Securepoint UTM IPSec Site-to-Site

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche


Einleitung

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eines der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische. Zur Übersicht der möglichen Szenarien finden sich Informatonen auf folgender Seite Grafische Übersicht möglicher IPSec Verbindungen.

Die Einstellungen können entweder über das Web-Interface oder über das Securepoint Operation Center (SOC) vorgenommen werden. In dieser Schritt für Schritt Anleitung wird zur Konfiguration das Administrations-Webinterface benutzt.

Mit der Appliance verbinden

Über einen Webbrowser wird das Administrations-Webinterface der Securepoint Appliance aufgerufen. Die aufzurufende Adresse setzt sich aus der IP-Adresse des internen Interfaces der Appliance und dem Port 11115 zusammen. Wurden die Grundeinstellungen beibehalten, lautet die Adresse:

https://192.168.175.1:11115 Hierbei sollte beachtet werden, dass das Protokoll HTTPS verwendet werden muss.

Da die Appliance ein selbstsigniertes Zertifikat für das Webinterface benutzt, fragt der Webbrowser nach, ob der Vorgang fortgesetzt werden soll.

Es ist nötig, diese Sicherheitsabfrage zu bestätigen.

Anschließend kann die Anmeldung an der Hauptseite mit dem entsprechenden Benutzernamen und Kennwort erfolgen.

Werkseinstellung:

Benutzername: admin
Kennwort: insecure

Login

Das Anlegen von Netzwerkobjekten

Anhand von Netzwerkobjekten werden im Portfilter Regeln für den Datenverkehr erstellt. Es muss lediglich ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden. In diesem Netz befinden sich alle entfernten Rechner, die sich über die VPN-Verbindung mit dem Gateway verbinden.

Wird eine dynamische IP-Adresse in Verbindung mit einem DynDNS-Dienst genutzt, sollte sichergestellt werden, dass das Netzwerkobjekt für das externe Interface richtig konfiguriert ist. In diesem Fall müssen die IP-Adresse des Netzwerkobjektes auf 0.0.0.0 und die Netzmaske auf 0.0.0.0/0 gesetzt sein.

Netzwerkobjekt anlegen

Um ein Netzwerkobjekt anzulegen muss in der Navigationsleise auf den Punkt Firewall geklickt werden und der Eintrag Portfilter aus dem Drop-down-Menü ausgewählt. Anschließend wird in diesem Fenster auf den Reiter Netzwerkobjekte gewechselt.

Folgende Objekte sind vorkonfiguriert:

external-interface, internal-interface, Internet, internal-network, dmz1-interface, dmz1-network

  1. Ein Netzwerkobjekt für das IPSec Netzwerk wird angelegt, indem auf der Button Objekt hinzufügen betätigt wird
  2. Im Feld Name wird eine Bezeichnung für das IPSec-Netzwerk eingetragen
  3. Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite eingetragen
  4. Als Zone wird vpn-ipsec ausgewählt
  5. Die Einstellungen werden mit dem Button Speichern gesichert.


Netzwerkobjekt

VPN-Verbindung anlegen

Zum Erstellen der IPSec-VPN-Verbindung wird der Assistent genutzt, der den Nutzer durch den Erstellungsvorgang führt.

  1. In der Navigationsleiste wird unter dem Menüpunkt VPN der Eintrag IPSec aufgerufen.
  2. Anschließend wird die Schaltfläche Site-to-Site betätigt.
Der Site-to-Site-Assistent öffnet sich
3. Im Namensfeld wird der Namen für die IPSec-Verbindung eingegeben
4. In das Feld Remote Gateway wird die IP-Adresse oder der Hostnamen des entfernten Gateways eingegeben.
Statt der IP-Adresse kann auch das standardmäßig ausgewählte "any" im Feld übernommen werden.
5. Dies wird mit Weiter quittiert.
Assistent 1 - Name+Gateway


  1. Nun kann die gewünschte Authentifizierung gewählt werden. In dieser Anleitung wird Pre-Shared-Key benutzt. Hierbei handelt es sich um ein Kennwort, dass beide Verbindungsstellen benutzen.
  2. Der Pre-Shared-Key wird eingetragen
  3. Anschließend wird zwischen IKE v1 und IKE v2 gewählt
Das IKE-Protokoll wird zum Verwalten und Austauschen von IPSec-Schlüsseln benutzt. Es regelt den Aufbau einer Verbindung und dient der Authentifizierung der Kommunikationspartner und der Aushandlung der Verschlüsselungsparameter sowie der Generierung der Schlüssel.
Wir empfehlen grundsätzlich die Verwendung von IKEv1 Verbindungen.
4. Dies wird mit Weiter quittiert
Assitent 2 -Authentifizierung

Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine E-Mail-Adresse sein. Wenn Zertifikate zu Authentifizierung benutzt werden, muss hier der Distinguished Name (DN) verwendet werden. Dies sind die Zertifikatsparameter, die der Ersteller des Zertifikats angibt.

