist ein relativ neuer und sehr schneller Algorithmus Tabelle 5 3 IKE PHASE 1 DEFAULTS Message Hash Algorithmen Beachten Sie dass die Beschreibung der Verschl sselung und Authentifizie Fr rung oder der Hash Algorithmen auf dem Kenntnissstand und der Meinung des Hinweis Autors zum Zeitpunkt der Erstellung dieses Handbuchs basiert Die Qualit t der Algorithmen im besonderen unterliegt relativen Gesichtpunkten und kann sich aufgrund von mathematischen oder kryptographischen Weiterentwicklun gen ndern 56 mmmm Bintec Benutzerhandbuch IPSec Definitionen IPSec VIEW PROPOSALS Im Untermen View ProPoSsALS erhalten Sie eine bersicht ber die Proposals die vom IPSec Wizard erstellt wurden VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PHASE1 ADD IKE PROPOSALS IKE Proposals MyGateway Description Protocol Lifetime Blowfish MD5 default blowfi
32. C Check default IKE profile already configured default setings Check default IPSec profile already configured default setings Check IPSEC Default Authentication Method Currently set to Pre Shared Keys Use which Default IPSEC Authentication Method current PSK NULL Rijndael Twofish Blowfish CAST DES DES3 SHA1 MD5 lt Space gt to choose lt Return gt to select Exit Folgende Optionen sind in den nicht interaktiven Fenstern des IPSec Wizard als Handlungsaufforderung m glich Wert clear config Bedeutung Diese Einstellung macht alle Einstellungen r ckg ngig die w hrend der Konfiguration vor genommen worden sind Nachdem de Konfi guration gel scht worden ist sollten Sie den Wizard erneut starten Sollten sich bereits Schl sselpaare Public Key Pairs auf dem Gateway befinden so werden diese nicht gel scht um die G ltigkeit vorhan dener gt gt Zertifikate nicht zu zerst ren dump messages Das Gateway sichert die Nachrichten die w h rend der Konfiguration ausgegeben worden sind entweder lokal oder auf einem konfigurier ten Syslog Host Bintec Benutzerhandbuch IPSec e HR Schritt 1 NAT Einstellungen Schritt 2 Erstellung IPSec der Proposals Wert Bedeutung skip Mit dieser Option k nnen Sie einen Konfigurati onsschritt berspringen wenn dieser nicht not wendig ist zum Beispiel das Anfordern eines Zertifikates
33. CEP und Upload Geben Sie f r das resultierende Zertifikat einen Namen ein F r METHOD Upload k nnen Sie ausw hlen ob die Anfrage im Format base64 oder binary gesendet werden soll Tabelle 7 2 IPSEC gt CERTIFICATE AND KEY MANAGEMENT KEY MANAGEMENT REQUEST CERT Unten finden Sie die Auswahloptionen f r das Feld SUBJECT ALTERNATIVE NAMES Im Feld SUBJECT ALTERNATIVE NAMES TYPE k nnen Sie aus verschie denen Informationstypen ausw hlen die als Subjekt Alternativname benutzt werden k nnen Im Feld SUBJECT ALTERNATIVE NAMES VALUE k nnen Sie die spezifischen Informationen eintragen die Sie liefern m chten Hier stehen drei Instanzen zur Verf gung die Defaulteinstellungen f r die ersten beiden Instan zen sind die erste IP Adresse Ihres Gateways und dessen gt gt DNS Name Die Optionen f r TYPE sind Wert Bedeutung IP Die LAN seitige gt gt IP Adresse Ihres Gate ways wird als ein Subjekt Alternativname benutzt DNS Ein DNS Name wird als Subjekt Alternativ name benutzt z B MyGateway EMAIL Eine E Mail Adresse wird als Subjekt Alterna tivname benutzt URI Ein Uniform Resource Identifier wird als Sub jekt Alternativname benutzt URI ist die Adres sierungstechnik aus der die URLs abgeleitet werden Technisch betrachtet sind URLs wie beispielsweise HTTP und FTP spezifische Unterkennungen von URIs 80 mmmm Bintec Benutzerhandbuch IPSec Zertifikat Untermen
34. IPSEC Copyright 11 Februar 2005 Funkwerk Enterprise Communications GmbH Bintec Benutzerhandbuch VPN Access Reihe Version 1 1 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie Funkwerk Enterprise Communications GmbH erreichen Dieses Dokument ist Teil des Benutzerhandbuchs zur Installation und Konfiguration von Bintec Gate ways ab Software Release 7 1 4 F r neueste Informationen und Hinweise zum aktuellen Software Release sollten Sie in jedem Fall zus tzlich unsere Release Notes lesen insbesondere wenn Sie ein Software Update zu einem h heren Release Stand durchf hren Die aktuellsten Release Notes sind zu finden unter www bintec de Der Inhalt dieses Handbuchs wurde mit gr ter Sorgfalt erarbeitet Die Angaben in diesem Handbuch gelten jedoch nicht als Zusicherung von Eigenschaften Ihres Produkts Funkwerk Enterprise Commu nications GmbH haftet nur im Umfang ihrer Verkaufs und Lieferbedingungen und bernimmt keine Gew hr f r technische Ungenauigkeiten und oder Auslassungen Die Informationen in diesem Handbuch k nnen ohne Ank ndigung ge ndert werden Zus tzliche In formationen sowie Release Notes f r Bintec Gateways finden Sie unter www bintec de Als Multiprotokollgateways bauen Bintec Gateways in Abh ngigkeit von der Systemkonfiguration WAN Verbindungen auf Um ungewollte Geb hren zu vermeiden sollten Sie das Produkt unbedingt berwachen Funkwerk Enterprise Communications Gm
35. LS dient wie bei den Phase 1 Proposals lediglich der Auflistung der zur Verf gung stehenden Proposals Das Men EDIT LIFETIMES ist identisch mit dem Men Phase 1 Lifetime auf Seite 25 3 2 4 Definitionen Die im Folgenden beschriebenen Felder des Men s IPSec PHASE 2 PROFILE EDIT gt ADD EDIT bed rfen n herer Erl uterung Phase 2 Proposal Dieses Feld erm glicht Ihnen jede Kombination aus IPSec Protokoll gt gt Verschl sselungsalgorithmus und oder Message Hash Algorithmus zu w hlen In den folgenden Tabellen sind die Elemente dieser potentiellen Kom binationen aufgef hrt IPSec Protokoll Beschreibung ESP Encapsulated Secu gt gt ESP bietet Nutzdatenverschl sselung rity Payload sowie Authentifizierung Bintec Benutzerhandbuch 35 B Untermen Configure Peers IPSec Protokoll Beschreibung AH Authentication Hea gt AH bietet nur Authentifizierung aber der keine Nutzdatenverschl sselung Falls Sie eine Kombination w hlen bei der das AH Protokoll benutzt wird wird als Verschl sselungsalgorith mus none angezeigt z B AH none MD5 Tabelle 3 12 PHASE 2 IPSec Protokolle Zus tzlich zur Verschl sselung und Authentifizierung unterst tzt Bintec IPSec Implementierung die Fr Kompression von IP Nutzdaten durch gt gt IPComP IP Payload Compression Protocol IP Nutzdatenkompression ist ein Protokoll zur Verkleinerung von IP Datagrammen Dieses Protokoll ver gr
36. ONFIGURE PEERS gt ADD EDIT gt PEER SPECIFIC SETTINGS gt IKE PHASE 1 DEFAULTS EDIT folgende Werte zur Verf gung E default Wenn Sie diesen Wert ausw hlen verwendet das Gateway den f r das globale Profil siehe Phase 1 NAT Traversal auf Seite 63 einge stellten Wert enabled NAT T wird in diesem Profil aktiviert disabled NAT T wird in diesem Profil deaktiviert Bintec Benutzerhandbuch 31 E Untermen Configure Peers 32 Ka Hinweis Wenn Sie eine IPSec Verbindung mit dem HTML Wizard oder mit dem IPSec Setup Tool Wizard konfigurieren wird NAT T grunds tzlich aktiviert enabled Bei der Verwendung des Setup Tool Wizards wird der Wert in einem ggf exi stierenden Default Profil allerdings nicht ver ndert Wenn Sie IPSec sowohl vom Gateway aus als auch von Hosts innerhalb des LANs zulassen wollen m ssen Sie die Eintr ge in der PNATOUTTABLE die sich auf den IKE Datenverkehr beziehen l schen Andernfalls werden alle IKE Ses sions auf die gleiche interne IP Adresse bezogen und nur die zuletzt initiierte IKE Session kommt wirklich zustande Das L schen der NAT Eintr ge f hrt allerdings dazu dass es bei IPSec Ver bindungen vom Gateway zu Peers die NAT T nicht unterst tzen unter bestimmten Umst nden zu Problemen kommen kann da der Quellport der IKE Verbindung vom NAT ver ndert wird 3 2 3 Untermen IPSec Phase 2 Profile Ebenso wie f r die Phase 1 k nnen Sie Profile f
37. Pre IPSec Regeln sorgf ltig konfiguriert wurden Se Dieses ist ausschlaggebend f r das einwandfreie Funktionieren jeglichen Hinweis Datenverkehrs der nicht ber IPSec Prozeduren gesichert werden soll Besonders wichtig ist es dass man IKE Traffic im Klartext passieren l sst Die ses kann erf llt werden indem eine Pre IPSec Regel mit den folgenden Spezi fikationen konfiguriert wird PROTOCOL udp LocAL TYPE net die Felder f r die IP Adresse und Netzmaske bleiben leer LocAL PoRrT 500 REMOTE TYPE net die Felder f r die IP Adresse und Netzmaske bleiben ebenfalls leer REMOTE PORT 500 ACTION pass Der IPSec Wizard passt die Einstellungen wenn n tig an 10 enne Bintec Benutzerhandbuch IPSec e gt 3 Untermen Configure Peers Im Folgenden wird das Untermen CONFIGURE PEERS beschrieben Das Men IPSEC gt CONFIGURE PEERS gt APPENDIEDIT zum Erstellen Bearbei ten eines Peers IPSec Gegenstelle sieht folgenderma en aus VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PEERS ADD Configure Peer MyGateway Description Admin Status up Oper Status down Peer Address Peer IDs Pre Shared Key S PSec Callback gt Peer specific Settings gt Virtual Interface no Traffic List Settings gt SAVE CANCEL Es enth lt folgende Felder Feld Description Hier geben Sie eine Beschreibung des Peers ein die diesen eindeutig erkennen l sst Die maximale L n
38. Software zu gew hrleisten ist m ssen die Werte f r Phase 1 und Phase 2 identisch konfi guriert werden Block Time Hier legen Sie fest wie lange ein Peer f r Tun nelaufbauten blockiert wird nachdem ein Phase 1 Tunnelaufbau fehlgeschlagen ist Dies betrifft nur lokal initiierte Aufbauversuche Zur Verf gung stehen Werte von 1 bis 86400 Sekunden der Wert 1 Defaultwert bedeutet die bernahme des Wertes im Defaultprofil der Wert 0 dass der Peer in keinem Fall blockiert wird Local ID Informationen zu diesen Parametern siehe RES KAG Definitionen auf Seite 22 CA Certificates Nat Traversal Tabelle 3 4 IPSEC CONFIGURE PEERS gt APPENDI EDIT gt PEER SPECIFIC SETTINGS gt IKE PHASE 1 PROFILE EDIT gt ADD EDIT 3 2 2 Definitionen Die im Folgenden beschriebenen Felder des Men s IKE PHASE 1 PROFILE EDIT gt ADD EDIT bed rfen n herer Erl uterung Phase 1 Proposal In diesem Feld k nnen Sie auf Ihrem Gateway jede Kombination aus Ver schl sselungs und Message Hash Algorithmen f r IKE Phase 1 ausw hlen Die Kombination von sechs Verschl sselungsalgorithmen und vier Message Hash Algorithmen ergibt 24 m gliche Werte in diesem Feld Dar ber hinaus 22 ummmm Bintec Benutzerhandbuch IPSec Untermen Peer specific Settings D k nnen Sie den Wert none default w hlen der dem Peer das im IPSec Haupt men ausgew hlte Default Proposal zuweist In den fol
