KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 12: | Zeile 12: | ||
| Vorbereitung - Log-Level erhöhen | | Vorbereitung - Log-Level erhöhen | ||
| Preparation - Increase log level }} | | Preparation - Increase log level }} | ||
{{var | Alternative | {{var | Alternative | ||
| <small>'''Alternative''' Möglichkeit, das Log-Level zu ändern:</small> | | <small>'''Alternative''' Möglichkeit, das Log-Level zu ändern:</small> | ||
| | | <small>'''Alternative''' option to change the log level:</small> }} | ||
{{var | CLI-Befehl | {{var | CLI-Befehl | ||
| CLI-Befehl | | CLI-Befehl | ||
| | | CLI command }} | ||
{{var | CLI-Befehl--desc | {{var | CLI-Befehl--desc | ||
| {{code|extc value set application "ipsec" variable "DBG_LVL_IKE" value [ "2" ] }} | | {{code|extc value set application "ipsec" variable "DBG_LVL_IKE" value [ "2" ] }} | ||
| | | {{code|extc value set application "ipsec" variable "DBG_LVL_IKE" value [ "2" ] }} }} | ||
{{var | extc-Variable setzen | {{var | extc-Variable setzen | ||
| extc-Variable setzen | | extc-Variable setzen | ||
| | | Set extc-variable }} | ||
{{var | extc-Variable setzen--desc | {{var | extc-Variable setzen--desc | ||
| In den Erweiterten Einstellungen: {{Menu|Extras|Erweiterte | | In den Erweiterten Einstellungen: {{Menu|Extras|Erweiterte Einstellungen|extc-Variablen}} Suche nach {{ic|DBG_LVL_IKE}} Wert ändern {{Button||w}} auf {{cb|2}} | ||
| | | In the advanced settings: {{Menu|Extras|Advanced Settings|extc-variables}} search for {{ic|DBG_LVL_IKE}} change value {{Button||w}} to {{cb|2}} }} | ||
{{var | IPSec neu starten | {{var | IPSec neu starten | ||
| Anschließend muss | | Anschließend muss der IPSec-Dienst neu gestartet werden. Das unterbricht sämtliche IPSec-Verbindungen! | ||
| | | IPSec service must then be restarted. This interrupts all IPSec connections! }} | ||
{{var | IPSec neu starten--Menu | {{var | IPSec neu starten--Menu | ||
| Menü {{Menu|Anwendungen|Anwendungsstatus}} Anwendung {{ic| IPSEC|class=bc__hgrau|Anw=UMA}} Schaltfläche {{button||renew}} | | Menü {{Menu|Anwendungen|Anwendungsstatus}} Anwendung {{ic| IPSEC|class=bc__hgrau|Anw=UMA}} Schaltfläche {{button||renew}} | ||
| | | Menu {{Menu|Applications|Application status}} Application {{ic| IPSEC|class=bc__hgrau|Anw=UMA}} Button {{button||renew}} }} | ||
{{var | per SSH--desc | {{var | per SSH--desc | ||
| '''per SSH zur Laufzeit als root''' | | '''per SSH zur Laufzeit als root''' | ||
| | | '''via SSH at runtime as root''' }} | ||
{{var | per SSH bis 12.1.8--desc | {{var | per SSH bis 12.1.8--desc | ||
| (nur bis Version 12.1.8):<br> {{code|ipsec stroke loglevel ike 2}}<br><small>Mit diesem Befehl ist die Einstellung nach einem Neustart wieder auf ihrem Ursprungswert!</small>{{a|4}} | | (nur bis Version 12.1.8):<br> {{code|ipsec stroke loglevel ike 2}}<br><small>Mit diesem Befehl ist die Einstellung nach einem Neustart wieder auf ihrem Ursprungswert!</small>{{a|4}} | ||
| | | (only up to version 12.1.8):<br> {{code|ipsec stroke loglevel ike 2}}<br><small>This command returns the setting to its original value after a restart!</small>{{a|4}} }} | ||
{{var | per SSH ab 12.2--desc | {{var | per SSH ab 12.2--desc | ||
| (ab Version 12.2):<br>{{code|spcli extc value set application ipsec variable DBG_LVL_IKE value 2<br>spcli appmgmt config<br>swanctl --reload-settings}} | | (ab Version 12.2):<br>{{code|spcli extc value set application ipsec variable DBG_LVL_IKE value 2<br>spcli appmgmt config<br>swanctl --reload-settings}} | ||
| | | (as of version 12.2):<br>{{code|spcli extc value set application ipsec variable DBG_LVL_IKE value 2<br>spcli appmgmt config<br>swanctl --reload-settings}} }} | ||
{{var | per SSH--Hinweis | {{var | per SSH--Hinweis | ||
| Hierbei muss der IPSec-Dienst '''nicht | | Hierbei muss der IPSec-Dienst '''nicht neu gestartet werden'''. | ||
| | | Here the IPSec service '''does not have to be restarted'''. }} | ||
{{var | IKEv1 Troubleshooting | {{var | IKEv1 Troubleshooting | ||
| IKEv1 Troubleshooting | | IKEv1 Troubleshooting | ||
