IPSec mit Sophos als Gegenstelle

Konfiguration einer IPSec-VPN-Verbindung mit einer Sophos-Firewall als Gegenstelle

Neuer Artikel: 01.2023

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

-

Vorbemerkung

Dieses Best Practice verwendet die Softwareversionen
- Securepoint UTM: v12.2.3.1
  Es sollte mindestens Version 12.2.5.1 verwendet werden
- Sophos: SFOS v19.0.0 GA-Build317
Einstellungsmöglichkeiten können sich in zukünftigen Softwareversionen ändern, umbenannt oder verschoben werden.
Die grundsätzliche Funktionalität sollte dadurch nicht eingeschränkt werden
Unterstütze VPN-Typen:
- IPSec mit IKEv1
- IPSec mit IKEv2

SSL / OpenVPN wird nicht unterstützt:
- Sophos verwendet Proprietäre Konfigurationsdateien (.apc statt .ovpn)
- Es gibt nur wenige Einstellungsmöglichkeiten

Folgende Netzwerk Situationen wurden getestet:

Sophos (Öffentliche, feste IP) <-> UTM (Öffentliche, feste IP)
Sophos (Öffentliche, feste IP) <-> UTM (NAT ohne Portweiterleitung)
Sophos (Öffentliche, feste IP) <-> UTM (NAT mit Portweiterleitung)
Sophos (NAT ohne Portweiterleitung) <-> UTM (Öffentliche, feste IP)
Sophos (NAT mit Portweiterleitung) <-> UTM (NAT ohne Portweiterleitung)

Zusätzliche Router

Stehen die Securepoint UTM oder die Sophos Firewall zusätzlich hinter einem weiteren Router (z.B. einer Fritzbox, die den Internetzugang bereit stellt), so müssen dort folgende Ports weitergeleitet werden:

Kein NAT auf beiden Seiten: Port 500/UDP (ISAKMP)
NAT auf einer Seite: Port 500/UDP + 4500/UDP (NAT-T)

Konfiguration auf der Securepoint UTM

Die Einrichtung der Verbindung auf der UTM erfolgt, wie im Wiki Artikel IPSec Site-to-Site beschrieben.
Folgende Parameter müssen dabei beachtet werden:

Protokollansicht	Empfohlene Einstellung
Assistent Securepoint UTM IPSec-Assistent: → VPN →IPSecReiter Verbindungen Schaltfläche IPSec Verbindung hinzufügen Schritt 2
IKE-Protokoll:	IKEv2 (Bei nicht lösbaren Problemen, IKEv1 benutzen)
Phase 1 Reiter Allgemein
Startverhalten: Outgoing / Incoming	Incoming, auf der Seite wo das Gerät am "direktesten" mit dem Internet verbunden ist. Rangfolge: Öffentliche, feste IP Öffentliche, dynamische IP Private IP hinter NAT-Router (Fritzbox) Startverhalten der Sophos im IKEv1 Modus kann nicht angepasst werden Sie versucht die Verbindung selber aufzubauen, nimmt aber auch Verbindungen an
DPD	Ein Aktiv
Verschlüsselung:	Empfohlene Werte: AES256 (stärkste Verschlüsselung) AES192 oder AES128 Die Länge des Verschlüsselungs-Schlüssels hat Auswirkungen auf die Performance der Verbindung
Authentifizierung:	Empfohlene Werte: SHA2_512 SHA2_384 SHA2_256
Diffie-Hellman Group:	ecp521, ecp384, ecp256, modp8192, modp6144, modp4096 Wir empfehlen ecp521
Strict	Ein Aktiv
IKE Lifetime:	Child_SA Lifetime ≦ IKE_SA Lifetime < 8 Stunden Grund: Auf der Sophos muss die Child_SA Lifetime kleiner oder gleich der IKE_SA Lifetime sein
Rekeying	unbegrenzt
Phase 2
Verschlüsselung:	AES256, AES198, AES128
Authentifizierung:	SHA2_512, SHA2_384, SHA2_512
Diffie-Hellman Group:	ecp512, ecp384, ecp256, modp8192, modp6144, modp4096 Wir empfehlen ecp521
IKE_SA Lifetime:	Child_SA Lifetime ≦ IKE_SA Lifetime < 8 Stunden Grund: Auf der Sophos muss die Child_SA Lifetime kleiner oder gleich der IKE_SA Lifetime sein
Neustart nach Abbruch:	ggf. Ein Aktiv (Nur auf der Outgoing Seite)
Subnetzkombinationen gruppieren:	Option wird nicht von Sophos unterstützt bzw. ist nicht verfügbar Wird diese Option auf der Securepoint UTM aktiviert, wird nur für die erste Subnetzkombination ein SA erstellt und in Folge dessen eine Verbindung hergestellt

Konfiguration auf der Sophos Firewall

Erstellen eines IPsec Profils Anlegen eines IPsec Profils: Login auf das Administrations-Interface der Sophos (Port 4444) Menü: Konfigurieren / Site-to-Site-VPN Reiter IPsec Untermenü (Link): IPsec-Profile Das Profil dient neben der Bestimmung der IKE Protokoll Version (IKEv2/IKEv1), den DPD Einstellungen, hauptsächlich dafür um Verschlüsselungsalgorithmen festzulegen.	Abb.1	Abb.2

