- Erste Schritte
- Datensicherheit und Compliance
- Organisationen
- Authentifizierung und Sicherheit
- Lizenzierung
- Über die Lizenzierung
- Einheitliche Preise: Lizenzierungsplan-Framework
- Aktivieren Ihrer Enterprise-Lizenz
- Migrieren von Test Suite zu Test Cloud
- Lizenzmigration
- Zuweisen von Lizenzen zu Mandanten
- Zuweisen von Benutzerlizenzen
- Freigegeben von Benutzerlizenzen
- Überwachung der Lizenzzuweisung
- Lizenzüberzuweisung
- Lizenzierungsbenachrichtigungen
- Benutzerlizenzverwaltung
- Mandanten und Dienste
- Konten und Rollen
- AI Trust Layer
- Externe Anwendungen
- Benachrichtigungen
- Protokollierung
- Tests in Ihrer Organisation
- Fehlersuche und ‑behebung
- Migration zur Test Cloud
Test Cloud-Administratorhandbuch
Konfiguration der IPsec- und IKE-Richtlinie
Die IPsec/IKE-Richtlinie definiert, wie der VPN-Tunnel gesichert wird. Beide Seiten, das UiPath-Gateway und Ihr lokales VPN-Gerät, müssen kompatible Einstellungen verwenden, oder der Kanal kann keinen Datenverkehr herstellen oder übertragen.
In diesem Abschnitt wird erläutert, was die Einstellungen bedeuten, wie UiPath-Optionen der gängigen Firewall-Terminologie zugeordnet sind und die häufigsten Fehlkonfigurationen auftreten.
Überblick
Ein Site-to-Site-VPN hat zwei Aushandlungsphasen:
- IKE-Phase 1
- Richtet einen sicheren Kontrollkanal ein.
- Wird verwendet, um Peers zu authentifizieren und den Verhandlungsdatenverkehr zu schützen.
- IKE-Phase 2 (IPsec/Schnellmodus)
- Richtet Datenexports ein.
- Wird für tatsächlichen Anwendungsdatenverkehr verwendet.
Beide Phasen müssen kompatibel sein, damit das VPN funktioniert.
Wann benötigen Sie eine benutzerdefinierte IPsec/IKE-Richtlinie?
UiPath Gateways werden mit einer sicheren Standardrichtlinie erstellt, die mit den meisten modernen VPN-Geräten funktioniert.
Sie müssen eine benutzerdefinierte Richtlinie nur konfigurieren, wenn:
- Ihr lokales Gerät hat strenge Verschlüsselungsanforderungen.
- Sie müssen interne oder behördliche Standards einhalten.
- Sie stimmen mit einer vorhandenen Firewallkonfiguration überein.
Wenn Ihr VPN ohne eine benutzerdefinierte Richtlinie funktioniert, ändern Sie sie nicht.
IKE-Phase 1 (Kontrollkanal)
Die Einstellungen der Phase 1 in UiPath steuern, wie der Aushandlungskanal geschützt wird.
| Einstellung | Beschreibung |
|---|---|
| Verschlüsselung | So wird der Kontrolldatenverkehr verschlüsselt. |
| Integrität | So wird die Datenverkehrsintegrität überprüft. |
| DH-Gruppe | So werden Schlüssel ausgetauscht. |
Unterstützte Optionen für Phase 1:
- Verschlüsselung
- AES128, AES192, AES256
- GCMAES128, GCMAES256
- Integrität
- SHA1, SHA256, SHA384
- MD5
- HD-Gruppen
- FHGruppe1
- FHGruppe2
- FHGruppe14
- FHGruppe 2048
- HDgruppe24
- ECP256
- ECP384
- Keine
Auf Firewall-UIs werden diese oft als IKE-Vorgang oder Phase 1 Vorschlag beschriftet.