| IKEv1 Troubleshooting }} | | IKEv1 Troubleshooting }} | ||
{{var | IKEv1 Troubleshooting--desc | {{var | IKEv1 Troubleshooting--desc | ||
| Der Aufbau einer IPSec-Verbindung unter Verwendung von IKEv1 erfolgt in zwei Phasen. In der Phase 1 erfolgt die Authentifizierung beider Gateways gegeneinander. Dies kann auf zwei verschiedene Arten erfolgen: Dem | | Der Aufbau einer IPSec-Verbindung unter Verwendung von IKEv1 erfolgt in zwei Phasen. In der Phase 1 erfolgt die Authentifizierung beider Gateways gegeneinander. Dies kann auf zwei verschiedene Arten erfolgen: Dem „Aggressive Mode“ oder dem „Main Mode“. Der aggressive Mode verschlüsselt den Pre Shared Key (PSK) über einen einfachen HashAlgorithmus. | ||
Außer diesem PSK sind keine weiteren Identifikationen vorgesehen. Daraus ergeben sich folgende Nachteile: | Außer diesem PSK sind keine weiteren Identifikationen vorgesehen. Daraus ergeben sich folgende Nachteile: | ||
*Bei Anbindung von mehreren Gegenstellen können diese in der Phase 1 nicht voneinander unterschieden werden. Deshalb muss in allen Verbindungen der gleiche PSK verwendet werden. Die Wahrscheinlichkeit der Kompromittierung steigt mit der Anzahl der Gegenstellen. | *Bei Anbindung von mehreren Gegenstellen können diese in der Phase 1 nicht voneinander unterschieden werden. Deshalb muss in allen Verbindungen der gleiche PSK verwendet werden. Die Wahrscheinlichkeit der Kompromittierung steigt mit der Anzahl der Gegenstellen. | ||
*Die einfache Hash-Verschlüsselung des PSK macht ihn gegen Wörterbuch-Attacken verwundbar, und zwar umso mehr, je einfacher dieser ist. Da außer dem PSK kein weiteres Identifikationsmerkmal vorgesehen ist, können solche Attacken von jedem beliebigen Rechner mit Internetzugang durchgeführt werden. | *Die einfache Hash-Verschlüsselung des PSK macht ihn gegen Wörterbuch-Attacken verwundbar, und zwar umso mehr, je einfacher dieser ist. Da außer dem PSK kein weiteres Identifikationsmerkmal vorgesehen ist, können solche Attacken von jedem beliebigen Rechner mit Internetzugang durchgeführt werden. | ||
Aus diesen Gründen findet der | Aus diesen Gründen findet der aggressive Mode von IPSec keine Verwendung in Verbindung mit Securepoint NextGen UTM. Es wird ausschließlich der sichere Main Mode eingesetzt. Dieser fordert außer dem PSK noch ein weiteres Identifikationsmerkmal, die sog. ID. Zudem wird die Übertragung des PSK durch das Diffie-Hellman-Schlüsselaustauschverfahren abgesichert. Dieses macht, mathematisch bewiesen, das Abhören eines übertragenen Schlüssels unmöglich. Weiterhin gestattet der Main Main Mode außer PSKs auch RSA-Schlüssel oder X.509-Zertifikate zur Authentifizierung. | ||
| The establishment of an IPSec connection using IKEv1 takes place in two phases. In phase 1, both gateways are authenticated against each other. This can be done in two different ways: The " | | The establishment of an IPSec connection using IKEv1 takes place in two phases. In phase 1, both gateways are authenticated against each other. This can be done in two different ways: The "Aggressive Mode" or the "Main Mode". The aggressive mode encrypts the Pre Shared Key (PSK) using a simple hash algorithm. | ||
Apart from this PSK, no further identification is provided. This results in the following disadvantages: | Apart from this PSK, no further identification is provided. This results in the following disadvantages: | ||
*When several remote stations are connected, they cannot be distinguished from each other in phase 1. Therefore, the same PSK must be used in all connections. The probability of | *When several remote stations are connected, they cannot be distinguished from each other in phase 1. Therefore, the same PSK must be used in all connections. The probability of being compromised increases with the number of remote stations. | ||