39. al Type Value IP 192 168 1 1 DNS MyGateway NONE State of Last Enrollment none Server Certname Start Exit Dieses Men enth lt folgende Felder Feld Key to enroll W hlen Sie den Schl ssel den Sie zertifiziert haben m chten 76 wmmum Bintec Benutzerhandbuch IPSec Untermen Key Management Method Hier w hlen Sie aus auf welche Art Sie das Zertifikat beantragen wollen Zur Verf gung stehen E SCEP Der Schl ssel wird mittels des Sim ple Certificate Enrollment Protocols bei ei ner CA beantragt BE Upload Das Gateway erzeugt f r den Schl ssel eine PKCS 10 Anfrage die an einen Server der CA gesendet wird Das Zertifikat muss nach der Ausstellung noch in das Gateway importiert werden E Show Das Gateway erzeugt eine PKCS 10 Anfrage und zeigt das Ergebnis in einem Men fenster an CA Certificate Nur f r METHOD SCEP W hlen Sie das CA Zertifikat der Zertifizie rungsstelle CA von der Sie Ihr Zertifikat anfordern m chten Falls keine CA Zertifikate zur Verf gung ste hen wird das Gateway zuerst das CA Zertifikat der betroffenen CA herunterladen Er f hrt dann mit dem Registrierungsprozess fort sofern keine wesentlichen Parameter mehr feh len In diesem Fall kehrt es in das Men REQUEST CERT zur ck Falls das CA Zertifikat keine CRL Verteilstelle CRL Certificate Revocation List CRL enth lt und auf dem Gateway kein Zertifikatserver kon figuriert ist wird di
40. ash Algorithmus Wird mit 96 Bit Digest Length f r IPSec ver wendet SHA1 Secure Hash Algorithm 1 gt gt SHA1 ist ein Hash Algorithmus der von der NSA United States National Security Asso ciation entwickelt wurde Er wird als sicher ein gestuft ist aber langsamer als MD5 Wird mit 96 Bit Digest Length f r IPSec verwendet RipeMD 160 gt gt RipeMD 160 ist ein kryptographischer 160 Bit Hash Algorithmus Er wird als sicherer Ersatz f r MD5 und RipeMD angewandt Tiger 192 gt gt Tiger 192 ist ein relativ neuer und sehr schneller Algorithmus Tabelle 3 6 Message Hash Algorithmen f r PHASE 1 PROPOSALS Beachten Sie dass die Beschreibung der Verschl sselung und Authentifizie I rung oder der Hash Algorithmen auf dem Kenntnissstand und der Meinung des Hinweis Autors zum Zeitpunkt der Erstellung dieses Handbuchs basiert Die Qualit t der Algorithmen im besonderen unterliegt relativen Gesichtpunkten und kann sich aufgrund von mathematischen oder kryptographischen Weiterentwicklun gen ndern 24 anne Bintec Benutzerhandbuch IPSec Untermen Peer specific Settings E IPSec VIEW PROPOSALS Im Untermen View ProPoSsALS erhalten Sie eine bersicht ber die Proposals die vom IPSec Wizard erstellt wurden VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PEERS EDIT IKE PROPOSALS IKE Proposals MyGateway Description Protocol Lifetime B
41. ate CRL Geben Sie an auf welche Weise Sie die Zertifi using katdaten eingeben m chten Bm TFTP Defaultwert E Direct Input direkte Eingabe Type of Certificate Dieses Feld zeigt einen der folgenden Eintr ge an Own Certificate Certificate Authority oder Peer Certificate Sie k nnen diesen Eintrag nicht ndern Please enter certificate Nur f r IMPORT A CERTIFICATE CRL USING data Direct Input Hier k nnen Sie den Inhalt des Zertifikats wel ches Sie von der Zertifizierungsstelle CA empfangen oder von Ihrem Systemadministra tor erhalten haben in die daf r vorgesehene Zeile unterhalb dieses Felds durch Kopie ren Einf gen eintragen 84 m mmmma Bintec Benutzerhandbuch IPSec Zertifikat Untermen s IPSec Server Nur f r IMPORT A CERTIFICATE CRL USING TFTP Geben Sie den TFTP Server an von dem das Zertifikat heruntergeladen werden kann Sie k nnen entweder eine IP Adresse oder einen aufl sbaren Host Namen eingeben Name Geben Sie den Namen des Zertifikats ein wel ches heruntergeladen werden soll falls Sie TFTP Download gew hlt haben oder welches Sie eingetragen haben falls Sie Direct Input gew hlt haben Falls Sie das Zertifikat ber TFTP heruntergela den haben wird dieser Name auch als Datei name benutzt auto base64 binary Nur f r IMPORT A CERTIFICATE CRL USING TFTP W hlen Sie die Art der Codierung so dass das Gateway das Zertifikat decodieren kann
42. bH bernimmt keine Verantwortung f r Da tenverlust ungewollte Verbindungskosten und Sch den die durch den unbeaufsichtigten Betrieb des Produkts entstanden sind Bintec und das Bintec Logo sind eingetragene Warenzeichen der Funkwerk Enterprise Communicati ons GmbH Erw hnte Firmen und Produktnamen sind in der Regel Warenzeichen der entsprechenden Firmen bzw Hersteller Alle Rechte sind vorbehalten Kein Teil dieses Handbuchs darf ohne schriftliche Genehmigung der Fir ma Funkwerk Enterprise Communications GmbH in irgendeiner Form reproduziert oder weiterverwer tet werden Auch eine Bearbeitung insbesondere eine bersetzung der Dokumentation ist ohne Genehmigung der Firma Funkwerk Enterprise Communications GmbH nicht gestattet Bintec Gateways entsprechen folgenden Richtlinien und Normen R amp TTE Richtlinie 1999 5 EG CE Zeichen f r alle EU L nder Weitere Informationen finden Sie in den Konformit tserkl rungen unter www bintec de Funkwerk Enterprise Communications GmbH Bintec France S dwestpark 94 6 8 Avenue de la Grande Lande D 90449 N rnberg F 33174 Gradignan Deutschland Frankreich Telefon 49 180 300 9191 0 Telefon 33 5 57 35 63 00 Fax 49 180 300 9193 0 Fax 33 5 56 89 14 05 Internet www funkwerk ec com Internet www bintec fr IPSec Men llPSEC AN ENNHLKTNIEN che A anne 3 Untermen Pre IPSec Rules z2anunsnnnnnnnn nun 5 2 1 Das Untermen APPENDEIDIT 2 2222 nneseeee en 7 Untermen Con
43. den mit Kommata getrennt Dadurch wird es z B m glich auch f r selbstsignierte Zertifikate ein CA Zerti fikat zu bermitteln Falls das CA Zertifikat keine Zertifikat R ckrufliste Certificate Revocation List CRL oder keine CRL Verteilstelle enth lt und auf dem Gateway kein Zertifi katserver konfiguriert ist wird die Variable NOCRLS auf True gesetzt Zertifi kate von dieser CA werden nicht auf ihre G ltigkeit berpr ft Phase 1 NAT Traversal NAT Traversal NAT T erm glicht es IPSec Tunnel auch ber ein oder meh rere Gateways zu ffnen auf denen Network Address Translation NAT akti viert ist Ohne NAT T kann es zwischen IPSec und NAT zu Inkompatibilit ten kommen siehe RFC 3715 Abschnitt 2 Diese behindern vor allem den Aufbau eines IP Sec Tunnels von einem Host innerhalb eines LANs und hinter einem NAT Ga teway zu einem anderen Host bzw Gateway NAT T erm glicht derartige Tunnel ohne Konflikte mit NAT Gateways aktiviertes NAT wird vom IPSec Daemon automatisch erkannt und NAT T wird verwendet Die Konfiguration von NAT T beschr nkt sich auf die Aktivierung bzw Deakti vierung der Funktion in den Einstellungen der Phase 1 Profile f r das globale Profil in IPSEC gt IKE PHASE 1 DEFAULTS EDIT siehe Phase 1 NAT Traversal auf Seite 63 oder peerspezifisch in CONFIGURE PEERS gt ADD EDIT gt PEER SPECIFIC SETTINGS gt IKE PHASE 1 DEFAULTS EDIT F r das Feld NAT TRAVERSAL stehen in C
44. der VPN Access Linie werden Heartbeats f r Phase 1 und Phase 2 getrennt konfiguriert Wenn Interoperabilit t mit lterer Software zu gew hrleisten ist m ssen die Werte f r Phase 1 und Phase 2 identisch konfi guriert werden IPSec Bintec Benutzerhandbuch 53 5 Untermen IKE Phase 1 Defaults Block Time Hier legen Sie fest wie lange ein Peer f r Tun nelaufbauten blockiert wird nachdem ein Phase 1 Tunnelaufbau fehlgeschlagen ist Dies betrifft nur lokal initiierte Aufbauversuche Zur Verf gung stehen Werte von 1 bis 86400 Sekunden der Wert 1 Defaultwert bedeutet die bernahme des Wertes im Defaultprofil der Wert 0 dass der Peer in keinem Fall blockiert wird Local ID Informationen zu diesen Parametern siehe EEN Definitionen auf Seite 54 CA Certificates Nat Traversal Tabelle 5 1 IPSec gt IKE PHase 1 DEFAULTS EDIT gt ADD EDIT 5 1 Definitionen Die im Folgenden beschriebenen Felder des Men s IKE PHAse 1 DEFAULTS EDIT gt ADD EDIT bed rfen n herer Erl uterung Phase 1 Proposal In diesem Feld k nnen Sie auf Ihrem Gateway jede Kombination aus gt gt Verschl sselungs und Message Hash Algorithmen f r IKE Phase 1 aus w hlen Die Kombination von sechs Verschl sselungsalgorithmen und vier Message Hash Algorithmen ergibt 24 m gliche Werte in diesem Feld 54 m mmmma Bintec Benutzerhandbuch IPSec ven MB In den folgenden beide
45. dx 0 Hier geben Sie eine Beschreibung ein die das Profil eindeutig erkennen l sst Die maximale L nge des Eintrags betr gt 255 Zeichen IPSec Bintec Benutzerhandbuch 51 5 Untermen IKE Phase 1 Defaults Proposal Lifetime Informationen zu diesen Parametern siehe Definitionen auf Seite 54 Group Authentication Method Mode 52 m mmmma Bintec Benutzerhandbuch IPSec e HR E Heartbeats Hier w hlen Sie ob und in welcher Weise IPSec Heartbeats verwendet werden Um feststellen zu k nnen ob eine Security Association SA noch g ltig ist oder nicht ist ein Bintec IPSec Heartbeat implementiert wor den Dieser sendet bzw empf ngt je nach Kon figuration alle 5 Sekunden Signale bei deren Ausbleiben die SA nach 20 Sekunden als ung ltig verworfen wird Zur Verf gung stehen EB default Defaultwert Das Gateway ver wendet die Einstellung des Default Profils E none Das Gateway sendet und erwartet keinen Heartbeat Wenn Sie Ger te ande rer Hersteller verwenden setzen Sie diese Option E expect Das Gateway erwartet einen He artbeat vom Peer sendet selbst aber kei nen E send Das Gateway erwartet keinen Heart beat vom Peer sendet aber einen EM both Das Gateway erwartet einen Heart beat vom Peer und sendet selbst einen EB auto Automatische Erkennung ob die Ge genstelle ein Bintec Gateway ist Wenn ja wirrd Heartbeat gesetzt F r Ger te
46. e Variable NOCRLS auf True gesetzt Zertifikate von dieser CA wer den nicht auf ihre G ltigkeit berpr ft IPSec Bintec Benutzerhandbuch 77 Untermen Certificate and Key Management Autosave Nur f r METHOD SCEP Falls Sie diese Option aktivieren speichert das Gateway intern automatisch die verschiedenen Schritte des Registrierungsprozesses Dies ist dann von Nutzen wenn die Registrierung nicht sofort abgeschlossen werden kann oder wenn das Gateway neu gebootet werden muss Falls der Status nicht gespeichert wurde kann die Registrierung nicht abgeschlossen werden Sobald die Registrierung abgeschlossen ist und das Zertifikat vom CA Server heruntergela den wurde wird es automatisch in der Konfigu ration des Gateways gespeichert Als Wahlm glichkeiten gibt es on Defaultwert und off CA Domain Nur f r METHOD SCEP Geben Sie den gt gt Domainnamen des CA Servers ein an den die Registrierung gesandt wird z B enroll ca com Die entsprechenden Daten erhalten Sie von Ihrem CA Administra tor Password Subject Name Nur f r METHOD SCEP Um Zertifikate f r Ihre Schl ssel zu erhalten ben tigen Sie m glicherweise ein Passwort von der Zertifizierungsstelle Tragen Sie das Passwort welches Sie von Ihrer Zertifizie rungsstelle erhalten haben hier ein Geben Sie einen Subjektnamen f r das Zertifi kat welches Sie anfordern ein Der Name den Sie hier e
