Site-to-Site VPNs verbinden Unternehmensstandorte über das Internet und ermöglichen sicheren Datentransfer zwischen Niederlassungen. Für produktive Umgebungen ist es entscheidend, dass Crypto Proposals, Perfect Forward Secrecy (PFS), Dead Peer Detection (DPD) und Rekey-Strategien korrekt konfiguriert sind. Hardening dieser Tunnel verhindert Angriffe, sichert Vertraulichkeit und Integrität und gewährleistet stabile Verbindungen auch bei Netzwerkstörungen.
Grundlagen von Site-to-Site VPN-Hardening
Ein gut gehärtetes VPN schützt den Datenverkehr vor unbefugtem Zugriff, Manipulation und Replay-Angriffen. Kernkomponenten sind:
- Stabile Phase-1 (IKE) und Phase-2 (IPsec) Parameter
- Crypto-Proposals für Verschlüsselung, Integrität und Authentifizierung
- Perfect Forward Secrecy (PFS) zur Sicherung neuer Schlüssel bei Rekey
- Dead Peer Detection (DPD) zur Erkennung ausgefallener Tunnel-Peers
- Regelmäßiges Rekeying der Security Associations
Phase-1 Konfiguration und Crypto Proposals
Die Phase-1-Konfiguration legt die Basis für sicheren IKE-Schlüsselaustausch.
Router(config)# crypto isakmp policy 10
Router(config-isakmp)# encryption aes 256
Router(config-isakmp)# hash sha256
Router(config-isakmp)# authentication pre-share
Router(config-isakmp)# group 14
Router(config-isakmp)# lifetime 86400- AES-256 für Verschlüsselung, SHA-2 für Integrität
- DH Group 14 für sicheren Schlüsselaustausch
- Lifetimes balancieren Sicherheit und Performance
- Nur autorisierte Peer-IP-Adressen zulassen
Phase-2 und IPsec Crypto Proposals
Phase-2 schützt den tatsächlichen Datenverkehr über den Tunnel.
Router(config)# crypto ipsec transform-set VPN-SET esp-aes 256 esp-sha-hmac
Router(config)# crypto map VPN-MAP 10 ipsec-isakmp
Router(config-crypto-map)# set peer 203.0.113.1
Router(config-crypto-map)# set transform-set VPN-SET
Router(config-crypto-map)# match address 101- ESP mit AES-256 und SHA-HMAC für Vertraulichkeit und Integrität
- Transform-Sets klar benennen und dokumentieren
- ACLs definieren, welche Subnets durch den Tunnel geschützt werden
- Redundante Peers für Failover konfigurieren
Perfect Forward Secrecy (PFS)
PFS gewährleistet, dass bei Kompromittierung eines Schlüssels vergangene Kommunikation nicht entschlüsselt werden kann.
Router(config)# crypto map VPN-MAP 10 ipsec-isakmp
Router(config-crypto-map)# set pfs group14- PFS aktivieren für alle Phase-2 SAs
- DH-Gruppen konsistent zwischen beiden VPN-Peers
- Sicherstellen, dass Rekeyings die PFS-Einstellungen respektieren
Dead Peer Detection (DPD)
DPD überprüft regelmäßig die Erreichbarkeit des VPN-Peers und ermöglicht schnelles Umschalten bei Tunnel-Ausfall.
Router(config)# crypto isakmp keepalive 10 3
Router(config)# crypto map VPN-MAP 10 ipsec-isakmp
Router(config-crypto-map)# set peer 203.0.113.1- Intervalle für Keepalive-Pakete definieren (z. B. 10 Sekunden, 3 Fehlversuche)
- DPD aktiviert, um ausgefallene Tunnel schnell zu erkennen
- Fehlerhafte Tunnels automatisch abmelden und Backup-Peer nutzen
Rekey-Strategie
Regelmäßiges Rekeying reduziert die Lebensdauer von SAs und erhöht die Sicherheit.
Router(config)# crypto isakmp policy 10
Router(config-isakmp)# lifetime 86400
Router(config)# crypto ipsec transform-set VPN-SET esp-aes 256 esp-sha-hmac
Router(config)# crypto map VPN-MAP 10 ipsec-isakmp
Router(config-crypto-map)# set security-association lifetime seconds 3600- Phase-1 und Phase-2 Lifetimes so setzen, dass Rekey regelmäßig erfolgt
- Zu kurze Lifetimes können Tunnelinstabilität verursachen
- Zu lange Lifetimes erhöhen das Risiko bei Key-Kompromittierung
- Rekey überwachen und im Monitoring berücksichtigen
Management und Logging
Auch während aktiver VPN-Tunnel müssen Logging und Management-Zugriffe gesichert sein.
Router(config)# logging host 192.168.200.10
Router(config)# logging trap informational
Router(config)# show crypto isakmp sa
Router(config)# show crypto ipsec sa- Syslog an zentrale Server senden
- Überwachung der Tunnel-Status und SA-Lifetimes
- Alerting bei unerwarteten SA-Abbrüchen oder DPD-Events
- Dokumentation für Audits und Incident Response
Best Practices für Site-to-Site VPN-Hardening
- Starke Crypto-Proposals für IKE und IPsec (AES-256, SHA-2, DH Group 14)
- PFS für Phase-2 aktivieren
- DPD und Keepalive konfigurieren
- Rekey-Lifetimes sorgfältig abstimmen
- Redundante Peers für Failover
- Management-Traffic nur über autorisierte IPs zulassen
- ACLs für Tunnel-Subnetze konsequent implementieren
- Monitoring und Logging aktivieren
- Rollback- und Backout-Strategien dokumentieren
- Regelmäßige Tests in Staging-Umgebungen
Zusätzliche Empfehlungen
- Dokumentation aller SA-Parameter und Tunnel-Konfigurationen
- Schulung von Administratoren zu VPN-Hardening
- Simulation von Peer-Ausfall und Rekey-Szenarien
- Integration in Change Management und Security-Operations
- Regelmäßige Updates von IOS/IOS-XE Versionen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.