- Erste Schritte
- Datensicherheit und Compliance
- Organisationen
- Authentifizierung und Sicherheit
- Lizenzierung
- Über die Lizenzierung
- Einheitliche Preise: Lizenzierungsplan-Framework
- Aktivieren Ihrer Enterprise-Lizenz
- Migrieren von Test Suite zu Test Cloud
- Lizenzmigration
- Zuweisen von Lizenzen zu Mandanten
- Zuweisen von Benutzerlizenzen
- Freigegeben von Benutzerlizenzen
- Überwachung der Lizenzzuweisung
- Lizenzüberzuweisung
- Lizenzierungsbenachrichtigungen
- Benutzerlizenzverwaltung
- Mandanten und Dienste
- Konten und Rollen
- AI Trust Layer
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Tests in Ihrer Organisation
- Fehlersuche und ‑behebung
- Migration zur Test Cloud
Test Cloud-Administratorhandbuch
Allgemeine VPN-Anbieterzuordnung (UiPath IPsec/IKE)
Dieser Abschnitt hilft dabei, die Terminologie für lokale VPN-Geräte den IPsec/IKE-Einstellungen zuzuordnen, die von UiPath VPN-Gateways verwendet werden.
Verschiedene Anbieter verwenden unterschiedliche Namen für dieselben kryptografischen Konzepte.
UiPath verwendet die Standard-IPsec- und IKE-Terminologie, die möglicherweise ungerade erscheint, wenn Sie an Firewall-spezifische Konfigurationsbildschirme vertraut sind.
Allgemeine Zuordnungsprinzipien
Bevor Sie anbieterspezifische Beispiele überprüfen, beachten Sie die folgenden allgemeinen Grundsätze:
- IKE-Phase 1 wird allgemein als IKE-Vorgang, Phase 1-Vorgang oder IKE-Richtlinie auf Firewall-Geräten bezeichnet.
- IKE-Phase 2 wird allgemein als IPsec-Vorschlag, Schnellmodus oder Phase-2-Richtlinie bezeichnet.
- perfekte Forward Secretcy (PFS) wird auf Firewalls oft als Kontrollkästchen in Kombination mit einer Diffe-Hellman-Gruppe implementiert. In UiPath aktiviert die Auswahl einer PFS-Gruppe implizit PFS.
FortiClient (Fortinet)
Tabelle 1. Phase 1 (IKE)
| FortiGate | UiPath |
|---|---|
| IKE-Version | IKEv1 oder IKEv2 |
| Verschlüsselung | AES128, AES256 |
| Authentication | SHA1, SHA256 |
| DH-Gruppe | uipathGroup2, MHGroup14, MHGroup24 |
| Authentifizierungsmethode | Vorab freigegebener Schlüssel |
Beispiel (gängige FortiGate-Konfiguration):
- Verschlüsselung: AES256
- Authentifizierung: SHA256
- DH-Gruppe: 14
Äquivalente UiPath-Konfiguration von Phase 1:
- Verschlüsselung: AES256
- Integrität: SHA256
- HD-Gruppe: MHGroup14
Tabelle 2. Phase 2 (IPsec)
| FortiGate | UiPath |
|---|---|
| Verschlüsselung | AES128, AES256, GCM AES |
| Authentication | SHA1, SHA256, GCM |
| Aktivieren Sie PFS | Wählen Sie die PFS-Gruppe aus |
| PFS-Gruppe | PFS14, PFS2048, ECP256 |
Wenn FortiGate GCM verwendet, muss UiPath übereinstimmende GCM-Einstellungen sowohl für die Verschlüsselung als auch für die Integrität verwenden (z. B. GCMAES256 für beides).