47. eer spezifisches Profil an Ver ndern Sie weder das durch den Wizard Lauf automatisch angelegte Profil autogenerated noch Ihr als globales Profil angelegtes Default Profil 18 mmma Bintec Benutzerhandbuch IPSec Untermen Peer specific Settings D IPSec Das Men SELECT DIFFERENT TRAFFIC LisT ist nur dann zug nglich wenn ein Peer mit Traffic Lists angelegt wird 3 2 1 Untermen IKE Phase 1 Profile Das Men zur Konfiguration eines Phase 1 Profils ist bei der Peer Konfigurati on ber das Men CONFIGURE PEERS gt APPEND EDIT A PEER SPECIFIC SETTINGS gt IKE PHASE 1 PROFILE EDIT gt ADD EDIT zug nglich VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PEERS ADD SPECIAL PHASE1 ADD MyGateway Description Idx 0 Proposal none default Lifetime use default Group default Authentication Method default Mode default Heartbeats default Block Time 1 Local ID S Local Certificate none CA Certificates E Nat Traversal default View Proposals gt Edit Lifetimes gt SAVE CANCEL Das Men enth lt folgende Felder Description Idx 0 Hier geben Sie eine Beschreibung ein die das Profil eindeutig erkennen l sst Die maximale L nge des Eintrags betr gt 255 Zeichen Bintec Benutzerhandbuch 19 3 Untermen Configure Peers Proposal Lifetime Informationen zu diesen Parametern Group siehe Definitionen auf Seite 22
48. eim Import des Zertifikats eingegeben haben Jetzt k nnen Sie diese ndern Type of Certificate Hier k nnen Sie zwischen drei Arten von Zertifi katen ausw hlen BR Own Certificate eigenes Zertifikat BR Certificate Authority Zertifizierungsstelle BR Peer Certificate Peer Zertifikat Falls Sie hier Certificate Authority w hlen m s sen Sie zus tzlich angeben ob die Zertifizie rungsstelle Zertifikat R ckruflisten CRLs ausgibt oder nicht Tabelle 7 4 IPSEC gt CERTIFICATE AND KEY MANAGEMENT gt OWN CERTIFICATES gt EDIT 7 2 1 Zertifikatimport Ein weiteres Untermen in das Sie vom ersten Zertifikatmen aus gelangen k nnen CERTIFICATE AND KEY MANAGEMENT gt OWN CERTIFICATES CERTIFICATE AUTHORITY CERTIFICATES oder PEER CERTIFICATES ist das DOWNLOAD Men ber das Sie ein Zertifikat entweder von einem gt TFTP Server herunterla den oder durch direktes Einf gen des Zertifikatinhalts in das Setup Tool impor tieren k nnen Bintec Benutzerhandbuch ennen 83 Untermen Certificate and Key Management Es sieht folgenderma en aus Beispiel aus OWN CERTIFICATES VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC CERTMGMT OWN GETCERT IPSec Configuration MyGateway Get Certificate Import a Certificate CRL using TFTP Type of certificate Own Certificate Server Name auto START EXIT Dieses Men enth lt folgende Felder Import a Certific
49. elches sich ffnet sieht in beiden F llen folgenderma en aus falls Sie einen vorhandenen Eintrag ndern werden die Werte f r diesen Eintrag angezeigt VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PEERS ADD TRAFFIC ADD Traffic Entry NEW MyGateway Description Protocol dont verify Local Type net Ip ra Remote Type net Ip 0 Action protect Profile default edit gt SAVE CANCEL In den Feldern dieses Men s sind folgende Werte m glich Description Geben Sie eine Beschreibung ein aus der her vorgeht welcher Teil des Datenverkehrs von der Regel betroffen ist Protocol Hier k nnen Sie definieren ob die Regel nur f r Pakete mit einem bestimmten Protokoll gelten soll Sie haben die Wahl zwischen der Festlegung eines Protokolls und der Option dont verify letzteres bedeutet dass das Protokoll nicht als Filterkriterium herangezogen wird Local Type Geben Sie die lokalen Adresseinstellungen ein Einzelheiten dazu finden Sie in der Tabelle Local Remote Type auf Seite 43 40 mmmmm Bintec Benutzerhandbuch IPSec Untermen Traffic List Settings B Remote Type Geben Sie die Adresseinstellungen der fernen Gegenstelle ein Einzelheiten dazu finden Sie in der Tabelle Local Remote Type auf Seite 43 Action Hier k nnen Sie zwischen drei Optionen w h len Einzelheiten dazu finden Sie in Tabelle Action auf Seite 43 unten
50. ellman Schl sselberech nung wird die modulare Exponentiation mit 1536 Bit genutzt um das Verschl sselungs material zu erzeugen default Defaultwert Das Gateway verwendet die Einstellung des Default Profils Tabelle 3 8 PHASE 1 GROUP Phase 1 Authentication Method Dieses Feld zeigt die Authentifizierungsmethode an die Sie w hrend der Kon figuration mit dem IPSec Wizard gew hlt haben und erm glicht Ihnen diese zu ndern Wert Pre Shared Keys Bedeutung Falls Sie f r die Authentifizierung keine Zertifi kate verwenden k nnen Sie Pre Shared Keys w hlen Diese werden bei der Peerkonfigura tion im Men IPSEC gt CONFIGURE PEERS gt APPENDIEDIT konfiguriert Preshared Key ist das gemeinsame Passwort DSA Signatures Phase 1 Schl sselberechnungen werden unter Nutzung des gt gt DSA Algorithmus authentifi ziert 28 anne Bintec Benutzerhandbuch IPSec Untermen Peer specific Settings D Wert Bedeutung RSA Signatures Phase 1 Schl sselberechnungen werden unter Nutzung des gt gt RSA Algorithmus authentifi ziert RSA Encryption Mit RSA Verschl sselung werden als erwei terte Sicherheit zus tzlich die ID Nutzdaten verschl sselt default Das Gateway verwendet die Einstellungen des Defaultvalue Default Profils Tabelle 3 9 PHASE 1 AUTHENTICATION METHOD Phase 1 Mode Das Mode Feld zeigt den momentan konfigurierten Phase 1 Modus
51. en Key IDs oder Email Adressen Eingaben anderer Formate werden als FQDN fully qua lified domain names aufgel st Auf dem Peer Gateway entspricht diese ID der Locau ID EB f r id protect Mode die LocAL ID in IKE PHASE 1 DEFAULTS EDIT gt ADD EDIT BE f r aggressive Mode die LocAL ID in CONFIGURE PEERS gt APPENDIEDIT gt PEER SPECIFIC SETTINGS IKE PHASE 1 DEFAULTS EDIT gt ADD EDIT oder in IKE PHASE 1 DEFAULTS EDIT gt ADD EDIT Pre Shared Key Nur bei Authentifizierung ber Preshared Keys Hier geben Sie das mit dem Peer vereinbarte Passwort ein Es muss zweimal identisch ein getragen werden Die maximale L nge des Ein trags betr gt 50 Zeichen Ausser 0x am Anfang sind alle Zeichen m glich Die AUTHENTICATION METHOD kann im Men CONFIGURE PEERS gt APPEND EDIT gt PEER SPECIFIC SETTINGS gt IKE PHASE 1 DEFAULTS EDIT f r den Peer angepasst werden IPSec Bintec Benutzerhandbuch 13 3 Untermen Configure Peers Virtual Interface Hier legen Sie fest ob eine Traffic List Defini tion der Bereiche des Datenverkehrs und der darauf jeweils anzuwendenden Filterregel defi niert oder der Peer als virtuelles Interface addressiert wird Zur Verf gung stehen E no Verbindungen zum Peer werden ber eine Traffic List gesteuert MH yes Der Peer wird als virtuelles Interface erstellt Der Datenverkehr der ber dieses Interface geroutet wird wird vollst ndig
52. en Teil der Ressourcen belegt Ein Wert von 768 oder mehr wird jedoch empfoh len als Defaultwert ist 1024 Bit vorgegeben RSA Public Exponent Dieses Feld wird nur dann angezeigt wenn Sie den RSA Algorithmus benutzen Der Public Exponent ist Teil des Public Key ffentlicher Schl ssel der f r RSA Signaturen und RSA Verschl sselung erzeugt wurde Falls Sie von Ihrer Zertifizierungsstelle CA keine besondere Empfehlung erhalten k nnen Sie den Defaultwert 65537 unver ndert berneh men Tabelle 7 1 IPSEC gt CERTIFICATE AND KEY MANAGEMENT gt KEY MANAGEMENT gt CREATE 7 1 2 Zertifikatanforderung Nachdem Sie einen Schl ssel erzeugt haben k nnen Sie f r diesen Schl ssel ein Zertifikat anfordern indem Sie den entsprechenden Schl ssel markieren und dann die e Taste auf Ihrer Tastatur dr cken Alternativ k nnen Sie REQUEST CERT aufrufen und den Schl ssel den Sie zertifiziert haben m chten im sich ffnenden Men ausw hlen Bintec Benutzerhandbuch ennen 75 Untermen Certificate and Key Management Falls Sie ein Zertifikat anfordern m chten ffnet sich folgendes Untermen VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC CERTMGMT ENROLL IPSec Configuration MyGateway Certificate Enrollment Key to enroll 1 RSA key pair 1024 Method SCEP CA Certificate download Autosave on CA Domain Password Subject Name Subject Alternative Names option
53. en wird das Untermen WizArD beschrieben Im Men WIZARD k nnen Sie den IPSec Wizard des Setup Tools den Sie be reits zu Beginn der IPSec Konfiguration einmal durchlaufen haben erneut star ten Zwar erzwingt das Setup Tool seine Verwendung nicht aber ohne zumindest den ersten Schritt des Wizards durchlaufen zu haben stehen die er forderlichen Profile f r Phase 1 und Phase 2 nicht zur Verf gung Wenn Sie das IPSec Men ausw hlen startet automatisch der IPSec Wizard Es ffnet sich folgendes Fenster VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC WIZARD IPsec Configuration Wizard Menu MyGateway IPsec 1st step configurations wizard Configuration History What to do start wizard lt Space gt to choose lt Return gt to select Exit Es stehen Ihnen folgende Optionen zur Verf gung Sie k nnen den Wizard mit START WIZARD starten eine bestehende Konfiguration mit CLEAR CONFIG l schen oder das Wizard Men mit Ex T verlassen Wenn Sie den IPSec Wizard starten Bintec Benutzerhandbuch 93 DH Untermen Wizard werden Ihnen Informationen zu den Konfigurationsschritten im Fensterbereich unter der berschrift Configuration History angezeigt 94 VPN Access 25 Setup Tool IPSEC WIZARD IPsec Configuration Wizard Menu MyGateway Bintec Access Networks GmbH for ESP for AH IPsec 1st step configurations wizard Configuration History MD5 SHA1 NOMA
54. er Falls Sie diese Option w hlen wird automa tisch angenommen dass die dynamische IP Adresse des Gateways sofern anwendbar unter diese Regel f llt In diesem Fall sind keine weiteren Einstellungen notwendig Obwohl dieser Eintrag hier gew hlt werden kann hat er f r die Post IPSec Rules keine Funktion Er ist f r Peer Konfigurationen von Bedeutung siehe Untermen Traffic List Settings auf Seite 39 Tabelle 4 3 LOCAL REMOTE TYPE IPSec Bintec Benutzerhandbuch 49 D Untermen Post IPSec Rules 50 ummm Bintec Benutzerhandbuch IPSec e BR 5 Untermen IKE Phase 1 Defaults Im Folgenden wird das Untermen IKE PHASE 1 DEFAULTS EDIT beschrie ben Das Men zur Konfiguration eines globalen Phase 1 Profils ist ber das Men IPSEC gt IKE PHASE 1 DEFAULTS EDIT gt ADD EDIT zug nglich VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PHASE1 ADD MyGateway Description Idx 0 Proposal none default Lifetime use default Group default Authentication Method default Mode default Heartbeats default Block Time al Local ID S Local Certificate none CA Certificates Nat Traversal enabled View Proposals gt Edit Lifetimes gt SAVE CANCEL Felder mit der Einstellung default m ssen ver ndert werden sonst kann die ES Konfiguration nicht gespeichert werden Hinweis Das Men enth lt folgende Felder Description I
55. erial zu erzeugen m ssen Sie die Exponentiations Merkmale w hlen Wenn Sie PFS aktivieren sind die Optionen die gleichen wie bei der Konfiguration in PHASE 1 GROUP Phase 1 Group auf Seite 59 PFS wird genutzt um die Schl ssel einer umgeschl ssel ten Phase 2 SA zu sch tzen auch wenn die Schl ssel der Phase 1 SA be kannt geworden sind IPSec Bintec Benutzerhandbuch 71 D Untermen IPSec Phase 2 Defaults 72 wmmm Bintec Benutzerhandbuch IPSec Untermen Key Management 7 Untermen Certificate and Key Management Im Folgenden wird das Untermen CERTIFICATE AND KEY MANAGEMENT be schrieben Im Men CERTIFICATE AND KEY MANAGEMENT gelangt man in folgende Unterme n s KEY MANAGEMENT Own CERTIFICATES CERTIFICATE AUTHORITY CERTIFICATES PEER CERTIFICATES CERTIFICATE REVOCATION LISTS CERTIFICATE SERVERS 7 1 Untermen Key Management Das erste Men fenster von CERTIFICATE AND KEY MANAGEMENT gt KEY MANAGEMENT zeigt Informationen ber die auf Ihrem Gateway gespeicherten Schl ssel an VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC CERTMGMT KEYS IPSec Configuration MyGateway Configure Keys Highlight an entry and type ei to generate a pkcs 10 certificate request Description Algorithm Key Length RSA key pair 1024 bit rsa 001024 CREATE DELETE REQUEST CERT EXIT IPSec Bintec Benutzerhandbuch 73 Untermen Certificate and Key Management