*The simple hash encryption of the PSK makes it vulnerable to dictionary attacks, and more so the simpler it is. Since no other identification feature is provided besides the PSK, such attacks can be carried out by any computer with Internet access. | *The simple hash encryption of the PSK makes it vulnerable to dictionary attacks, and more so the simpler it is. Since no other identification feature is provided besides the PSK, such attacks can be carried out by any computer with Internet access. | ||
For these reasons, the | For these reasons, the aggressive mode of IPSec does not find any use in connection with Securepoint NextGen UTM. Only the secure main mode is used. In addition to the PSK, this requires a further identification feature, the so-called ID. Furthermore, the transmission of the PSK is secured by the Diffie-Hellman key exchange method. This makes it mathematically impossible to intercept a transmitted key. In addition to PSKs, the main mode also allows RSA keys or X.509 certificates for authentication. }} | ||
{{var | IKEv1 Troubleshooting--Bild | {{var | IKEv1 Troubleshooting--Bild | ||
| ipsec_troubleshooting01.png | | ipsec_troubleshooting01.png | ||
| Zeile 85: | Zeile 75: | ||
{{var | Der normale Verbindungsaufbau--desc | {{var | Der normale Verbindungsaufbau--desc | ||
| Kommt es in der Phase 1 zu keinem Fehler, ist dies durch einen Eintrag im LiveLog zu erkennen, der die erfolgreiche Etablierung einer IKE_SA meldet. Findet sich dieser Eintrag sowohl im Log des Initiators als auch in dem des Responders, ist die Phase 1 fehlerfrei konfiguriert und ein eventueller Konfigurationsfehler in der Phase 2 zu suchen. | | Kommt es in der Phase 1 zu keinem Fehler, ist dies durch einen Eintrag im LiveLog zu erkennen, der die erfolgreiche Etablierung einer IKE_SA meldet. Findet sich dieser Eintrag sowohl im Log des Initiators als auch in dem des Responders, ist die Phase 1 fehlerfrei konfiguriert und ein eventueller Konfigurationsfehler in der Phase 2 zu suchen. | ||
| If no errors occur in phase 1, this is indicated by an entry in the LiveLog that reports the successful establishment of an IKE_SA. If this entry is found in both the initiator's log and the responder's log, phase 1 has been configured without errors and | | If no errors occur in phase 1, this is indicated by an entry in the LiveLog that reports the successful establishment of an IKE_SA. If this entry is found in both the initiator's log and the responder's log, phase 1 has been configured without errors and any configuration error should be looked for in phase 2. }} | ||
{{var | Logmeldung | {{var | Logmeldung | ||
| Logmeldung | | Logmeldung | ||
| Zeile 124: | Zeile 114: | ||
{{var | Falscher PSK | {{var | Falscher PSK | ||
| Falscher PSK | | Falscher PSK | ||
| | | Incorrect PSK}} | ||
{{var | Falscher PSK--desc | {{var | Falscher PSK--desc | ||
| Im Gegensatz zu älteren Software-Versionen findet sich bei nicht übereinstimmenden PSKs bei Verwendung von IKEv1 kein klar lesbarer Hinweis im Log. Indirekt weist der Hinweis auf „deformierte“ Pakete auf diesen Fehler hin. | | Im Gegensatz zu älteren Software-Versionen findet sich bei nicht übereinstimmenden PSKs bei Verwendung von IKEv1 kein klar lesbarer Hinweis im Log. Indirekt weist der Hinweis auf „deformierte“ Pakete auf diesen Fehler hin. | ||
| Zeile 207: | Zeile 197: | ||
| Verwendung von ''swanctl'' | | Verwendung von ''swanctl'' | ||
| Use of ''swanctl'' }} | | Use of ''swanctl'' }} | ||
{{var | | {{var | Rudimentär | ||
| | | Rudimentär (empfohlen) | ||
| | | Rudimentary (recommended) }} | ||
{{var | | {{var | Rudimentär--desc | ||
| Default-Einstellung | | Default-Einstellung | ||
| | | Default setting }} | ||
{{var | Ausführlich | {{var | Ausführlich | ||
| Ausführlich | | Ausführlich | ||
| | | Detailed }} | ||
{{var | Ausführlich--desc | {{var | Ausführlich--desc | ||
| Geeignet für ein ausführliches Troubleshooting | | Geeignet für ein ausführliches Troubleshooting | ||
| | | Suitable for detailed troubleshooting }} | ||
{{var | Sehr Ausführlich | {{var | Sehr Ausführlich | ||
| Sehr Ausführlich | | Sehr Ausführlich | ||
| | | very detailed }} | ||
{{var | Sehr Ausführlich--desc | {{var | Sehr Ausführlich--desc | ||
| Kann für spezielle Fehlersuchen erforderlich sein | | Kann für spezielle Fehlersuchen erforderlich sein | ||