  1. Im Feld Local Gateway ID wird der zu benutzende Wert für die lokale Appliance eingetragen. Dieser wird entweder aus dem Drop-down-Menü ausgewählt oder manuell eingetragen, indem auf den Werkzeugschlüssel geklickt wird und der gewünscht Wert in das Feld eingetragen wird.
  2. Im Feld Remote Gateway ID wird der zu benutzende Wert für die Gegenstelle eingetragen. Dieser wird entweder aus dem Drop-down-Menü ausgewählt oder manuell eingetragen, indem auf den Werkzeugschlüssel geklickt wird und der gewünscht Wert in das Feld eingetragen wird.
Sollte hierbei Unsicherheit herrschen, kann bei beiden Feldern jeweils die IP-Adresse 0.0.0.0 eingetragen werden. Das muss dann jedoch auf der Gegenseite auch der Fall sein.
Assistent 3 - Gateway ID


Im letzten Schritt müssen noch die Netzwerke angegeben werden, die miteinander verbunden werden sollen.

  1. Im Feld Lokales Netzwerk wird die IP-Adresse des lokalen Netzwerkes angegeben, welches über die VPN-Verbindung erreichbar sein soll an.
  2. Im Feld Remote Netzwerk wird dementsprechend die IP-Adresse des entfernten Netzwerkes eingetragen.
  3. Anschließend wird dies mit Betätigen der Fertig-Schaltfläche quittiert.
Assistent 4 - zu verbindende Netze

Regeln erstellen

Es muss mit einer Regel erlaubt werden, dass das externe Interface aus dem Internet per VPN erreichbar ist und dass die IPSec-VPN-Clienten mit dem internen Netzwerk kommunizieren dürfen. Standardmässig sind die VPN-Ports durch die impliziten Regeln freigeschaltet. Die Erstellung wird trotzdem beschrieben.


  1. In der Navigationsleiste wird auf den Punkt Firewall geklickt und anschließend im Drop-down-Menü der Eintrag Portfilter aufgerufen
  2. Im Portfilterdialog wird die Schaltfläche Regel hinzufügen betätigt
  3. In der Liste Quelle wird das Netzwerkobjekt "Internet" ausgewählt, in der Liste Ziel das "External Interface" und als Dienst der Eintrag "ipsec"
  4. Als Aktion muss der Eintrag ACCEPT gewählt werden.
  5. Die Checkbox AKTIV muss ebenfalls aktiviert sein
  6. Im Feld LOGGING kann zwischen den Protokollierungsmethoden NONE, LOG und LOG_ALL gewählt werden
  7. Im Feld QOS (Quality of Service) kann die Bandbreite für die Regel beschränkt bzw. zugesichert werden
  8. Der NAT TYP ist NONE
  9. Im Feld RULE ROUTING können die Regeln an ein bestimmtes Interface gebunden werden
  10. Unter ZEITPROFIL kann in vorher angelegtes Zeitprofil mit der Regel verbunden werden
  11. Unter Kommentar kann eine Beschreibung oder Notiz zu der Regel hinzugefügt werden
  12. Dies wird mit Betätigen der Schaltfläche Speichern quittiert


  1. Für die zweite Regel wird ein weiteres Mal auf den Button Regel hinzufügen geklickt
  2. Diesmal wird als Quelle das interne Netzwerk gewählt
  3. Als Ziel wird das IPSec-Netzwerk ausgewählt
  4. Als Dienst wird any verwendet
  5. Der Eintrag NAT wird auf Hidenat Exclude gesetzt und als Netzwerkobjekt wird das ausgehendes Interface ausgewählt
  6. Dies wird ebenfalls wieder mit Betätigen der Schaltfläche Speichern quittiert

Einstellungen

Nun werden die globalen Einstellungen für die IPSec-Verbindungen eingestellt. Diese befinden sich in der Navigationsleiste unter dem Punkt VPN - im Eintrag globale VPN Einstellungen.

Auf der Registerkarte Allgemein muss die Funktion NAT Traversal aktiviert werden.