Palo Alto-Netzwerke (PAN-OS)
Tabelle 3. Phase 1 (IKE-Kryptoprofil)
| Palo Alto | UiPath |
|---|---|
| Verschlüsselung | AES128, AES256 |
| Authentication | SHA1, SHA256 |
| DH-Gruppe | Gruppe2, Gruppe14, Gruppe20 |
| Authentifizierungsmethode | Vorab freigegebener Schlüssel |
HD-Gruppenzuordnung:
- Gruppe14 → HD Gruppe14
- Gruppe20 → ECP384
Tabelle 4. Phase 2 (IPsec-Verschlüsselungsprofil)
| Palo Alto | UiPath |
|---|---|
| Verschlüsselung | AES128, AES256, AES-GCM |
| Authentication | SHA1, SHA256, Keine (GCM) |
| Aktivieren Sie PFS | Wählen Sie die PFS-Gruppe aus |
| DH-Gruppe | PFS2, PFS14, PFS2048 |
Häufiger Fehler in Palo Alto
Die Verwendung von AES-GCM mit SHA256-Integrität ist ungültig. Verwenden Sie stattdessen die folgende korrekte Konfiguration:
- Verschlüsselung: GCMAES256
- Integrität: GCMAES256
Cisco ASA/Firewall
Tabelle 5. Phase 1 (IKE-Richtlinie)
| Cisco | UiPath |
|---|---|
| Verschlüsselung | AES, 3DES |
| Hash | SHA, SHA256 |
| DH-Gruppe | 2, 14, 24 |
| Authentication | Vorab freigegebener Schlüssel |
Beispielkonfiguration für Cisco:
- Verschlüsselung: AES-256
- Hash: SHA256
- Gruppe: 14
Äquivalente UiPath-Konfiguration von Phase 1:
- Verschlüsselung: AES256
- Integrität: SHA256
- HD-Gruppe: MHGroup14
Tabelle 6 Phase 2 (Transformationssatz)
| Cisco | UiPath |
|---|---|
| Verschlüsselung | esp-aes, esp-gcm |
| Authentication | esp-sha-hmac, keine |
| PFS | group2, Gruppe14 |
Cisco GCM-Beispiel: Ess-GCM 256
Äquivalente UiPath-Konfiguration
- Verschlüsselung: GCMAES256
- Integrität: GCMAES256
- PFS: Keine (es sei denn, sie wurde explizit aktiviert)
Prüfpunkt
Tabelle 7. Phase 1
| Prüfpunkt | UiPath |
|---|---|
| Verschlüsselung | AES128, AES256 |
| Integrität | SHA1, SHA256 |
| DH-Gruppe | Gruppe 2, Gruppe 14 |
Tabelle 8. Phase 2
| Prüfpunkt | UiPath |
|---|---|
| Verschlüsselung | AES, AES-GCM |
| Integrität | SHA, SHA256, Keine |
| PFS | Aktiviert + HD-Gruppe |
- Wenn PFS aktiviert ist, wählen Sie die entsprechende PFS-Gruppe in UiPath aus.
- Bei Verwendung von GCM müssen Verschlüsselung und Integrität übereinstimmende GCM-Algorithmen verwenden.
Kurzreferenz: PFS- und KI-Gruppenzuordnung
Tabelle 9. Kurzreferenz
| Firewall-Terminologie | UiPath |
|---|---|
| DH-Gruppe 1 | PFS1 |
| DH-Gruppe 2 | PFS2 |
| DH-Gruppe 14 | PFS2048 |
| DH-Gruppe 24 | PFS24 |
| ECHD-Gruppe 19 | ECP256 |
| ECHD-Gruppe 20 | ECP384 |
Wenn Sie sich unsicher sind
Wenn Sie nicht sicher sind, wie Sie Ihre Firewallkonfiguration den UiPath-Einstellungen zuordnen können:
- Beginnen Sie mit der standardmäßigen UiPath IPsec/IKE-Richtlinie.
- Stellen Sie sicher, dass der VPN-Tunnel erfolgreich hergestellt wird.
- Führen Sie nur bei Bedarf eine benutzerdefinierte Richtlinie ein.
- Ändern Sie jeweils einen Parameter.
Schlüssel zum Mitnehmen
Die meisten VPN-Ausfälle werden nicht durch falsche kryptografische Algorithmen verursacht, sondern durch nicht übereinstimmende Terminologie zwischen Anbietern. Dieser Abschnitt soll diese Lücke schließen und die Konfiguration auf gängigen VPN-Plattformen vereinfachen.