56. ert Bedeutung host Geben Sie die gt IP Adresse eines einzel nen Rechners ein der unter diese Regel Rule fallen soll Wenn Sie als Protokoll tcp oder udp ausge w hlt haben um den Datenverkehr einzu schr nken werden Sie evtl aufgefordert eine PORT Nummer einzutragen IPSec Bintec Benutzerhandbuch 47 D Untermen Post IPSec Rules Wert Bedeutung net Geben Sie die gt IP Adresse eines Netzes und die dazugeh rige Netzmaske ein die unter diese Regel fallen sollen Die Eingabeaufforderung f r die gt gt Netzmaske erscheint automatisch wenn Sie net w hlen Sie wird von der Eingabeauffor derung f r die IP Adresse durch das Zeichen getrennt Wenn Sie als Protokoll tcp oder udp ausge w hlt haben um den Datenverkehr einzu schr nken werden Sie evtl aufgefordert eine PORT Nummer einzutragen range Geben Sie einen IP Adressenbereich ein der unter diese Regel fallen soll Die Eingabeaufforderung ndert sich automa tisch so dass Sie zwei IP Adressen eingeben k nnen die durch ein voneinander getrennt sind Wenn Sie als Protokoll tcp oder udp aus gew hlt haben um den Datenverkehr einzu schr nken werden Sie evtl aufgefordert eine PORT Nummer einzutragen dhcp Nur f r REMOTE TYPE Das entfernte Gateway bezieht seine IP Konfi guration per gt gt DHCP 48 mmmmm Bintec Benutzerhandbuch IPSec Untermen APPEND EDIT D Wert Bedeutung own pe
57. ert die Gesamt Kommunikationsperformance zwischen einem Paar mitein ander kommunizierender Hosts Gateways Knoten Es komprimiert die Datagramme vorausgesetzt die Knoten verf gen ber ausreichende Rechen leistung entweder durch die Leistung der CPU oder durch einen Kompressi ons Koprozessor Die IP Nutzdatenkompression ist besonders n tzlich wenn gt gt IP Datagram me verschl sselt werden Die Verschl sselung von IP Datagrammen sorgt da f r dass die Daten eine Zufallsnatur erhalten wodurch eine Kompression auf niedrigeren Protokollebenen z B PPP Compression Control Protocol RFC1962 unwirksam ist Falls sowohl Kompression als auch Verschl sse lung gefordert sind muss die Kompression vor der Verschl sselung durchge f hrt werden Bei allen IPSec Proposals bei denen keine bestimmte Einstellung f r IPComP festgelegt ist ist IPComP freigegeben Das bedeutet dass das Gateway w h rend der SA Aushandlung alle Proposals akzeptiert unabh ngig davon ob die se die Nutzung von IPComP vorschlagen oder nicht Falls der lokale Rechner die Aushandlung initiiert schl gt er die Nutzung von IPComP als Vorzugs Pro posal vor erlaubt jedoch dem antwortenden Rechner ein Proposal ohne IP ComP zu w hlen 36 mmmum Bintec Benutzerhandbuch IPSec Untermen Peer specific Settings D IPSec Sie k nnen dieses Verhalten ndern indem Sie ein IPSec Proposal w hlen der eine der folgenden Einstellungen f r gt gt IPComP f
58. ertifikat beantragt haben oder den entsprechenden Wizard Schritt bersprungen haben fragt der Wizard ob Sie ein eigenes Zerti fikat Own Certificate importieren wollen Wenn Sie Ihr Zertifikat noch nicht er halten haben k nnen Sie den Wizard nun beenden und sp ter mit der Konfiguration fortfahren Wenn Sie Ihr Zertifikat mittels SCEP beantragt haben wird es automatisch vom Gateway gespeichert sobald die Certificate Authority das Zertifikat ausgestellt hat In diesem Fall k nnen Sie diesen Schritt ber springen Haben Sie das Zertifikat manuell beantragt so best tigen Sie und der Wizard wechselt in das Men zum Zertifikat Import siehe Zertifikat Untermen s auf Seite 81 Nach Eingabe der notwenigen Daten gelangen Sie in das Wizard Men zur ck Sobald Ihr Zertifikat auf dem Gateway installiert ist fordert der Wizard Sie zum Download eines gt gt CA Zertifikats Certificate Authority Certificate auf Die ses ist das Zertifikat mit dem sich die CA die Ihr Zertifikat ausgestellt hat ih rerseits authentisiert Der Wizard wechselt in das entsprechende Men 96 mmmm Bintec Benutzerhandbuch IPSec Schritt 7 CRL Server Schritt 9 Peer Traffic IPSec Peer Certificate Schritt 8 Peer Peer Interface siehe Zertifikat Untermen s auf Seite 81 Nach Eingabe der notwenigen Da ten gelangen Sie in das Wizard Men zur ck Wenn sowohl Ihr Zertifikat als auch das der CA auf dem Gateway installiert s
59. es entfernten Peers an Im Beispiel erfolgt die Authentifizierung mit Zer tifikaten damit besteht die entfernte ID aus Quotes aus dem Zertifikat des Peers Remote IP Zeigt die IP Adresse des entfernten Peers an 102 smm Bintec Benutzerhandbuch IPSec Untermen IKE Security Associations 10 Local ID Zeigt die lokale ID an Auch hier besteht die ID aus Quotes aus dem Zertifikat welches f r die Authentifizierung benutzt wurde TARSEH Zeigt die Kombination der im Hilfebereich des Men fensters erl uterten Parameter an Das Beispiel ISREBM bedeutet somit EM Austauschtyp id_protect I BR Authentifizierungsmethode RSA Signatur S Rolle Antwortender Responder R Status Eingerichtet Established E Verschl sselungsalgorithmus Blowfish B Hash Algorithmus MD5 M Tabelle 10 2 IPSEC gt MONITORING IKE SECURITY ASSOCIATIONS Der Hilfebereich kann durch Dr cken der Taste h ein bzw ausgeblendet wer den IPSec Bintec Benutzerhandbuch m m m m 103 10 Untermen Monitoring 10 3 Untermen IPSec SA Bundles Das n chste Untermen IPSEC gt MONITORING gt IPSEC SA BUNDLES zeigt die IPSec Security Associations an die in IKE Phase 2 ausgehandelt wurden Das Men sieht folgenderma en aus VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC MONITORING IPSEC BUNDLES IPsec Monitoring MyGateway IPsec SA Bundles Local LPort Pto Remote RPort CEA
60. essenbereich ein der unter diese Regel fallen soll Die Eingabeaufforderung ndert sich automa tisch so dass Sie zwei IP Adressen eingeben k nnen die durch ein voneinander getrennt sind Wenn Sie als Protokoll tcp oder udp ausge w hlt haben um den Datenverkehr einzu schr nken werden Sie evtl aufgefordert eine PORT Nummer einzutragen dhcp Nur f r REMOTE TYPE Das entfernte Gateway bezieht seine IP Konfi guration per gt gt DHCP own Nur f r LOCAL TYPE Falls Sie diese Option w hlen wird automa tisch angenommen dass die dynamische IP Adresse des Gateways sofern anwendbar unter diese Regel f llt In diesem Fall sind keine weiteren Einstellungen notwendig 42 ummmm Bintec Benutzerhandbuch IPSec Untermen Interface IP Settings D Bedeutung IPSec Action peer Nur f r REMOTE TYPE Wenn diese Option gew hlt ist wird die IP Adresse des Peers mit der dynamischen IP Adresse automatisch als von der Regel betrof fen eingestuft Tabelle 3 18 LOCAL REMOTE TYPE Im Feld Acr on gibt es folgende Optionen Wert Bedeutung pass Diese Option erm glicht es bestimmte IPSec Pakete unver ndert passieren zu lassen drop Diese Option verwirft alle Pakete die den konfi gurierten Filtern entsprechen protect Der Datenverkehr wird gem des ausgew hl ten Profils verschl sselt und oder authentifi ziert Tabelle 3 19 ACTION 3 4 Untermen Inte
61. estlegt IPComp Option Beschreibung no Comp Ihr Gateway akzeptiert keine SAs die die Nut zung von IPComp festlegen Falls der Peer so konfiguriert wurde dass sein Gateway IPComP vorschl gt dann schl gt die IPSec SA Aus handlung fehl und es wird keine Verbindung hergestellt force Comp Ihr Gateway fordert dass bei der IPSec SA Aushandlung IPComP vereinbart werden kann Falls der Peer dies nicht akzeptiert wird keine Verbindung hergestellt Tabelle 3 13 PHASE 2 IPComP Optionen bei IPSec Proposals Da die wichtigsten Verschl sselungs und Hash Algorithmen bereits beschrie ben wurden werden sie hier nur noch aufgelistet Nur der NULL Algorithmus steht in Phase 1 nicht zur Verf gung Algorithmen Beschreibung Rijndael Twofish ee Beschreibungen der Verschl sselungsalgorith Blowfish men finden Sie in Ten MT Tabelle Verschl sselungsalgorithmen f r a Phase 1 Proposals auf Seite 23 3DES DES NULL Der NULL Algorithmus nimmt keine Ver schl sselung der IP Pakete vor ist jedoch not wendig falls IP Pakete eine Authentifizierung durch das ESP Protokoll ohne Verschl sselung ben tigen Tabelle 3 14 PHASE 2 Verschl sselungsalgorithmen Bintec Benutzerhandbuch ennen 37 B Untermen Configure Peers Dies sind die verf gbaren Hash Algorithmen Algorithmen Beschreibung MD5 Beschreibungen der Message Hash Algorith men finden Sie in Tabelle Message Hash
62. et die Einstellung des Default Profils E none Das Gateway sendet und erwartet keinen Heartbeat Wenn Sie Ger te ande rer Hersteller verwenden setzen Sie diese Option E expect Das Gateway erwartet einen He artbeat vom Peer sendet selbst aber kei nen E send Das Gateway erwartet keinen Heart beat vom Peer sendet aber einen BE both Das Gateway erwartet einen Heart beat vom Peer und sendet selbst einen EB auto Automatische Erkennung ob die Ge genstelle ein Bintec Gateway ist Wenn ja wirrd Heartbeat gesetzt F r Ger te der VPN Access Linie werden Heartbeats f r Phase 1 und Phase 2 getrennt konfiguriert Wenn Interoperabilit t mit lterer Software zu gew hrleisten ist m ssen die Werte f r Phase 1 und Phase 2 identisch konfi guriert werden 34 smumm Bintec Benutzerhandbuch IPSec Untermen Peer specific Settings B IPSec Propagate PMTU Hier w hlen Sie aus ob w hrend der Phase 2 die PMTU Path Maximum Transfer Unit pro pagiert werden soll oder nicht Zur Verf gung stehen Bm default Defaultwert Das Gateway ver wendet die Einstellung des Default Profils E no Die Path Maximum Transfer Unit wird nicht bermittelt Defaultwert HE yes Die Path Maximum Transfer Unit wird bermittelt Tabelle 3 11 IPSEC gt ConrFIGURE PEERS gt APPEND EDIT gt PEER SPECIFIC SETTINGS gt IPSEC PHASE 2 PROFILE EDIT gt ADD EDIT Das Men VIEw PROPOSA
63. figure Peers nn 11 3 1 Untermen IPSec Callback nananaua naaa 15 3 2 Untermen Peer specific Settings 18 3 2 1 Untermen IKE Phase 1 Profile 19 3 2 2 Definitionen as eek ae 22 3 2 3 Untermen IPSec Phase 2 Profile 32 3 2 4 Definitionen 22222en een nennen nennen 35 3 2 5 Untermen Select Different Traffic Us 39 3 3 Untermen Traffic List Settings 2 222222 s nennen 39 3 4 Untermen Interface IP Settings 43 Untermen Post IPSec Rules 45 4 1 Untermen APPEND EDIT 2 2 2222 snen seen nennen nn 46 Untermen IKE Phase 1 Defaults 51 5 1 Definitionen Auer UE DEER EE Ae en een ra 54 Untermen IPSec Phase 2 Defaults annnnnnnnnnnnnn 65 6 1 Definition rar ae ae aaa E 67 Untermen Certificate and Key Management 73 7 1 Untermen Key Management 73 7 1 1 Schl sselerzeugung 74 7 1 2 Zertifikatanforderung 2 22u2sne ernennen 75 7 2 Zertifikat Untermen s 2222 H2een een nen 81 Bintec Benutzerhandbuch ennen 1 10 7 2 1 Zertifikatimport 83 7 3 Untermen Certificate Revocation Lists e 86 7 4 Untermen Certificate Servers 87 Untermen Advanced Settings 89 Untermen Wizard zunn0nnn nn nn nn nn nn nn nn 93 Untermen Monitoring 99 10 1 Untermen Global Statistics 99 10 2 Untermen IKE Security Associations 2 222 2en ernennen 102 10 3 Untermen IPSec SA Bundles 2 222 2