| | | May be required for specific troubleshooting }} | ||
{{var | Sehr Ausführlich--Hinweis | {{var | Sehr Ausführlich--Hinweis | ||
| Diese Einstellung erzeugt übermäßig viele Meldungen, so dass das Log binnen kürzester Zeit sein Limit erreichen wird und in Folge dessen Meldungen schneller gelöscht werden müssen. Wichtige Meldungen (anderer Dienste) können dadurch übersehen werden. Es wird empfohlen, diese Einstellung nicht oder nur für kurze Zeit zu verwenden. | | Diese Einstellung erzeugt übermäßig viele Meldungen, so dass das Log binnen kürzester Zeit sein Limit erreichen wird und in Folge dessen Meldungen schneller gelöscht werden müssen. Wichtige Meldungen (anderer Dienste) können dadurch übersehen werden. Es wird empfohlen, diese Einstellung nicht oder nur für kurze Zeit zu verwenden. | ||
| | | This setting generates an excessive number of messages, so that the log will reach its limit within a very short time and, as a result, messages will have to be deleted more quickly. Important messages (from other services) may be overlooked. It is recommended not to use this setting or to use it only for a short time. }} | ||
{{var | Benutzerdefiniert | {{var | Benutzerdefiniert | ||
| Benutzerdefiniert | | Benutzerdefiniert | ||
| | | User-defined }} | ||
{{var | Benutzerdefiniert--desc | {{var | Benutzerdefiniert--desc | ||
| Alle Werte lassen sich im Abschnitt {{Kasten|Erweiterte Einstellungen}} in 5 unterschiedlichen Stufen protokollieren | | Alle Werte lassen sich im Abschnitt {{Kasten|Erweiterte Einstellungen}} in 5 unterschiedlichen Stufen protokollieren | ||
| | | All values can be logged in the {{Kasten|Advanced settings}} section in 5 different levels }} | ||
{{var | Log | {{var | Log | ||
| Log | | Log | ||
| | | Log }} | ||
{{var | Reiter | {{var | Reiter | ||
| Reiter | | Reiter | ||
| | | Tab }} | ||
{{var | Log-Level--Bild | {{var | Log-Level--Bild | ||
| UTM v12.2.3 IPSec Log.png | | UTM v12.2.3 IPSec Log.png | ||
| | | UTM v12.2.3 IPSec Log-en.png }} | ||
{{var | Log-Level--cap | {{var | Log-Level--cap | ||
| Reiter ''Log'' | | Reiter ''Log'' | ||
| | | Tab ''Log'' }} | ||
{{var | Log-Level--desc | {{var | Log-Level--desc | ||
| Als Voraussetzung für das erfolgreiche Troubleshooting muss das Log-Level zunächst erhöht werden. | | Als Voraussetzung für das erfolgreiche Troubleshooting muss das Log-Level zunächst erhöht werden. | ||
| | | As a prerequisite for successful troubleshooting, the log level must first be increased. }} | ||
{{var | Log-Level--Hinweis | {{var | Log-Level--Hinweis | ||
| Beim Ändern des Loglevels wird der IPSec-Dienst neu gestartet. Dabei werden alle IPSec-Verbindungen einmal unterbrochen. | | Beim Ändern des Loglevels wird der IPSec-Dienst neu gestartet. Dabei werden alle IPSec-Verbindungen einmal unterbrochen. | ||
| | | When the log level is changed, the IPSec service is restarted. All IPSec connections are interrupted once during this process. }} | ||
{{var | neu--Log-Level per GUI | {{var | neu--Log-Level per GUI | ||
| Das Log- | | Das Log-Level lässt sich direkt im Admininterface einstellen | ||
| | | The log level can be set directly in the admin interface }} | ||
{{var | Speichern und neustarten--desc | {{var | Speichern und neustarten--desc | ||
| Speichern der geänderten Einstellungen mit {{Button|Speichern und | | Speichern der geänderten Einstellungen mit {{Button|Speichern und neu starten}} | ||
| | | Save the changed settings with {{Button|Save and restart}} }} | ||
{{var | Speichern und neustarten--Hinweis | {{var | Speichern und neustarten--Hinweis | ||
| Damit wird der IPSec-Dienst neu gestartet und alle IPSec-Verbindungen einmal kurz unterbrochen. | | Damit wird der IPSec-Dienst neu gestartet und alle IPSec-Verbindungen einmal kurz unterbrochen. | ||
| | | This restarts the IPSec service and briefly interrupts all IPSec connections once. }} | ||
{{var | | {{var | | ||
| | | | ||
UTM/VPN/IPSec-Troubleshooting.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki