IPSec Kryptographie anpassen (Windows 10)

F

Florian2833z

Hier ein kurzer Beitrag für IPSec unter Windows. Das ganze bezieht sich auf den VPN Manager, ich kann nicht garantieren, dass die Kommandos 1:1 funktionieren, wenn die IPSec-Verbindung nicht über den Manager hergestellt wird.

Per Standard nutzt Windows schwache Hashalgorithmen im Schnellmodus. Das kann man über "Windows Defender mit erweiterter Sicherheit" -> "Überwachung" -> "Sicherheitszuordnungen" -> "Schnellmodus" nachgesehen werden.
lKJpfCa.png


Das ganze kann man leider nicht über den VPN-Manager oder über die Windows GUI ändern. Man kann es abändern, das ist aber etwas versteckt. Das ganze geht wie folgt:
  1. VPN-Verbindung trennen
  2. Warten, bis das IPSec-Profil "Perfect Privacy VPN" gelöscht wurde
    EzzW7DR.png


  3. Powershell als Administrator ausführen und folgenden Befehl reinkopieren (nicht enter drücken):
    Code:
    Set-VpnConnectionIPsecConfiguration -ConnectionName "Perfect Privacy VPN" -EncryptionMethod GCMAES256 -DHGroup Group24 -IntegrityCheckMethod SHA384 -PfsGroup PFS24 -AuthenticationTransformConstants GCMAES256 -CipherTransformConstants GCMAES256
    nyIgL4t.png


  4. Im VPN-Manager auf Verbinden klicken und sofort danach in Powershell doppelt enter drücken (Es kommt eine Rückfrage, ob die Einstellungen wirklich übernommen werden sollen
    m953EEK.png
Wenn alles geklappt hat, steht jetzt in der Defender-Überwachung folgendes:
kPqztas.png


Detaillierte Berichte über die IPSec-Verbindung können über Powershell abgerufen werden:
  • Code:
    Get-NetIPsecMainModeSA
    gibt Informationen über den initialen Schlüsselaustausch aus
    Z4JTsk6.png


  • Code:
    Get-NetIPsecQuickModeSA
    gibt Informationen über den Schnellmodus aus
    GrpQMmM.png
Getestet wurden diese Kommandos unter Windows 10, ich garantiere nicht, dass das alles auch unter älteren Windows-Versionen funktioniert.

Achtung: Das hält nur so lange, wie das VPN Profil existiert. Sollte das VPN Profil gelöscht und wieder neu erzeugt werden (macht der VPN-Manager bei jedem Trennen durch den Nutzer), so ist alles wieder beim alten und die Prozedur beginnt von vorne. Übrigens hat das Ändern dieser Einstellung bei mir und Freunden bewirkt, dass IPSec-Verbindungen NICHT mehr nach 7,5 Stunden abschmieren. Ich weiß zwar nicht, inwiefern das etwas an der Verbindungsstabilität ändert, aber somit kratzt die Verbindung einfach nicht mehr ab.

Ich hoffe natürlich, dass der PP VPN-Manager das bald selbstständig einstellt, sodass der Nutzer hier nichts mehr machen muss.
 
Last edited by a moderator:
F

Florian2833z

Als Standard nutzt Windows für den Schlüsselaustausch die Diffie-Hellman-Group 2. Besonders sicher ist das nicht, daher wär es echt cool, wenn das in den PP-Manager eingebaut werden würde, sodass der Nutzer das nicht mehr selbst ändern muss.
 
Top