64. ge des Eintrags betr gt 255 Zei chen IPSec Bintec Benutzerhandbuch m m 11 3 Untermen Configure Peers Admin Status Hier w hlen Sie den Zustand aus in den Sie den Peer nach dem Speichern der Peer Korfi guration versetzen wollen Zur Verf gung stehen EB up Defaultwert Der Peer steht nach dem Speichern der Konfiguration sofort f r den Aufbau eines Tunnels zur Verf gung BE down Der Peer steht nach dem Speichern der Konfiguration zun chst nicht zur Verf gung E dialup Nach dem Speichern wird einmalig ein Tunnel aufgebaut Dabei werden alle m glichen Verbindungsarten also auch Callback ber cksichtigt RB call back Nach dem Speichern wird ein Tunnel zum Peer aufgebaut Dabei wird so verfahren als sei ein initialer Callback Ruf bereits eingegangen Oper Status Hier wird der derzeitige Zustand des Peers angezeigt Das Feld ist nicht editierbar Peer Address Hier geben Sie die offizielle gt gt IP Adresse des Peers bzw seinen aufl sbaren gt gt Host Namen ein Die Eingabe kann in bestimmten Konfigurationen entfallen wobei das Gateway dann keine IPSec Verbindung initiieren kann 12 mmma Bintec Benutzerhandbuch IPSec e gt E Peer IDs Hier geben Sie die ID des Peers ein Die Ein gabe kann in bestimmten Konfigurationen ent fallen Die maximale L nge des Eintrags betr gt 255 Zeichen M gliche Zeichen Adres sen im Format f r IP Adressen X 500 Adres s
65. gel angewendet werden soll Die Eingabeaufforderung f r die Netzmaske erscheint automatisch wenn Sie net ausw h len Sie ist von der IP Adresse durch einen abgetrennt Wenn Sie als Protokoll tcp oder udp ausge w hlt haben um den Datenverkehr einzu schr nken werden Sie evtl aufgefordert eine PORT Nummer einzutragen range Definieren Sie einen IP Adressbereich auf den diese Regel angewendet werden soll Die Eingabeaufforderung erlaubt automatisch zwei IP Adressen einzutragen Diese werden durch abgetrennt Wenn Sie als Protokoll tcp oder udp ausge w hlt haben um den Datenverkehr einzu schr nken werden Sie evtl aufgefordert eine PORT Nummer einzutragen dhcp Nur f r REMOTE TYPE Das entfernte Gateway bezieht seine IP Konfi guration per gt gt DHCP own Nur f r LOCAL TYPE Wenn Sie diese Option w hlen wird die IP Adresse des Gateways falls anwendbar auto matisch als von der Regel betroffen eingestuft Es sind keine weiteren Einstellungen n tig IPSec Bintec Benutzerhandbuch 9 D Untermen Pre IPSec Rules Wert Notwendige Einstellungen peer Nur f r REMOTE TYPE Auch wenn dieser Eintrag hier ausgew hlt wer den kann ist er dennoch nicht anwendbar auf Pre IPSec Regeln Er ist anwendbar f r die Peer Konfiguration siehe Untermen Traffic List Settings auf Seite 39 Tabelle 2 3 LOCAL REMOTE TYPE Stellen Sie sicher dass die
66. genden beiden Tabellen sind die verf gbaren Verschl sselungs und Message Hash Algorithmen aufgelistet Algorithmus Beschreibung Rijndael Rijndael wurde aufgrund seines schnellen Schl sselaufbaus der geringen Speicheranfor derungen der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt Twofish gt gt Twofish war ein finaler Kandidat f r den AES Advanced Encryption Standard Er wird als genauso sicher eingestuft wie Rijndael AES ist aber langsamer Blowfish gt gt Blowfish ist ein sehr sicherer und zugleich schneller Algorithmus Twofish kann als Nach folger von Blowfish angesehen werden CAST gt CAST ist ebenfalls ein sehr sicherer Algo rithmus etwas langsamer als Blowfish aber schneller als 3DES 3DES gt gt 3DES ist eine Erweiterung des DES Algo rithmus mit einer effektiven Schl ssell nge von 112 Bit was als sicher eingestuft wird Es ist der langsamste Algorithmus der derzeit unter st tzt wird DES gt gt DES ist ein lterer Verschl sselungsalgo rithmus der aufgrund seiner kleinen effektiven L nge von 56 Bit als schwach eingestuft wird Tabelle 3 5 Verschl sselungsalgorithmen f r PHASE 1 PROPOSALS IPSec Bintec Benutzerhandbuch 23 B Untermen Configure Peers Im Folgenden sind die verf gbaren gt gt Hash Algorithmen aufgef hrt Algorithmus Beschreibung MD5 Message Digest 5 gt MD5 ist ein lterer H
67. ind fordert der Wizard Sie auf einen Server anzugeben von dem Certificate Revocation Lists CRLs heruntergeladen werden k nnen Dies ist dann not wendig wenn im CA Zertifikat kein CRL Distribution Point angegeben ist Sie aber gt RSA Encryption als Authentication Method ausgew hlt haben Wenn Sie einen CRL Server angeben wollen wechselt der Wizard in das ent sprechende Men siehe Untermen Certificate Servers auf Seite 87 Nach Eingabe der notwenigen Daten gelangen Sie in das Wizard Men zur ck Wenn Sle keinen CRL Server angeben und kein CRL Distribution Point im CA Zertifikat angegeben ist Sie aber dennoch RSA Encryption als Authentica tion Method gew hlt haben fordert der Wizard Sie zum Download eines Peer Zertifikates auf Er wechselt in das entsprechende Men siehe Zertifikat Untermen s auf Seite 81 Nach Eingabe der notwenigen Daten gelangen Sie in das Wizard Men zur ck Im n chsten Schritt werden Sie aufgefordert einen IPSec Peer zu konfigurie ren Der Wizard wechselt in das entsprechende Men siehe Untermen Configure Peers auf Seite 11 Nach Eingabe der notwenigen Daten gelangen Sie in das Wizard Men zur ck Wenn Sie einen Peer angelegt haben fordert der Wizard Sie auf den zu si chernden Datenverkehr zu spezifizieren Wenn Sie den Peer mit einem virtuellen Interface angelegt haben wechselt der Wizard in das Men zur Eingabe der Peer IP Settings siehe Untermen Interface IP
68. ine Schnittstelle geroutet wurde an der sich der Status von up zu down dormant oder blocked ge ndert hat M gliche Werte sind yes oder no Defaultwert Max Symmetric Key Length Gibt die maximale L nge eines Chiffrierschl s sels in Bits an die von der entfernten Stelle akzeptiert wird Diese Grenze verhindert denial of service Angriffe bei denen der Angreifer nach einem riesigen Schl ssel f r einen Verschl sselungsalgorithmus fragt der variable Schl ssell ngen zul t Der Default wert ist 1024 Use Zero Cookies Gibt an ob zeroed auf Null gesetzte ISAKMP Cookies gesandt werden sollen yes oder nicht no Defaultwert Diese sind dem SPI Security Parameter Index in IKE Proposals quivalent da sie redundant sind werden sie normaler weise auf den Wert der laufenden Aushandlung gesetzt Alternativ kann das Gateway Nullen f r alle Werte des Cookies nutzen W hlen Sie in diesem Fall yes Cookies Size Nur f r Use ZERO ISAKMP COOKIES yes Gibt die L nge der in IKE Proposals benutzten zeroed SPI in Bytes an Der Defaulwert ist 32 RADIUS Authentication Hier k nnen Sie die RADIUS Authentisierung ber IPSec aktivieren M gliche Werte sind enabled und disabed Defaultwert Tabelle 8 1 IPSEC gt ADVANCED SETTINGS Bintec Benutzerhandbuch ennen 91 D Untermen Advanced Settings 92 m mmmma Bintec Benutzerhandbuch IPSec IPSec 9 Untermen Wizard Im Folgend
69. ingeben muss der Syntax f r subjektunterschiedene Namen gem X 509 entsprechen 78 nnnnn Bintec Benutzerhandbuch IPSec Untermen Key Management Subject Alternative Hier k nnen Sie zus tzliche Informationen ein Names optional geben die als Subjektname benutzt werden k nnen Eine Liste der Optionen finden Sie in der Tabelle Auswahlm glichkeiten von Subject Alternative Names lt Type auf Seite 81 State of Last Enrollment Nur f r METHOD SCEP Hier wird das Ergebnis des letzten Zertifikat Antrags an die CA angezeigt Das Feld kann nicht editiert werden M gliche Werte none running done und error wird nicht gespei chert Signing algorithm to use Nur f r METHOD Upload und Show Hier w hlen Sie aus mit welchem Algorithmus die Zertifikat Anfrage authentifiziert werden soll Zur Verf gung stehen E ma5WithRSAEncryption Defaultwert RB sha1WithRSAEncryption Server Nur f r METHOD SCEP und Upload Hier tragen Sie den gt TFTP Server ein an den die Zertifikatanforderung gesandt wird Sie k nnen entweder einen aufl sbaren Host Namen oder eine IP Adresse eingeben Beach ten Sie bitte dass Sie vor der Serveradresse kein Protokoll wie TFTP oder HTTP eingeben d rfen Die entsprechenden Daten erhalten Sie von Ihrem CA Administrator IPSec Bintec Benutzerhandbuch 79 Untermen Certificate and Key Management Certname Filename Nur f r METHOD S
70. intec Access Networks GmbH IPSEC PHASE2 ADD MyGateway Description Idx 0 Proposal 1 ESP Blowfish MD5 no Co Lifetime use default Use PFS none Heartbeats auto Propagate PMTU no View Proposals gt Edit Lifetimes gt SAVE CANCEL Felder mit der Einstellung default m ssen ver ndert werden sonst kann die a Konfiguration nicht gespeichert werden Hinweis Das Men enth lt folgende Felder Description Idx 0 Hier geben Sie eine Beschreibung ein die das Profil eindeutig erkennen l sst Die maximale L nge des Eintrags betr gt 255 Zeichen IPSec Bintec Benutzerhandbuch 65 D Untermen IPSec Phase 2 Defaults 66 Proposal Informationen zu diesen Parametern finden Sie Gem bei Definition auf Seite 67 Lifetime Use PFS Heartbeats Hier w hlen Sie ob und in welcher Weise IPSec Heartbeats verwendet werden Um feststellen zu k nnen ob eine Security Association SA noch g ltig ist oder nicht ist ein Bintec IPSec Heartbeat implementiert wor den Dieser sendet bzw empf ngt je nach Kon figuration alle 5 Sekunden Signale bei deren Ausbleiben die SA nach 20 Sekunden als ung ltig verworfen wird Zur Verf gung stehen Bm default Defaultwert Das Gateway ver wendet die Einstellung des Default Profils E none Das Gateway sendet und erwartet keinen Heartbeat Wenn Sie Ger te ande rer Hersteller verwenden setzen Sie diese Option
71. l Zus tzlich k nnen Sie die Regeln innerhalb der Liste nach oben oder unten verschieben so dass Sie die Pre IPSec Rules nach Ihren Be d rfnissen gestalten Jede Regel vor der Regel die als active traffic list defi niert ist wird ignoriert Wie die Active Traffic List ausgew hlt wird wird im Hilfebereich des Men fensters beschrieben 6 mammaa Bintec Benutzerhandbuch IPSec Das Untermen APPEND EDIT D IPSec 2 1 Das Untermen APPEND EDIT Pre IPSec Rules werden im Men IPSec gt PRE IPSec RULES gt APPENDIEDIT hinzugef gt oder bearbeitet In beiden F llen wird das folgende Men fenster ge ffnet wenn Sie einen bestehenden Eintrag bearbeiten wer den die bestehenden Werte dieses Eintrags angezeigt VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PRE IPSEC TRAFFIC ADD Traffic Entry NEW MyGateway Description Protocol dont verify Local Type net Ip 0 Remote Type net Ip 0 Action pass SAVE CANCEL Das Men besteht aus folgenden Feldern Description Geben Sie eine Beschreibung ein die die Art der Regel eindeutig erkennen l t Protocol Hier k nnen Sie definieren ob die Regel nur f r Pakete mit einem bestimmten Protokoll gelten soll Sie k nnen w hlen zwischen spezifischen Pro tokollen und der Option dont verify Default wert welches bedeutet dass das Protokoll nicht als Filterkriterium angewendet wird Bintec Benutzerhandbuch a 7
