Peer-to-Peer VPN
Ein Peer-to-Peer VPN oder auch Site-to-Site VPN genannt, bietet die Möglichkeit, zwei oder mehrere geografisch getrennte Standorte, über das Internet sicher miteinander zu verbinden, als wären sie ein einziges privates Netzwerks. (beispielsweise Zweigstellen und die Hauptniederlassung)
Peer-to-Peer VPN einrichten
- Im Router-Portal unter dem Reiter Netzwerk ➜ Peer-to-Peer VPN
- Peer-to-Peer VPN Funktion aktivieren und speichern
- Einen neuen VPN Standort hinzufügen und die VPN-Verbindungsdaten der VPN-Gegenstelle eingeben und hinzufügen.
Hinweis zu der Peer-to-Peer VPN-Verschlüsselung
Centro Business zu Centro Business
Wenn ein VPN zwischen zwei Centro Business eingerichtet wird, erfolgt die Wahl der Verschlüsselung immer automatisch.
Centro Business zu beliebige VPN-Gegenstelle
Wenn ein VPN zu einer Gegenstelle ohne Centro Business eingerichtet wird, muss die Verschlüsselung manuell konfiguriert werden.
Folgenden Optionen bietet der Centro Business (PFS wird stetts empfohlen):
| Profile | Swisscom-IKEv2-PFS | Swisscom-IKEv2 |
|---|---|---|
| IKE Exchange Mode | Main | Main |
| Phase 1 Encryption Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 1 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 1 DH Transforms | Curve25519, MODP-8192, ECP-384, MODP-2048 | Curve25519 MODP-8192, ECP-384 MODP-2048 |
| Phase 1 SA Lifetime (sec) | 86400 | 86400 |
| Phase 2 Encryption Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 2 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 2 SA Lifetime (sec) | 86400 | 86400 |
| PFS | Curve25519, MODP-8192, ECP-384, MODP-2048 | Deaktiviert |
Einschränkungen
- Bei BNS/EC-S Vertrag nicht verfügbar
FAQ zu Peer-to-Peer VPN
Worauf gilt es zu achten, wenn Netzwerke über VPN verbunden werden?
- Bestehen Sicherheitlücken an einem der VPN-Standorte, bieten VPN-Tunnel einem Angreifer die Chance auf weitere Infrastruktur zuzugreifen (das Schadensrisiko steigt).
- Wenn am Gegenstandort kein Centro Business Router verwendet wird, erfodert die Konfiguration des VPN technische Kenntnisse da sehr viele unterschiedliche Möglichkeiten.
Was ist PFS?
PFS steht für "Perfect Forward Secrecy" und ist ein Sicherheitsmerkmal, das verwendet wird, um die Sicherheit der Kommunikation zu gewährleisten. Der Hauptvorteil von PFS besteht darin, dass es sicherstellt, dass selbst wenn die Schlüssel eines bestimmten Kommunikationskanals kompromittiert werden, vergangene Sitzungen nicht entschlüsselt werden können.
Warum wird IKEv1 nicht mehr unterstützt?
PFS steht für "Perfect Forward Secrecy" und ist ein Sicherheitsmerkmal, das verwendet wird, um die Sicherheit der Kommunikation zu gewährleisten. Der Hauptvorteil von PFS besteht darin, dass es sicherstellt, dass selbst wenn die Schlüssel eines bestimmten Kommunikationskanals kompromittiert werden, vergangene Sitzungen nicht entschlüsselt werden können.
Warum wird IKEv1 nicht mehr unterstützt?
IKEv1 (Internet Key Exchange Version 1) wird aus mehreren Gründen zunehmend nicht mehr unterstützt. Erstens bietet IKEv2 signifikante Verbesserungen in Bezug auf Sicherheit und Effizienz, darunter eine vereinfachte Protokollstruktur und bessere Verschlüsselungsalgorithmen. Zweitens beinhaltet IKEv2 Funktionen wie das MOBIKE-Protokoll zur besseren Unterstützung von mobilen Geräten und dynamischen IP-Änderungen. Zudem wurden in IKEv2 Schwachstellen behoben, die in IKEv1 existierten, was es zu einer sichereren Wahl macht. Angesichts dieser Vorteile und der ständigen Weiterentwicklung der Netzwerksicherheitsstandards neigen viele moderne VPN-Lösungen dazu, IKEv1 nicht mehr zu unterstützen.
Fehlt Ihnen hier etwas? Geben Sie uns Feedback! pilot@swisscom.com Bitte beschreiben Sie in welchem Bereich, Sie was erwarten würden oder was wir besser machen könnten.