Operation Manual

ManualsBrandsApple ManualsOtheriOS Implementierung

Kapitel 4 Infrastruktur und Integration 43

•

Das Zertikat der Zertizierungsinstanz, die das Zertikat des Servers signiert hat, muss auf

dem Gerät installiert sein. Handelt es sich dabei nicht um ein Root-Zertikat, müssen Sie den

übrigen Teil der Zertikatkette (Chain of Trust) installieren, damit das Zertikat als vertrau-

enswürdig gilt. Vergewissern Sie sich, wenn Clientzertikate verwendet werden, dass das

vertrauenswürdige Zertikat der Zertizierungsinstanz, die das Zertikat des Clients signierte,

auf dem VPN-Server installiert ist. Vergewissern Sie sich bei der auf Zertikaten basierenden

Identizierung, dass der Server so konguriert ist, dass er die Gruppe des Benutzers basierend

auf den jeweiligen Feldern im Clientzertikat identiziert.

Wichtig: Die Zertikate und Zertizierungsinstanzen müssen gültig sein (sie dürfen z. B. nicht

abgelaufen sein). Das Senden einer Zertikatkette durch den Server wird nicht unterstützt.

IPSec-Einstellungen und -Beschreibungen

IPSec umfasst verschiedene Einstellungen, die verwendet werden können, um die Art der

Implementierung zu denieren:

•

Mode: Tunnel-Modus.

•

IKE Exchange Modes: „Aggressive Mode“ für die Authentizierung mit Pre-Shared-Schlüssel und

für die Hybrid-Authentizierung oder „Main Mode“ für die Zertikatauthentizierung.

•

Encryption Algorithms: 3DES, AES-128 oder AES256.

•

Authentication Algorithms: HMAC-MD5 oder HMAC-SHA1.

•

Die-Hellman Groups: „Group 2“ ist für die Authentizierung mit Pre-Shared-Schlüssel

und für die Hybrid-Authentizierung erforderlich. Group 2 mit 3DES und AES-128 für die

Zertikatauthentizierung. Group 2 oder 5 mit AES-256.

•

PFS (Perfect Forward Secrecy): Für Phase 2 des IKE-Protokolls gilt: Wird PFS verwendet,

muss die Die-Hellman-Gruppe mit der in Phase 1 des IKE-Protokolls verwendeten Gruppe

identisch sein.

•

Mode Conguration: Muss aktiviert sein.

•

Dead Peer Detection: Empfohlen.

•

Standard NAT Transversal: Unterstützt und kann aktiviert werden (IPSec over TCP wird nicht

unterstützt).

•

Load Balancing: Unterstützt und kann aktiviert werden.

•

Re-keying of Phase 1: Derzeit nicht unterstützt. Es wird empfohlen, das Re-keying-Intervall für

die erneute Aushandlung der Schlüssel auf eine Stunde einzustellen.

•

ASA Address Mask: Stellen Sie sicher, dass alle Masken des Geräte-Adresspools entweder nicht

festgelegt oder auf 255.255.255.255 eingestellt sind. Beispiel:

asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask

255.255.255.255.

Wenn Sie die empfohlene Adressmaske verwenden, werden unter Umständen einige der von

der VPN-Konguration angenommenen Routen ignoriert. Dies kann vermieden werden, indem

Sie sicherstellen, dass die Routingtabelle alle erforderlichen Routen enthält, und indem Sie vor

der Implementierung sicherstellen, dass die Teilnetzadressen zugänglich sind.

•

Application Version: Die Softwareversion des Clients wird an den Server gesendet, sodass

der Server Verbindungen basierend auf der Softwareversion des Geräts akzeptieren oder

ablehnen kann.

•

Banner: Das Banner wird, sofern es auf dem Server konguriert ist, auf dem Gerät angezeigt,

und der Benutzer muss es akzeptieren oder die Verbindung trennen.

•

Split Tunnel: Unterstützt.