72. lowfish MD5 default blowfish md5 900s 0KB def DES3 MD5 default des3 md5 900s 0KB def CAST MD5 default cast12 md5 900s 0KB def DES MD5 default des md5 900s 0KB def Blowfish SHA1 default blowfish shal 900s 0KB def DES3 SHA1 default des3 shal 900s 0KB def CAST SHA1 default cast128 shal 900s 0KB def DES SHA1 default des shal 900s 0KB def DES Tiger192 default des tiger192 900s 0KB def DES Ripemd160 default des ripemd160 900s 0KB def DES3 Tiger192 default des3 tiger192 900s 0KB def DES3 Ripemd160 default des3 ripemd160 900s 0KB def Blowfish Tiger192 default blowfish tiger192 900s 0KB def v DELETE EXIT Dieses Men dient lediglich der Information Eine Konfiguration ist nicht m g lich Phase 1 Lifetime Dieses Feld zeigt die Lebensdauer Lifetime an die ablaufen darf bevor die Phase 1 SAs erneuert werden m ssen Die neuen SAs werden bereits kurz vor dem Ablauf der aktuellen SAs ausgehandelt aber erst nach Ablauf der G ltig keit der alten SAs aktiv Sie kann entweder als Wert in Sekunden als verarbei tete Datenmenge in Kbyte oder als Kombination aus beiden konfiguriert werden Der Defaultwert betr gt 900 sec 11000 Kb das bedeutet dass die Schl ssel erneuert werden wenn entweder 900 Sekunden abgelaufen sind oder 11000 Kb Daten verarbeitet wurden je nachdem welches Ereignis zuerst eintritt Falls Sie zus tzliche Lebensdauerwerte konfiguriert haben k nnen Sie unter diesen hier ausw hlen
73. ls Defaultprofil ein neues Ihren Erforder nissenen entsprechendes Profil an Achten Sie darauf dass Sie dieses in IKE PHASE 1 DEFAULTS und IPsec PHASE 2 DEFAULTS ausw hlen BH Passen Sie das durch den Wizard Lauf automatisch angelegte Profil auto generated Ihren Erfordernissenen entsprechend an 4 mmmma Bintec Benutzerhandbuch IPSec e BR IPSec 2 Untermen Pre IPSec Rules Im Folgenden wird das Untermen PRE IPSec RULES beschrieben Wenn Sie IPSec auf Ihrem Gateway konfigurieren m ssen Sie Regeln f r die Handhabung des Datenverkehrs erstellen bevor die IPSec SAs angewendet werden Sie m ssen zum Beispiel spezifischen Paketen erlauben im Klartext zu passieren um bestimmte Grundfunktionen zu erf llen Im ersten Fenster des PRE IPSec Men s sind alle bereits erstellten Regeln auf gelistet VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PRE IPSEC TRAFFIC IPSec Configuration MyGateway Configure Traffic List Highlight an entry and type i to insert new entry below u d to move up down ar to select as active traffic list Local Address M R Port Proto Remote Address M R Port A Proposal 0 20 0 0 MO 500 udp 0 0 0 0 MO 500 PA default APPEND DELETE EXIT Durch die Grundkonfiguration mit dem IPSec Wizard wird die Filterregel udp Port 500 to Port 500 Action pass angelegt Folgende Eintr ge sind in der Auflistung enthalten Feld Wert Local Address Gibt die lokale
74. lt werden und alle Pakete die gesch tzt werden m ssen ge m den Peer Traffic Lists und den IPSec Interfaces Einstellungen behandelt werden Die einzige Entscheidung die Sie somit hier f llen m ssen ist die ob Sie alle brig gebliebenen Pakete verwerfen oder passieren lassen m chten Diese Entscheidung wird durch Auswahl eines Wertes f r das Feld WHAT TO DO WITH ANYTHING THAT DIDN T MATCH vorgenommen welches Sie im ersten Fenster des Men s IPSec gt Post IPSec RuLes finden Dieses Feld kann folgende Werte annehmen Wert Bedeutung drop it Alle Pakete die nicht eine der Pre IPSec Rules und Anforderungen der Peer Konfiguration erf llen werden verworfen let pass Alternativ kann allen Paketen die nicht durch die Pre IPSec Rules oder die Peer Konfigura tion abgedeckt werden erlaubt werden zu passieren Tabelle 4 1 WHAT TO DO WITH ANYTHING THAT DIDN T MATCH Bintec Benutzerhandbuch ennen 45 D Untermen Post IPSec Rules 4 1 Untermen APPEND EDIT Post IPSec Rules werden im Men IPSec gt Post IPSec RuLEs gt APPENDIEDIT entweder hinzugef gt oder bearbeitet In beiden F llen sieht das Men fenster welches sich ffnet folgenderma en aus falls Sie einen vor handenen Eintrag bearbeiten werden die Werte f r diesen Eintrag angezeigt VPN Access 25 Setup Tool Bintec Access Networks GmbH Remote Action pass SAVE IPSEC POST IPSEC TRAFFIC ADD Traffic Entry NEW
75. m nennen 104 Index IPSEE cener E e rind 107 mmmma Bintec Benutzerhandbuch IPSec IPSec Er Hinweis 1 Men IPSEC Im Folgenden werden die Felder des Men s IPSEC beschrieben Wenn Sie im gt gt Setup Tool IPSec zum ersten Mal konfigurieren erhalten Sie die M glichkeit den IPSec Wizard zu starten der Sie durch eine teilautomati sierte Konfiguration verschiedener Voreinstellungen f hrt W hlen Sie die Op tion yes Die Konfiguration mit dem Setup Tool Wizard wird beschrieben im Untermen Wizard auf Seite 93 Nach Beenden und Verlassen des IPSec Wizards wird das IPSec Hauptmen ge ffnet Es wird wie folgt angezeigt VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC IPSec Configuration Main Menu MyGateway Enable IPSec yes Pre IPSec Rules gt Configure Peers gt Post IPSec Rules gt KE Phase 1 Defaults autogenerated edit gt PSec Phase 2 Defaults autogenerated edit gt Certificate and Key Management gt Advanced Settings gt Wizard gt Monitoring gt SAVE CANCEL Beachten Sie dass Sie dem IPSec Wizard zumindest bis zur ersten Eingabe aufforderung folgen m ssen Bei der ersten Eingabeaufforderung k nnen Sie ggf den IPSec Wizard abbrechen und die Konfiguration in den IPSec Men s fortf hren Wir empfehlen jedoch den ersten Peer vollst ndig mit dem IPSec Wizard zu erstellen Wenn der IPSec Wizard nicht die notwendigen gt gt NAT Einstellungen
76. mmen In diesem Schritt werden keine Konfigura tionseinstellungen vorgenommen Sie k nnen die zu verwendenden Proposals Bintec Benutzerhandbuch ennen 95 9 Untermen Wizard Schritt 3 Authentisierungsart festlegen Schritt 4 Eigenes Zertifikat beantragen Schritt 5 Eigenes Zertifikat importieren Schritt 6 CA Zertifikat sp ter im IPSec Hauptmen oder bei der Peer Konfiguration bestimmen W h rend der Wizard Konfiguration wird eine Default Kombination ausgew hlt Der Wizard fragt ab welche Authentisierungsart Authentication Method ver wendet werden soll Wenn Sie Pre Shared Keys verwenden fahren Sie mit Schritt 8 fort und erstellen einen Peer mit dem notwendigen Passwort dem Preshared Key Wenn Sie eine auf gt gt Zertifikaten basierende Methode ausw hlen erstellt der Wizard zun chst ein entsprechendes Schl sselpaar und f hrt mit den Schritten 4 bis 7 fort Der Wizard berpr ft ob auf dem Gateway bereits eigene Zertifikate f r die vor handenen Schl sseln installiert sind Wenn der Wizard ein Schl sselpaar er stellt hat werden Sie aufgefordert ein Zertifikat f r diesen Schl ssel zu beantragen Wenn Sie ein Zertifikat beantragen wollen Sie m ssen daf r bestimmte Infor mationen zur Verf gung haben springt der Wizard in das entsprechende Men Zertifikatanforderung auf Seite 75 Nach Eingabe der notwendigen Daten gelangen Sie zur ck in das Wizard Men Wenn Sie entweder ein Z
77. n Tabellen sind die verf gbaren Verschl sselungs und Message Hash Algorithmen aufgelistet Algorithmus Beschreibung Rijndael Rijndael wurde aufgrund seines schnellen Schl sselaufbaus der geringen Speicheranfor derungen der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt Twofish gt gt Twofish war ein finaler Kandidat f r den AES Advanced Encryption Standard Er wird als genauso sicher eingestuft wie Rijndael AES ist aber langsamer Blowfish gt gt Blowfish ist ein sehr sicherer und zugleich schneller Algorithmus Twofish kann als Nach folger von Blowfish angesehen werden CAST gt CAST ist ebenfalls ein sehr sicherer Algo rithmus etwas langsamer als Blowfish aber schneller als 3DES 3DES gt gt 3DES ist eine Erweiterung des DES Algo rithmus mit einer effektiven Schl ssell nge von 112 Bit was als sicher eingestuft wird Es ist der langsamste Algorithmus der derzeit unter st tzt wird DES gt gt DES ist ein lterer Verschl sselungsalgo rithmus der aufgrund seiner kleinen effektiven L nge von 56 Bit als schwach eingestuft wird Tabelle 5 2 IKE PHASE 1 DEFAULTS Verschl sselungsalgorithmen Im Folgenden sind die verf gbaren gt gt Hash Algorithmen aufgef hrt Algorithmus Beschreibung MD5 gt gt MD5 ist ein lterer Hash Algorithmus Wird Message Digest 5 mit 96 Bit Digest Length f r IPSec verwendet IPSec
78. ntermen s sieht fast identisch aus VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC CERTMGMT OWN IPSec Configuration MyGateway Certificate Management Flags O own cert CA CA cert N no CRLs T cert forced trusted Description Flags SerialNo Subject Names own cer O 1013591521 CN myro DOWNLOAD DELETE EXIT Das Men zeigt die DESCRIPTION Beschreibung alle m glicherweise gesetz ten FLAGS die SERIAL No Seriennummer des betroffenen Zertifikats und die Daten zu den SuBJECT NAMES Subjektnamen an Wenn Sie einen Eintrag hervorheben und mit ENTER best tigen k nnen Sie ein Fenster aufrufen welches das Zertifikat anzeigt und zus tzliche Informatio nen dar ber liefert VPN Access 25 Setup Tool Bintec Access Networks GmbH Change Certificate Attributes Description own cer Type of certificate Own Certificate Uses Key RSA key pair 1024 Certificate Contents Certificate SerialNumber 1013591521 SubjectName lt CN mafr gt IssuerName lt CN Test CA 1 OU Web test O SSH Communications Security C FI gt lt H Validity NotBefore 2004 Feb 13th 00 00 00 GMT NotAfter 2004 Apr 1st 00 00 00 GMT PublicKeyInfo SAVE Exit IPSec Zertifikat Untermen s IPSec Sie k nnen zwar den Inhalt des Zertifikats nicht ver ndern jedoch an folgenden Daten nderungen vornehmen Description Hier wird die Beschreibung angezeigt die Sie b
79. r m glicht Ihnen die Einstellungen zu ver ndern Wert Bedeutung id_protect Dieser Modus auch als Main Mode bezeich net erfordert sechs Meldungen f r eine Diffie Hellman Schl sselberechnung und damit f r die Einrichtung eines sicheren Kanals ber den die IPSec SAs ausgehandelt werden Er setzt voraus dass beide Peers statische IP Adressen haben falls f r die Authentifizierung Preshared Keys genutzt werden Bei der Ver wendung des IPSec Callbacks entf llt diese Einschr nkung siehe Untermen IPSec Callback auf Seite 15 IPSec Bintec Benutzerhandbuch 61 5 Untermen IKE Phase 1 Defaults Wert Bedeutung aggressive Der Aggressive Mode ist erforderlich falls einer der Peers keine statische IP Adresse hat und Preshared Keys f r die Authentifizierung genutzt werden er erfordert nur drei Meldun gen f r die Einrichtung eines sicheren Kanals default Das Gateway verwendet die Einstellungen des Defaultwert Default Profils id protect only Das Gateway akzeptiert bei der Aushandlung ausschlie lich den ID Protect Mode Schl gt der Peer einen anderen Modus vor scheitert die Aushandlung aggressive only Das Gateway akzeptiert bei der Aushandlung ausschlie lich den Aggressive Mode Schl gt der Peer einen anderen Modus vor scheitert die Aushandlung Tabelle 5 7 PHASE 1 MODE Phase 1 Local ID Das ist die ID die Sie Ihrem Gateway zuweisen Falls Sie
