- Erste Schritte
- Datensicherheit und Compliance
- Organisationen
- Authentifizierung und Sicherheit
- Lizenzierung
- Über die Lizenzierung
- Einheitliche Preise: Lizenzierungsplan-Framework
- Aktivieren Ihrer Enterprise-Lizenz
- Migrieren von Test Suite zu Test Cloud
- Lizenzmigration
- Zuweisen von Lizenzen zu Mandanten
- Zuweisen von Benutzerlizenzen
- Freigegeben von Benutzerlizenzen
- Überwachung der Lizenzzuweisung
- Lizenzüberzuweisung
- Lizenzierungsbenachrichtigungen
- Benutzerlizenzverwaltung
- Mandanten und Dienste
- Konten und Rollen
- AI Trust Layer
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Tests in Ihrer Organisation
- Fehlersuche und ‑behebung
- Migration zur Test Cloud
Test Cloud-Administratorhandbuch
Standardmäßige IPsec-/IKE-Richtlinie
UiPath VPN-Gateways werden mit einer standardmäßigen IPsec/IKE-Richtlinie erstellt, die für maximale Interoperabilität mit einer Vielzahl von lokalen VPN-Geräten entwickelt wurde. Die Informationen in diesem Abschnitt basieren auf den Standardrichtlinien des Azure VPN Gateways.
In den meisten Szenarien ist keine benutzerdefinierte IPsec-/IKE-Richtlinie erforderlich. Sie sollten eine benutzerdefinierte Richtlinie nur konfigurieren, wenn Ihr lokales VPN-Gerät strenge kryptografische Anforderungen erzwingt oder einen Abschnitt mit der Standardrichtlinie nicht erfolgreich aushandeln kann.
In diesem Abschnitt verwendete Terminologie
In diesem Abschnitt wird die folgende Terminologie verwendet:
- SA: Sicherheitszuordnung
- IKE-Phase 1: Hauptmodus
- IKE-Phase 2: Schnellmodus
IKE-Phase 1 – Standardparameter
In IKE-Phase 1 wird der sichere Kontrollkanal festgelegt, der zur Authentifizierung von Peers und zum Schutz des Aushandlungsdatenverkehrs verwendet wird.
Tabelle 1. Standardeigenschaften für Phase 1
| Eigenschaften | Wert |
|---|---|
| IKE-Version | IKEv1 und IKEv2 |
| Diffe-Hellman-Gruppe | Gruppe 2 (1024-Bit) |
| Authentifizierungsmethode | Vorab freigegebener Schlüssel |
| SA-Lebensdauer | 28.800 Sekunden |
| Anzahl der SAs im Schnellmodus | 100 |
UiPath VPN-Gateways unterstützen die folgenden Verschlüsselungs- und Integritätskombinationen als Teil der Standardrichtlinie:
- AES256, SHA1
- AES256, SHA256
- AES128, SHA1
- AES128, SHA256
- 3DES, SHA1
- 3DES, SHA256
Während der Aushandlung wählt das Gateway automatisch die stärkste, sich gegenseitig unterstützende Kombination zwischen UiPath und dem lokalen VPN-Gerät aus.
IKE-Phase 2: Standardparameter
In IKE-Phase 2 werden die Datenpipelines festgelegt, die für den Anwendungsdatenverkehr verwendet werden.
Tabelle 2. Standardeigenschaften für Phase 2
| Eigenschaften | Wert |
|---|---|
| IKE-Version | IKEv1 und IKEv2 |
| SA-Lebensdauer (Zeit) | 27.000 Sekunden |
| SA-Lebensdauer (Bytes) | 102.400.000 KB |
| Dead-Peer-Erkennung (DPD) | Wird unterstützt |
Die Standardrichtlinie unterstützt mehrere Verschlüsselungs-, Integritäts- und PFS-Kombinationen. Die Kombination, die letztlich verwendet wird, hängt davon ab, ob das UiPath VPN-Gateway als Initiator oder Beantworter während der Aushandlung von Phase 2 fungiert.
Dieses Verhalten wird bei IPsec-Implementierungen erwartet und verbessert die Kompatibilität mit einer Vielzahl von VPN-Geräten.
UiPath Gateway als Initiator
Wenn das UiPath VPN-Gateway eine Aushandlung von Phase 2 initiiert, unterstützt es die folgenden Kombinationen:
| Verschlüsselung | Authentication | PFS-Gruppe |
|---|---|---|
| GCM AES256 | GCM (AES256) | Keine |
| AES 256 | SHA1 | Keine |
| 3DE | SHA1 | Keine |
| AES 256 | SHA256 | Keine |
| AES 128 | SHA1 | Keine |
| 3DE | SHA256 | Keine |
UiPath Gateway als Beantworter (vollständig unterstützter Satz)
Wenn das UiPath VPN-Gateway als Beantworter fungiert, unterstützt es eine größere Anzahl an Kombinationen, um die Interoperabilität zu maximieren:
| Verschlüsselung | Authentication | PFS-Gruppe |
|---|---|---|
| GCM AES256 | GCM (AES256) | Keine |
| AES 256 | SHA1 | Keine |
| 3DE | SHA1 | Keine |
| AES 256 | SHA256 | Keine |
| AES 128 | SHA1 | Keine |
| 3DE | SHA256 | Keine |
| DES | SHA1 | Keine |
| AES 256 | SHA1 | 1 |
| AES 256 | SHA1 | 2 |
| AES 256 | SHA1 | 14 |
| AES 128 | SHA1 | 1 |
| AES 128 | SHA1 | 2 |
| AES 128 | SHA1 | 14 |
| 3DE | SHA1 | 1 |
| 3DE | SHA1 | 2 |
| 3DE | SHA256 | 2 |
| AES 256 | SHA256 | 1 |
| AES 256 | SHA256 | 2 |
| AES 256 | SHA256 | 14 |
| AES 256 | SHA1 | 24 |
| AES 256 | SHA256 | 24 |
| AES 128 | SHA256 | Keine |
| AES 128 | SHA256 | 1 |
| AES 128 | SHA256 | 2 |
| AES 128 | SHA256 | 14 |
| 3DE | SHA1 | 14 |
Diese umfassende Unterstützung für Beantworter ermöglicht es dem UiPath VPN-Gateway, mit älteren VPN-Geräten, strengen Enterprise-Firewalls und Geräten zu interagieren, die bestimmte PFS-Gruppenanforderungen erzwingen.
Häufiges Missverständnis
Die Standardrichtlinie verwendet eine schwache Verschlüsselung.
Das ist falsch. Die Standardrichtlinie unterstützt mehrere kryptografische Algorithmen, erzwingt jedoch nicht die schwächste Option. Bei der Aushandlung wird immer die stärkste, gegenseitig unterstützte Kombination ausgewählt.
Schlüssel zum Mitnehmen
Die standardmäßige IPsec-/IKE-Richtlinie ist in erster Linie für die Kompatibilität konzipiert und sollte nach Möglichkeit verwendet werden. Definieren Sie eine benutzerdefinierte Richtlinie nur, wenn eine klare technische oder Compliance-Anforderung besteht.