IKE-Phase 2 (IPsec/Schnellmodus)
Parameter der Phase 2 steuern, wie der Anwendungsdatenverkehr geschützt wird.
| Einstellung | Beschreibung |
|---|---|
| IPsec-Verschlüsselung | Datenverschlüsselung |
| IPsec-Integrität | Datenintegrität |
| PFS-Gruppe | perfekte Weiterleitungsgeheimnis |
| SA-Lebensdauer | Schwellenwerte für die erneute Schlüsselung |
Unterstützte Optionen für Phase 2:
- IPsec-Verschlüsselung
- Keine
- AES128, AES192, AES256
- DES, DES3
- GCMAES128, GCMAES192, GCMAES256
- IPsec-Integrität
- SHA1, SHA256
- MD5
- GCMAES128, GCMAES192, GCMAES256
- PFS-Gruppen
- PFS1
- PFS2
- PFS2048
- PFS24
- ECP256
- ECP384
- Keine
Grundlegendes zum Understanding PFS
Auf vielen lokalen Geräten ist PFS ein Kontrollkästchen, das mit einer MH-Gruppenauswahl kombiniert wird. In UiPath wählen Sie die PFS-Gruppe direkt aus.
In der folgenden Tabelle finden Sie eine konzeptionelle Zuordnung.
| Lokales Gerät | UiPath |
|---|---|
| PFS deaktiviert | PFS-Gruppe = None |
| PFS aktiviert mit gemäß HD-Gruppe 2 | PFS2 |
| PFS aktiviert mit gemäß soh-Gruppe 14 | PFS2048 |
| PFS aktiviert mit HD-Gruppe 24 | PFS24 |
| PFS mit ECHD aktiviert | ECP256/ECP384 |
Ausführliche Zuordnungen finden Sie in der Dokumentation zu Microsoft.
Kritische Regeln und Randfälle
Ein häufiger Fehler ist eine GCMAES-Nichtübereinstimmung.
Wenn Sie GCMAES für die IPsec-Verschlüsselung verwenden, wählen Sie den gleichen GCMAES-Algorithmus und die gleiche Schlüssellänge für die IPsec-Integration aus.
- Gültig:
- Verschlüsselung:
GCMAES128 - Integrität:
GCMAES128
- Verschlüsselung:
- Ungültig:
- Verschlüsselung:
GCMAES128 - Integrität:
SHA256
- Verschlüsselung:
Diese Abweichung verhindert die Einrichtung des Tunnels.
Keine bedeutet standardmäßig nicht unsicher. Phase-2-Integrität = Keine ist nur gültig, wenn GCMAES verwendet wird, da dies einen integrierten Integritätsschutz bietet.
Die Verwendung von „Keine“ mit Nicht-GCM-Verschlüsselung führt zu einem Fehler.
SA-Lebensdauerwerte müssen mit Ihrem lokalen Gerät kompatibel sein. Nicht übereinstimmende Lebensdaueren führen in der Regel zu periodischen Unterbrechungen und nicht zu einem sofortigen Ausfall.
Häufige IPsec/IKE-Fehlkonfigurationen
| Symptome | Wahrscheinliche Ursache |
|---|---|
| Ein Kanal wird nie eingeblendet | Verschlüsselung oder Integrität stimmen nicht überein |
| Kanal mandanten | Abweichung von der SA-Lebensdauer |
| Phase 1 nach oben, Phase 2 nach unten | PFS-Nichtübereinstimmung |
| Funktioniert kurzzeitig und schlägt dann fehl | Nichtübereinstimmung bei erneutem Schlüssel |
| Sieht korrekt aus, schlägt aber fehl | GCMAES-Regel verletzt |
Empfohlener Ansatz
- Beginnen Sie mit der Standardrichtlinie.
- Führen Sie nur bei Bedarf eine benutzerdefinierte Richtlinie ein.
- Stimmen Sie Phase 1 und Phase 2 genau ab.
- Achten Sie besonders auf:
- PFS-Zuordnung
- GCMAES-Regeln
- Ändern Sie jeweils einen Parameter.
Schlüssel zum Mitnehmen
IPsec/IKE-Richtlinien müssen visuell übereinstimmen, nicht nur visuell. Verschiedene Anbieter verwenden unterschiedliche Terminologie für dieselben Verschlüsselungskonzepte. Wenn Sie die Zuordnung verstehen, werden stille Fehler vermieden.