80. r ge aufgelistet Folgende Informationen werden angezeigt BR die Beschreibung Description die Sie f r den Zertifikatserver eingegeben haben HM die URL des Servers BD die Pr ferenz Preference die dem Server zugeteilt wird Bintec Benutzerhandbuch ennen 87 Untermen Certificate and Key Management Wenn Sie entweder einen Eintrag hervorheben und mit ENTER best tigen oder die Option ADD w hlen gelangen Sie in das Men ADD EDIT Hier k nnen Sie entweder einen neuen Zertifikatserver eintragen oder die Einstellungen von bereits vorhandenen ver ndern Neben der Eingabe einer Beschreibung DESCRIPTION und der URL des Servers k nnen Sie dem Server eine Pr ferenz PREFERENCE zuweisen Das Gateway fragt die Zertifikatserver in der Reihen folge der ihnen zugewiesenen Pr ferenzen ab beginnend mit 0 8 mmmm Bintec Benutzerhandbuch IPSec e HR IPSec 8 Untermen Advanced Settings Im Folgenden wird das Untermen ADVAnceD SETTINGS beschrieben Im Men IPSEC gt ADVANCED SETTINGS k nnen Sie bestimmte Funktionen und Merkmale an die besonderen Erfordernisse Ihrer Umgebung anpassen d h gr tenteils werden Interoperabilit ts Flags gesetzt Die Defaultwerte sind glo bal g ltig und erm glichen es dass Ihr System einwandfrei mit anderen Bintec Gateways zusammenarbeitet so dass Sie diese Werte nur ndern m ssen wenn die Gegenseite ein Fremdprodukt ist oder Ihnen bekannt ist dass Sie be sondere Einstellungen
81. r die Phase 2 des Tunnelauf baus definieren Die Konfiguration erfolgt im Men CONFIGURE PEERS gt APPEND EDIT gt PEER SPECIFIC SETTINGS gt IPSEC PHASE 2 PROFILE EDIT gt ADD EDIT VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PEERS ADD SPECIAL PHASE2 ADD MyGateway Description Idx 0 Proposal default Lifetime use default Use PFS default Heartbeats default Propagate PMTU default View Proposals gt Edit Lifetimes gt SAVE CANCEL Bintec Benutzerhandbuch IPSec Untermen Peer specific Settings D Das Men enth lt folgende Felder IPSec Description Idx 0 Hier geben Sie eine Beschreibung ein die das Profil eindeutig erkennen l sst Die maximale L nge des Eintrags betr gt 255 Zeichen Proposal Lifetime Use PFS Informationen zu diesen Parametern finden Sie bei Definitionen auf Seite 35 Bintec Benutzerhandbuch 33 3 Untermen Configure Peers Heartbeats Hier w hlen Sie ob und in welcher Weise IPSec Heartbeats verwendet werden Um feststellen zu k nnen ob eine Security Association SA noch g ltig ist oder nicht ist ein Bintec IPSec Heartbeat implementiert wor den Dieser sendet bzw empf ngt je nach Kon figuration alle 5 Sekunden Signale bei deren Ausbleiben die SA nach 20 Sekunden als ung ltig verworfen wird Zur Verf gung stehen EB default Defaultwert Das Gateway ver wend
82. r selbstsignierte Zertifikate ein CA Zerti fikat zu bermitteln Falls das CA Zertifikat keine Zertifikat R ckrufliste Certificate Revocation List CRL oder keine CRL Verteilstelle enth lt und auf dem Gateway kein Zertifi katserver konfiguriert ist wird die Variable NOCRLS auf True gesetzt Zertifi kate von dieser CA werden nicht auf ihre G ltigkeit berpr ft Phase 1 NAT Traversal NAT Traversal NAT T erm glicht es IPSec Tunnel auch ber ein oder meh rere Gateways zu ffnen auf denen Network Address Translation NAT akti viert ist Ohne NAT T kann es zwischen IPSec und NAT zu Inkompatibilit ten kommen siehe RFC 3715 Abschnitt 2 Diese behindern vor allem den Aufbau eines IP Sec Tunnels von einem Host innerhalb eines LANs und hinter einem NAT Ga teway zu einem anderen Host bzw Gateway NAT T erm glicht derartige Tunnel ohne Konflikte mit NAT Gateways aktiviertes NAT wird vom IPSec Daemon automatisch erkannt und NAT T wird verwendet Die Konfiguration von NAT T beschr nkt sich auf die Aktivierung bzw Deakti vierung der Funktion in den Einstellungen der Phase 1 Profile f r das globale Profil in IPSEC gt IKE PHASE 1 DEFAULTS EDIT oder peerspezifisch in CONFIGURE PEERS gt ADD EDIT gt PEER SPECIFIC SETTINGS gt IKE PHASE 1 DEFAULTS EDIT siehe Phase 1 NAT Traversal auf Seite 31 F r das Feld NAT TRAVERSAL stehen in IPSEC gt IKE PHASE 1 DEFAULTS EDIT folgende Werte zur Verf gung
83. ressive only AH Authentication Header Algorithm Anpassung der IKE und IPSec Einstellungen Authentication Method auto base64 binary Autosave Block Time Blowfish CA Certificates CA Certificate CA Domain CAST CEA Certificate Authority Certificates Certname clear config Cookies Size CRL CRLs default 28 60 28 60 23 37 55 69 28 60 6 95 8 41 43 47 12 29 62 30 62 36 68 22 54 23 37 55 69 22 31 54 63 77 78 23 37 55 69 105 Bintec Benutzerhandbuch mm m 107 a Der IPSec Wizard Schritt f r Schritt DES Description Description Idx 0 dhcp Direkter ISDN Ruf DN DNS Dont Send Cert Chains Dont send Cert Req Payl Dont send CRLs Dont Send Initial Contact Dont send Key Hash Payl drop DSA Signatures dump messages DynDNS Dienst Edit Lifetimes Email Enable IPSec Erste aktive Regel ESP Encapsulated Security Payload Flags force Comp Force trusted Group Heartbeats host id_protect id protect only Ignore Cert Req Payloads IKE Phase 1 Defaults Bintec Benutzerhandbuch 95 23 37 55 69 7 11 40 46 51 74 82 83 19 33 65 9 42 48 35 68 82 37 69 85 20 52 21 34 53 66 8 41 47 29 61 30 62 89 4 IPSec IPSec Import a Certificate CRL using 84 In 105 Incoming ISDN Number 16 Interoperabilit ts Flags 89 IP 80 IPComP 36 68 IPsec Phase 2 Defaults 4 ISDN Callback 16 Kb 27 59 Key Size Bi
84. rface IP Settings Dieses Men wird sichtbar wenn Sie im Men IPSEC gt CONFIGURE PEERS gt APPENIEDIT f r das Feld VIRTUAL INTERFACE yes ausgew hlt haben Es erm glicht die Konfiguration der IP Parameter des virtuellen Interfaces Die Einstellungen f r das virtuelle IPSec Interface werden in den Men s Basic IP SETTINGS MORE ROUTING und ADVANCED SETTINGS vorgenommen Diese entsprechen den im Kapitel WAN Partner beschriebenen IP Men s Das Men MORE ROUTING ist nur dann sichtbar wenn die grundlegenden Einstellungen im Men BASIC IP SETTINGS vorgenommen worden sind Bintec Benutzerhandbuch ennen 43 8 Untermen Configure Peers 44 mmmma Bintec Benutzerhandbuch IPSec e BR IPSec 4 Untermen Post IPSec Rules Im Folgenden wird das Untermen Post IPSEc RuLES beschrieben Genauso wie Sie Pre IPSec Rules konfigurieren m ssen die f r den gesamten Datenverkehr gelten bevor IPSec SAs angewandt werden m ssen Sie Post IPSec Rules konfigurieren Diese werden angewandt nachdem ein Paket die Peer Traffic Lists passiert hat d h falls keine Eintr ge in der Traffic List zu dem Paket gepasst haben und die Eintr ge in der RoutingTable auf passende Rou ten hin berpr ft wurde Beispiel Wenn Ihre Konfiguration optimal aufgebaut ist m ssen Sie m glicher weise nur eine einzige Post IPSec Rule konfigurieren da alle Pakete die ver worfen oder im Klartext durchgelassen werden m ssen gem der Pre IPSec Rules behande
85. rfenen Pa kete EB Protect Die Anzahl der durch IPSec ge sch tzten Pakete BR Error Die Anzahl der Pakete bei deren Be handlung es zu Fehlern gekommen ist Tabelle 10 1 IPSEC gt MONITORING GLOBAL STATISTICS IPSec Bintec Benutzerhandbuch seess 101 10 Untermen Monitoring 10 2 Untermen IKE Security Associations Das n chste berwachungs Untermen IPsec gt MONITORING gt IKE SECURITY ASSOCIATIONS zeigt Statistiken ber die IKE SAs an Es sieht folgen derma en aus die aufgef hrten Werte sind nur Beispiele VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC MONITORING IKE SAS IPSec Monitoring MyGateway IKE SAs T xch Type B Base I Id prot O auth Only A Aggressive A Auth Meth P P S Key D DSA sign S RSA sign E RSA encryption R Role I Initiator R Responder S State N Negotiate E Establ D Delete W Waiting for remove E Enc Alg d DES D 3ES B Blowfish C Cast R Rijndael T Twofish H Hash Alg M MD5 S SHAl T Tiger R Ripemd160 type h to toggle this help Remote ID Remote IP Local ID TARSEH C DE O TC TrustCenter AG OU TC 10 1 1 2 C DE O TC Trust ISREBM DELETE EXIT Die Bedeutung der Zeichen in der Spalte TARSEH das ist die letzte Spalte rechts unterhalb des Hilfebereichs des Men fensters wird im oberen Teil des Men fensters erl utert somit ist das oben dargestellte Beispiel folgenderma Ben zu verstehen Remote ID Zeigt die ID d
86. sh md5 900s 0KB def DES3 MD5 default des3 md5 900s 0KB def CAST MD5 default cast12 md5 900s 0KB def DES MD5 default des md5 900s 0KB def Blowfish SHA1 default blowfish shal 900s 0KB def DES3 SHA1 default des3 shal 900s 0KB def CAST SHA1 default cast128 shal 900s 0KB def DES SHA1 default des shal 900s 0KB def DES Tiger192 default des tiger192 900s 0KB def DES Ripemd160 default des ripemd160 900s 0KB def DES3 Tiger192 default des3 tiger192 900s 0KB def DES3 Ripemd160 default des3 ripemd160 900s 0KB def Blowfish Tiger192 default blowfish tiger192 900s 0KB def v DELETE EXIT Dieses Men dient lediglich der Information Eine Konfiguration ist nicht m g lich Phase 1 Lifetime Dieses Feld zeigt die Lebensdauer Lifetime an die ablaufen darf bevor die Phase 1 SAs erneuert werden m ssen Die neuen SAs werden bereits kurz vor dem Ablauf der aktuellen SAs ausgehandelt aber erst nach Ablauf deren G l tigkeit aktiv Sie kann entweder als Wert in Sekunden als verarbeitete Daten menge in Kbyte oder als Kombination aus beiden konfiguriert werden Der Defaultwert betr gt 900 sec 11000 Kb das bedeutet dass die Schl ssel er neuert werden wenn entweder 900 Sekunden abgelaufen sind oder 11000 Kb Daten verarbeitet wurden je nachdem welches Ereignis zuerst eintritt Falls Sie zus tzliche Lebensdauerwerte konfiguriert haben k nnen Sie unter diesen hier ausw hlen Bintec Benutzerhandbuch ennen 57
87. sreichende Rechenleistung entwe der durch die Leistung der CPU oder durch einen Kompressions Koprozessor Die IP Nutzdatenkompression ist besonders n tzlich wenn IP Datagramme verschl sselt werden Die Verschl sselung von IP Datagrammen sorgt daf r dass die Daten eine Zufallsnatur erhalten wodurch eine Kompression auf nied rigeren Protokollebenen z B PPP Compression Control Protocol RFC1962 unwirksam ist Falls sowohl Kompression als auch gt gt Verschl sselung ge fordert sind muss die Kompression vor der Verschl sselung durchgef hrt wer den Bei allen IPSec Proposals bei denen keine bestimmte Einstellung f r IPComP festgelegt ist ist IPComP freigegeben Das bedeutet dass das Gateway w h rend der SA Aushandlung alle Proposals akzeptiert unabh ngig davon ob die se die Nutzung von IPComP vorschlagen oder nicht Falls der lokale Rechner die Aushandlung initiiert schl gt er die Nutzung von IPComP als Vorzugs Pro posal vor erlaubt jedoch dem antwortenden Rechner ein Proposal ohne IP ComP zu w hlen 68 mmum Bintec Benutzerhandbuch IPSec ve 8 IPSec Sie k nnen dieses Verhalten ndern indem Sie ein IPSec Proposal w hlen der eine der folgenden Einstellungen f r gt gt IPComP festlegt IPComP Option Beschreibung no Comp Ihr Gateway akzeptiert keine SAs die die Nut zung von IPComP festlegen Falls der Peer so konfiguriert wurde dass sein Gateway IPComP vorschl gt dann schl gt die IPSec SA Aus