Im Reiter IPsec-Profile ein Profil erstellen mit der Schaltfläche Hinzufügen	Abb.3

Allgemeine Einstellungen
Name Securepoint IKEv2	Aussagekräftiger Name unter dem das IPsec Profil gespeichert wird Eintrag erforderlich	Abb.4
Beschreibung	Kann optional für jedes IPsec Profil angegeben werden
Schlüsselaustausch IKEv2	IKE Protokoll Version (Das Startverhalten der Sophos kann bei IKEv1 nicht angepasst werden.)
Authentifizierungsmethode Hauptmodus	Die Securepoint UTM unterstützt als Authentifizierungsmethode (auch Austausch-Modus) aus Sicherheitsgründen ausschließlich den Hauptmodus / Main-Mode und nicht den Aggressive Mode
Schlüsselaushandlungsversuche 0	Maximale Anzahl der Versuche, um die Verbindung herzustellen. Der Wert 0 erlaubt unbegrenzt viele Aushandlungsversuche.
Phase 1
Schlüssel-Lebensdauer 3600	Zeit in Sekunden, bis eine neue IKE SA ausgehandelt wird. Entspricht dem Wert 1 Stunde der IKE Lifetime im Reiter IKE der Phase 1 in der UTM. Der Sophos Default-Wert muss angepasst werden
DH-Gruppe (Schlüsselgruppe) ecp521, ecp384, ecp256, modp8192, modp6144, modp4096	Festlegen der IKE Diffie-Hellman-Gruppe für IKEv2 Phase 1
Verschlüsselung AES256	Festlegen des Verschlüsselungsstandards für IKEv2 Phase 1
Authentifizierung SHA2_256	Festlegen des Authentifizierungsstandards für IKEv2 Phase 1
Phase 2
PFS-Gruppe (DH-Gruppe) Gleich wie Phase 1	Festlegen der IKE Diffie-Hellman-Gruppe für IKEv2 Phase 2 Der Sophos Default-Wert muss angepasst werden
Schlüssel-Lebensdauer 3600	Zeit, bis eine neue IKE CHILD SA ausgehandelt wird. Entspricht dem Wert 1 Stunde der Schlüssel-Lebensdauer im Reiter Allgemein der Phase 2 in der UTM ?
Verschlüsselung AES256	Festlegen des Verschlüsselungsstandards für IKEv2 Phase 2
Authentifizierung SHA2_256	Festlegen des Authentifizierungsstandards für IKEv2 Phase 2
Dead Peer Detection (DPD) Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht. Wurde der Tunnel unerwartet beendet, wird dieser neu initiiert.
Peer überprüfen alle 30	Zeit in Sekunden bis zur nächsten Überprüfung
Auf Antwort warten bis zu 120	Zeit, bis der IPSec Tunnel nach einer fehlerhaften Überprüfung als unerreichbar behandelt wird
Wenn Peer unerreichbar Neu initiieren	Verbindung Trennen, wenn die Securepoint UTM die Verbindung einleitet Neu initiieren, wenn die Sophos Firewall die Verbindung einleitet Der Sophos Default-Wert muss ggf. angepasst werden
Mit Klick auf die so bezeichnete Schaltfläche das IPSec-Profil Speichern
Erstellen der IPsec-Verbindung
Menü: Konfigurieren / Site-to-Site-VPN Reiter IPsec Abschnitt IPsec-Verbindungen Schaltfläche Hinzufügen	Abb.5
	Abb.5
Allgemeine Einstellungen
Name Securepoint_UTM_Zentrale	Name, unter dem die IPsec Verbindung gespeichert wird Eintrag erforderlich	Abb.6
Beschreibung	Kann optional für jede IPsec Verbindung angegeben werden
IP-Version IPv4 / IPv6 / Dual	IP-Version, über die der Tunnel aufgebaut werden soll (IPv4/Ipv6)
Verbindungstyp Standort-zu-Standort	Site-to-Site Verbindung
Gateway-Typ Nur antworten	Nur Antworten (≙ Incoming): Die Sophos Firewall wartet auf eine SPSec-Verbindung und initiiert nicht die Tunnel-Verbindung Verbindung herstellen (≙ Outgoing): Die Sophos Firewall initiiert die Tunnel Verbindung Der Sophos Default-Wert muss ggf. angepasst werden
Beim Speichern aktivieren	Startet beim Speichern die Verbindung gemäß Gateway-Typ Der Sophos Default-Wert sollte angepasst werden
Firewallregel anlegen	Automatisches Anlegen von benötigten Portfilterregeln
Verschlüsselung
Profil Securepoint IKEv2	Das zuvor erstellte IPsec Profil auswählen Der Sophos Default-Wert muss angepasst werden
Authentifizierungsmethode Verteilter Schlüssel	Mögliche Optionen: Verteilter Schlüssel (=Pre Shared Key, PSK) Digitales Zertifikat (entfernt und lokal müssen hinterlegt werden) RSA-Schlüssel (entfernt und lokal müssen hinterlegt werden)
Gateway-Einstellungen Lokales Gateway
Lausch-Schnittstelle	Interface, über das der Tunnel aufgebaut werden soll Eintrag erforderlich	Abb.7
Lokaler ID-Typ Lokale ID wählen	Frei wählbar (kann ein DNS Name, eine IP-Adresse oder eine E-Mail-Adresse sein).
Lokale ID	Frei wählbar Dieser Wert muss auf der Securepoint UTM im IPSec-Assistenten im Schritt 4 - Gegenstelle als Remote Gateway ID eingetragen werden
Lokales Subnetz Neues Element hinzufügen	Lokales Netzwerk auf der Sophos Firewall, das in den Tunnel eingebunden werden soll. Existiert das Netzwerkelement nicht in der Liste, kann es in diesem Schritt erstellt werden
Entferntes Gateway
Gateway-Adresse *	Adresse des Remote Gateway (≙Securepoint UTM) Der Wert * sollte gesetzt werden, wenn die Sophos Firewall nicht die Verbindung initiiert und die UTM keine feste IP Adresse besitzt, mit der die Anfragen gestellt werden.
Entfernter ID-Typ Entfernte ID wählen	Frei wählbar (kann ein DNS Name, eine IP-Adresse oder eine E-Mail-Adresse sein).
Remote-ID	Dieser Wert muss auf der Securepoint UTM im IPSec-Assistenten im Schritt 3 - Lokal als Local Gateway ID eingetragen werden
Entferntes Subnetz Neues Element hinzufügen	Entferntes Netzwerk auf der Securepoint UTM, das über den Tunnel erreichbar sein soll. Existiert das Netzwerkelement nicht in der Liste, kann es in diesem Schritt erstellt werden

