IPSec Kryptographie anpassen (Windows 10)

Hier ein kurzer Beitrag für IPSec unter Windows. Das ganze bezieht sich auf den VPN Manager, ich kann nicht garantieren, dass die Kommandos 1:1 funktionieren, wenn die IPSec-Verbindung nicht über den Manager hergestellt wird.

Per Standard nutzt Windows schwache Hashalgorithmen im Schnellmodus. Das kann man über "Windows Defender mit erweiterter Sicherheit" -> "Überwachung" -> "Sicherheitszuordnungen" -> "Schnellmodus" nachgesehen werden.


Das ganze kann man leider nicht über den VPN-Manager oder über die Windows GUI ändern. Man kann es abändern, das ist aber etwas versteckt. Das ganze geht wie folgt:
  1. VPN-Verbindung trennen
  2. Warten, bis das IPSec-Profil "Perfect Privacy VPN" gelöscht wurde


  3. Powershell als Administrator ausführen und folgenden Befehl reinkopieren (nicht enter drücken):
    Code:
    Set-VpnConnectionIPsecConfiguration -ConnectionName "Perfect Privacy VPN" -EncryptionMethod GCMAES256 -DHGroup Group24 -IntegrityCheckMethod SHA384 -PfsGroup PFS24 -AuthenticationTransformConstants GCMAES256 -CipherTransformConstants GCMAES256


  4. Im VPN-Manager auf Verbinden klicken und sofort danach in Powershell doppelt enter drücken (Es kommt eine Rückfrage, ob die Einstellungen wirklich übernommen werden sollen
Wenn alles geklappt hat, steht jetzt in der Defender-Überwachung folgendes:


Detaillierte Berichte über die IPSec-Verbindung können über Powershell abgerufen werden:
  • Code:
    Get-NetIPsecMainModeSA
    gibt Informationen über den initialen Schlüsselaustausch aus


  • Code:
    Get-NetIPsecQuickModeSA
    gibt Informationen über den Schnellmodus aus
Getestet wurden diese Kommandos unter Windows 10, ich garantiere nicht, dass das alles auch unter älteren Windows-Versionen funktioniert.

Achtung: Das hält nur so lange, wie das VPN Profil existiert. Sollte das VPN Profil gelöscht und wieder neu erzeugt werden (macht der VPN-Manager bei jedem Trennen durch den Nutzer), so ist alles wieder beim alten und die Prozedur beginnt von vorne. Übrigens hat das Ändern dieser Einstellung bei mir und Freunden bewirkt, dass IPSec-Verbindungen NICHT mehr nach 7,5 Stunden abschmieren. Ich weiß zwar nicht, inwiefern das etwas an der Verbindungsstabilität ändert, aber somit kratzt die Verbindung einfach nicht mehr ab.

Ich hoffe natürlich, dass der PP VPN-Manager das bald selbstständig einstellt, sodass der Nutzer hier nichts mehr machen muss.
 
Last edited:
Als Standard nutzt Windows für den Schlüsselaustausch die Diffie-Hellman-Group 2. Besonders sicher ist das nicht, daher wär es echt cool, wenn das in den PP-Manager eingebaut werden würde, sodass der Nutzer das nicht mehr selbst ändern muss.
 
Top