88. stehen EM Loose Das Gateway akzeptiert und ber nimmt jede Lifetime die bei der Aushand lung vorgeschlagen wird Defaultwert E Strict Das Gateway akzeptiert und ver wendet nur die konfigurierte Lifetime Bei Abweichung scheitert die Phase 1 Aus handlung m Notify Das Gateway akzeptiert alle vorge schlagenen Werte die gr er sind als der konfigurierte verwendet selbst aber den ei genen kleineren Wert und informiert den Peer dar ber Tabelle 5 4 PHASE 1 LIFETIME Phase 1 Group Die Gruppe Group definiert den Parametersatz der f r die Diffie Hellman Schl sselberechnung w hrend der Phase 1 zugrunde gelegt wird MODP wie es von Bintec Gateway unterst tzt wird steht f r modular exponentiation Es k nnen die MODP 768 1024 oder 1536 Bit sowie die Werte none und default genutzt werden Bintec Benutzerhandbuch ennen 59 5 Untermen IKE Phase 1 Defaults Das Feld kann folgende Werte annehmen Wert 1 768 bit MODP Bedeutung W hrend der Diffie Hellman Schl sselberech nung wird die modulare Exponentiation mit 768 Bit genutzt um das Verschl sselungsma terial zu erzeugen 2 1024 bit MODP W hrend der Diffie Hellman Schl sselberech nung wird die modulare Exponentiation mit 1024 Bit genutzt um das Verschl sselungs material zu erzeugen 5 1536 bit MODP W hrend der Diffie Hellman Schl sselberech nung wird die modulare Exponentiation mit 1536 Bit
89. t veranlassen eine Internetverbindung aufzubauen um ei nen IPSec Tunnel ber das Internet zu erm glichen Diese M glichkeit wird mit dem IPSec Callback geschaffen Mit Hilfe eines direkten gt gt ISDN Rufs bei ei nem Peer kann diesem signalisiert werden dass man online ist und den Aufbau eines IPSec Tunnels ber das Internet erwartet Sollte der gerufene Peer der zeit keine Verbindung zum Internet haben wird er durch den ISDN Ruf veran la t eine Verbindung aufzubauen Dieser ISDN Ruf verursacht je nach Einsatzland keine Kosten da der ISDN Ruf vom Gateway nicht angenommen werden mu Die Identifikation des Anrufers durch dessen ISDN Rufnummer gen gt als Information um einen Tunnelaufbau zu initiieren Um diesen Dienst einzurichten mu zun chst auf der passiven Seite im Men ISDNSO gt INCOMING CALL ANSWERING eine Rufnummer f r den IPSec Callback konfiguriert werden Dazu steht f r das Feld Irem der Wert IPSec zur Verf gung Dieser Eintrag sorgt daf r dass auf diese Nummer eingehende Rufe an den IPSec Dienst geleitet werden Die weitere Konfiguration erfolgt im Men IPSEC gt CONFIGURE PEERS gt APPENDIEDIT Dort findet sich das Untermen ISDN CALLBACK VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PEERS EDIT CALLBACK ISDN Callback Peer NEW MyGateway ISDN Callback both Incoming ISDN Number Outgoing ISDN Number SAVE CANCEL Bintec Benutzerhandbuch ennen 15 B Un
90. termen Configure Peers Das Men enth lt folgende Felder ISDN Callback Hier w hlen Sie den Callback Modus aus Zu den verf gbaren Optionen siehe Tabelle ISDN Callback auf Seite 17 Incoming ISDN Number Nur f r ISDN CALLBACK passive oder both Hier geben Sie die ISDN Nummer an von der aus das entfernte Gateway das lokale Gateway ruft Calling Party Number Outgoing ISDN Number Nur f r ISDN CALLBACK active oder both Hier geben Sie die ISDN Nummer an unter der das lokale Gateway das entfernte Gateway ruft Called Party Number Tabelle 3 2 IPSEC gt CONFIGURE PEERS IPSEC CALLBACK Bedenken Sie dass in den Feldern INCOMING ISDN NUMBER und OUTGOING a ISDN NUMBER immer die Nummer des entfernten Gateways eingetragen wird Hinweis Im allgemeinen werden die beiden Nummern bis auf die f hrende 0 identisch sein Diese wird in der Regel f r das Feld IN nicht mit eingegeben Unter bestimmten Umst nden z B beim Betrieb des Gateways an einer Tele fonanlage mit Rufnummernunterdr ckung kann es notwendig sein unter schiedliche Nummern anzugeben Fragen Sie den Systemadministrator nach den zu konfigurierenden Rufnummern Das Feld ISDN CALLBACK kann folgende Werte annehmen Bedeutung disabled Defaultwert Der ISDN Callback ist deaktiviert Das lokale Gateway reagiert weder auf eingehende ISDN Rufe noch initiiert es ISDN Rufe zum entfernten Gateway 16 mmma Bintec
91. tificate Schritt 8 Peer Schritt 9 Peer Traffic Peer Interface Seconds Serial No en i y a ef pie A ve 41 35 67 6 20 33 52 66 43 6 7 40 46 104 91 9 42 48 104 8 41 47 6 102 102 75 81 23 37 55 69 24 56 105 29 61 75 29 61 100 100 Bintec Benutzerhandbuch mm m 111 Server 79 85 Setup Tool Wizard 3 SHA1 38 70 SHA1 Secure Hash Algorithm 1 24 56 skip 95 start wizard 95 Start Wizard 93 State of Last Enrollment 79 Subject Alternative Names 80 Subject Alternative Names Type 80 Subject Alternative Names Value 80 Subject Alternative Names optional 79 Subject Name 78 Subject Names 82 Sync SAs With Local Ifc 91 T TARrseH 102 103 Tiger 192 24 56 Trust ICMP Messages 90 Twofish 23 37 55 69 Type 80 Type of Certificate 83 84 U un 80 Use PFS 33 39 66 71 Use Zero Cookies 91 Vv Verf gbaren Verschl sselungs und Message Hash Algorithmen 23 View Proposals 25 35 57 Virtual Interface 14 W wnatto do 94 112 ennnn Bintec Benutzerhandbuch IPSec
92. trikt das Gateway die konfigurierte Lifetime einh lt Zur Verf gung stehen EM Loose Das Gateway akzeptiert und ber nimmt jede Lifetime die bei der Aushand lung vom Initiator vorgeschlagen wird De faultwert E Strict Das Gateway akzeptiert und ver wendet nur die konfigurierte Lifetime Bei Abweichung scheitert die Phase 1 Aus handlung EM Notify Das Gateway akzeptiert alle vorge schlagenen Werte die gr er sind als der konfigurierte verwendet selbst aber den ei genen kleineren Wert und informiert den Peer dar ber Tabelle 3 7 PHASE 1 LIFETIME Phase 1 Group Die Gruppe Group definiert den Parametersatz der f r die Diffie Hellman Schl sselberechnung w hrend der Phase 1 zugrunde gelegt wird MODP wie es von Bintec Gateway unterst tzt wird steht f r modular exponentiation Es k nnen die MODP 768 1024 oder 1536 Bit sowie der Wert default genutzt wer den Bintec Benutzerhandbuch ennen 27 3 Untermen Configure Peers Das Feld kann folgende Werte annehmen Wert 1 768 bit MODP Bedeutung W hrend der Diffie Hellman Schl sselberech nung wird die modulare Exponentiation mit 768 Bit genutzt um das Verschl sselungsma terial zu erzeugen 2 1024 bit MODP W hrend der Diffie Hellman Schl sselberech nung wird die modulare Exponentiation mit 1024 Bit genutzt um das Verschl sselungs material zu erzeugen 5 1536 bit MODP W hrend der Diffie H
93. ts 75 Key to enroll 76 Kombination aus Verschl sselungs und Message Hash Algorithmen f r IKE Phase 1 Lifetime 20 33 52 66 Lifetime Restriction Based On 26 58 Local 104 Type 8 40 47 Local Address 5 Local Certificate 22 54 Local ID 22 54 103 Local Remote Type 41 47 LPort 104 WR 6 Matching Policy 27 59 Max Symmetric Key Length 91 MD5 38 70 MD5 Message Digest 5 24 55 Method 77 Mode 20 52 MODP 27 Name 85 Bintec Benutzerhandbuch sens 109 NAT Traversal Nat Traversal Nat Traversals net no Comp NULL Oper Status Out Outgoing ISDN Number Own Certificates own peer Packets In pass Password Peer Address Peer Certificates Peer IDs Peers Blocked Peers Dormant Peers Up Phase 1 Authentication Method Group Lifetime Local Certificate Local ID Mode Proposal Phase 2 Lifetime Proposal Please enter certificate data Port Pre Shared Key Pre Shared Keys Bintec Benutzerhandbuch IPSec Profile Propagate PMTU Proposal protect Proto Protocol Pto RADIUS Authentication range Remote Type Remote Address Remote ID Remote IP Request Cert RID Rijndael RipeMD 160 RPort RSA Encryption RSA Public Exponent RSA Signatures SAs Phase 1 SAs Phase 2 Schritt 1 NAT Einstellungen Schritt 2 Erstellung der Proposals Schritt 3 Authentisierungsart festlegen Schritt 4 Zertifikat beantragen Schritt 5 Eigenes Zertifikat Schritt 6 CA Zertifikat Schritt 7 CRL Server Peer Cer
94. ts besteht IPSec Bintec Benutzerhandbuch ennen 17 E Untermen Configure Peers Ba Hinweis WE Hinweis Wenn ein Tunnel zu einem Peer aufgebaut werden soll wird vom IPSec Daemon zun chst das Interface aktiviert ber das der Tunnel realisiert werden soll Sofern auf dem lokalen Gateway IPSec mit DynDNS konfiguriert ist wird die eigene IP Adresse propagiert und erst dann der ISDN Ruf an das entfernte Gateway abgesetzt Auf diese Art ist sichergestellt dass das entfernte Gate way das lokale auch tats chlich erreichen kann wenn er den Tunnelaufbau initiiert 3 2 Untermen Peer specific Settings Das Men CONFIGURE PEERS gt APPEND IEDIT A PEER SPECIFIC SETTINGS ent h lt die Optionen zur Anpassung der IKE und IPSec Einstellungen f r den Peer VPN Access 25 Setup Tool Bintec Access Networks GmbH IPSEC PEERS EDIT SPECIAL Special Settings NEW MyGateway Special settings for pl IKE Phase 1 Profile default edit gt IPsec Phase 2 Profile default edit gt Select Different Traffic List gt SAVE CANCEL Dieses Men erlaubt die Auswahl und Bearbeitung von zuvor definierten Profi len oder das Neuerstellen eines neuen peerspezifischen Profils f r Phase 1 und Phase 2 Der Wert default steht dabei f r das im IPSec Hauptmen Feld IKE PHASE 1 IPSEC PHASE 2 DEFAULTS eingestellte Profil Um die IKE und IPSec Einstellungen speziell f r einen Peer anzupassen legen Sie ein p
95. w hrend IKE Phase 1 CRLs gesandt werden sollen no Defaultwert oder nicht yes Dont send Key Hash Payl Gibt an ob w hrend IKE Phase 1 Schl ssel Hash Nutzdaten gesandt werden no Default wert oder nicht yes Als Default wird der Hash des Public Key ffentlichen Schl ssels der entfernten Seite zusammen mit den ande ren Authentifizierungsdaten gesandt Gilt nur f r gt gt RSA Verschl sselung w hlen Sie yes um dieses Verhalten zu unterdr cken Trust ICMP Messages Gibt an ob bei IKE Phase 1 auf die gt gt ICMP Meldungen Port Unreachable und Host Unreachable vertraut werden soll yes oder nicht no Defaultwert Auf die ICMP Mel dungen Port Unreachable und Host Unre achable wird nur dann vertraut falls w hrend dieser Aushandlung keine Datagramme vom entfernten Host empfangen wurden Das bedeutet falls die lokale Seite als erste Antwort auf das erste Paket einer neuen Phase 1 Aus handlung die ICMP Meldung Port Unreacha ble oder Host Unreachable empf ngt bricht sie die Aushandlung sofort ab Bintec Benutzerhandbuch IPSec e C LESBERRSERSBERTEN IPSec Dont Send Initial Contact Gibt an ob bei IKE Phase 1 IKE Initial Con tact Meldungen auch dann gesandt werden sollen wenn keine SAs mit einem Peer beste hen no Defaultwert oder nicht yes Sync SAs With Local Ifc Stellt sicher dass alle SAs gel scht werden deren Datenverkehr ber e
Download Pdf Manuals
Related Search