Siemens SIMATIC NET SCALANCE S615 Projektierungshandbuch Seite 31

Verschlüsselungsverfahren
Das Gerät unterstützt dabei die folgenden Verfahren:
● 3DES-168
● AES-128
AES-128 ist ein häufig benutztes Verfahren und ist deshalb als Standard eingestellt.
● AES-192
● AES-256
Anforderungen an die VPN-Gegenstelle
Die VPN-Gegenstelle muss IPsec mit folgender Konfiguration unterstützen, um erfolgreich
eine IPsec-Verbindung aufzubauen:
● Authentifizierung über Gegenstellenzertifikate, CA-Zertifikate oder Pre-Shared Key
● IKEv1 oder IKEv2
● Unterstützung von mindestens einer der folgenden DH-Gruppen: Diffie-Hellman Gruppe
1, 2, 5 und 14 - 1
● 3DES- oder AES-Verschlüsselung
● MD5, SHA1 oder SHA512
● Tunnel-Modus
Wenn sich die VPN-Gegenstelle hinter einem NAT-Router befindet, dann muss die
Gegenstelle NAT-T unterstützen. Oder aber der NAT-Router muss das IPsec-Protokoll
kennen (IPsec/VPN Passthrough).
NAT-T
Eventuell befindet sich zwischen dem Gerät und dem VPN-Gateway des entfernten Netzes
ein NAT-Router. Nicht alle NAT-Router lassen IPsec-Telegramme passieren. Daher kann es
erforderlich sein, die IPsec-Telegramme in UDP-Pakete einzukapseln, um den NAT-Router
passieren zu können.
Dead Peer Detection
Voraussetzung ist, dass die VPN-Gegenstelle DPD unterstützt. DPD prüft, ob die
Verbindung noch störungsfrei arbeitet oder ob es eine Unterbrechung auf der Strecke gab.
Ohne DPD muss je nach Konfiguration bis zum Ablauf der SA-Lebensdauer gewartet oder
die Verbindung manuell neu initiiert werden. Um zu prüfen, ob die IPsec-Verbindung noch
störungsfrei arbeitet, sendet das Gerät selber DPD-Anfragen zur Gegenstelle. Wenn die
Gegenstelle nicht antwortet, wird die IPsec-Verbindung nach einer Anzahl von erlaubten
Fehlversuchen als unterbrochen angesehen.
SCALANCE S615 Web Based Management
Projektierungshandbuch, 05/2015, C79000-G8900-C388-02
Technische Grundlagen
2.5 Security-Funktionen
31