Erweitert
Benutzerauthentifizierung Keine	Vorgabe unverändert auf Keine belassen
Verbindung trennen im Leerlauf	Nicht aktivieren
Verbindung anlegen mit der Schaltfläche Speichern
Netzwerkelemente erstellen
Hierzu kann während dem Anlegen der IPSec Verbindung in den Dialogen Lokales Subnetz und Entferntes Subnetz ein neues Element über die Option Hinzufügen angelegt werden.		Abb.8 - nach Klick in das jeweilige Feld
Entferntes Netzwerkelement erstellen
Die Werte für das Entfernte Subnetz (also das Netzwerk der Securepoint UTM, das über den Tunnel erreichbar sein soll)
Name Hostname eingeben	Name des Netzwerkelements	Abb.9
IP-Version IPv4 IPv6	Art der IP-Adressen (IPv4/IPv6) in dem Remote Netzwerk (hier: Das Netzwerk der Securepoint UTM)
Typ Netzwerk	Es muss der Typ Netzwerk gewählt werden
IP-Adresse	Netzadresse des Remote UTM Netzwerks
Subnetz /24 (255.255.255.0)	Subnetzmaske des Remote UTM Netzwerks
Netzwerkelement mit Klick auf die so bezeichnete Schaltfläche Speichern

Troubleshooting

IPsec Log

Abb.10

Einsehbar unter dem Menüpunkt Kontrollzentrum im Abschnitt Überwachen & Analysieren, Link Protokollansicht am oberen rechten Rand des Sophos Admin Panels.

Abb.11

Nach dem Auswählen dieser Option öffnet sich ein PopUp Fenster
Hier im Dropdownmenü die Log Kategorie Firewall auswählen

Abb.12

Jetzt lässt sich im Dropdownmenü die Log Kategorie VPN auswählen

Tcpdump

Für TCPdump wird der Zugriff über SSH benötigt. Freigabe auf der Sophos Firewall: Menü Verwaltung / Appliance-Zugriff / Zugriffssteuerungsliste (ZSL) für lokale Dienste Spalte Admin-Dienste / SSH, freigeben für LAN bzw. WAN SSH für WAN sollte nur temporär bei Bedarf freigegben werden. Einstellung mit der so bezeichneten Schaltfläche Übernehmen	Abb.13
Verbindung zur Sophos Firewall über SSH (Port 22) mit den Sophos Admin-Zugangsdaten Im Main Menu Option 5. Device Management wählen Im Menü Device Managment die Option 3. Advanced Shell wählen	Abb.15	Abb.14
Befehle wie tcpdump, ping oder ip können nun ausgeführt werden	Abb.16

Vorbemerkung

Folgende Netzwerk Situationen wurden getestet:

Zusätzliche Router

Konfiguration auf der Securepoint UTM

Assistent

Phase 1

Phase 2

Konfiguration auf der Sophos Firewall

Erstellen eines IPsec Profils

Allgemeine Einstellungen

Phase 1

Phase 2

Dead Peer Detection (DPD)

Erstellen der IPsec-Verbindung

Allgemeine Einstellungen

Verschlüsselung

Gateway-Einstellungen

Lokales Gateway

Entferntes Gateway

Netzwerkelemente erstellen

Troubleshooting

IPsec Log

Tcpdump