Auf der Registerkarte Nameserver werden Eintragungen für die zu verwendenden DNS Server und WINS Server gemacht. Sollten keine eigenen DNS-Server vorhanden sein, können auch öffentliche DNS-Server verwendet werden, die sich über eine Suchmaschine im Internet finden lassen.

globale IPSec Einstellungen
globale Nameserver Einstellungen
















Anpassen der IPSec Verbindung

IPSec-Verbindungen nutzen das Internet Key Exchange Protokoll (IKE) als Schlüsselverwaltung. Es ist zuständig für die Aushandlung der Sitzungsschlüssel. Das IKE arbeitet immer in zwei Phasen. In der ersten Phase wird eine relativ schwach gesicherte Verbindung zwischen den Gateways aufgebaut, in der eine Security Association (SA) ausgehandelt wird. In der zweiten Phase wird die SA erzeugt. Die SA dient der Identifikation, der Aushandlung des Schlüsselalgorithmus und der Schlüsselgenerierung. Außerdem wird festgelegt, wie lange der Schlüssel gültig ist und eine neue Authentisierung erforderlich ist und welche Subnetze miteinander verbunden werden.

  1. In der Navigationsleiste wird der Punkt VPN angewählt und im Drop-down-Menü der Eintrag IPSec aufgerufen
Es erscheint der Dialog IPSec Verbindungen.
Hier sind alle angelegten IPSec-Verbindungen ausgelistet.
Auflistung der IPSec-Verbindungen


2. Von hier aus gelangt man zu den Parametern der Phase 1 und 2. Außerdem kann am Ende jeder Zeile der Status der Verbindung eingesehen und die Verbindung gelöscht werden.
3. Mit dem Button Laden werden die Verbindungsparameter neu geladen.
4. Der Button Initiieren startet die Verbindung.










Phase 1

Unter den allgemeinen Einstellungen der Phase 1 sind die Werte für den ersten Verbindungsaufbau eingetragen. Die Art der Authentifizierung und die dazu gehörigen Angaben sind ebenfalls hier abgelegt. Es können noch allgemeine Einstellungen zur Verbindung gemacht werden (Initiator, Dead Peer Detection, Rekeying).

Tabelle phase1.png
Allgemeine Einstellungen für Phase 1






























Auf der Registerkarte IKEv1 werden die Daten für die Verschlüsselung gespeichert. Ist für die Verbindung die zweite Version von IKE gewählt, ändert sich lediglich der Titel des Dialogs zu IKEv2. Standardmäßig ist der Algorithmus 3DES ausgewählt. Diese Verschlüsselung sollte allerdings nicht mehr gewählt werden. Er ist nur ausgewählt, um die Verbindung zu Gegenstellen zu ermöglichen, die die anderen Verschlüsselungsalgorithmen nicht unterstützen.

Tabelle2 phase1.png
Allgemeine Einstellungen für Phase 1




















Phase 2

In der Phase zwei werden die Daten zu der Verschlüsselung des eigentlichen Verbindungsschlüssels gespeichert.

Tabelle phase2 2.png
Allgemeine Einstellungen der Phase 2


















In den Subnetz-Einstellungen der Phase 2 können beide, zu verbindenden Subnetze eingetragen werden. Dabei sollte darauf geachtet werden, dass es keine gleichen, zu verbindenden Subnetze gibt.

Subnetz-Einstellungen der Phase 2

















Konfiguration des zweiten Gateways

Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.

  1. Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt
  2. Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt - hierbei gilt zu beachten, dass die IKE-Version auf beiden Seiten identisch ist
  3. Eventuell müssen Firewall Regeln erstellt werden, wenn diese nicht automatisch vom Assistenten erstellt worden sind.
  4. Die Einstellungen der Phasen der IPSec-Verbindung werdeb angepasst - hier muss beachtet werden, dass die gleichen Algorithmen für die Schlüsselaushandlung und für die Verschlüsselung eingestellt wurden
Außerdem sollte nur eine Appliance der Initiator der Verbindung sein.
5. Abschließend muss der IPSec-Dienst über die Web-Oberfläche neu gestartet werden, damit die Änderungen aktiv werden.

Es gilt Folgendes zu beachten: Für eine IPSec Site to Site Verbindung ist es erforderlich, falls bereits zwei Default-Routen eingestellt wurden, eine Route-Over Einstellung festzulegen. Hierfür muss die Phase 1 der IPSec Verbindung dahingehend bearbeitet werden, dass die Option 'Route Over' die Route zum richtigen Gateway enthält. Dies ist notwendig, weil sonst für die UTM nicht ersichtlich ist, über welches Netz die IPSec-Verbindung geroutet werden soll.


Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen. Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.). Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden. Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen.