Cookie-Challenge

IKEv2 bietet mit der Cookie Notification ein Challenge-Response-Verfahren, welches der IKEv2-Responder anstoßen kann, wenn auf diesem zu viele halboffene IKEv2-Verbindungen vorhanden sind. Dies dient dazu, DDoS-Angriffe auf den Responder zu erschweren.

Die Cookie Notification wurde zur Verbesserung der Kompatibilität mit VPN-fähigen Geräten anderer Hersteller implementiert und muss immer bei beiden VPN-Teilnehmern aktiviert sein, damit eine VPN-Verbindung zustande kommt.

Die IKEv2 Cookie Notification verhindert den massiven Aufbau von halboffenen VPN-Verbindungen und den damit verbundenen Angriff auf Ressourcen des VPN-Gateways (DDOS). Mit aktivierter Cookie Notification reagiert dieser auf eingehende VPN-Verbindungen erst, wenn die Gegenseite nach Überprüfung erreicht werden kann.

Das Aktivieren der IKEv2 Cookie Challenge verlängert den VPN-Verbindungsaufbau um zwei zusätzliche IKE-Nachrichten.

Der Schalter aktiviert die Cookie Challenge auf der Responder bzw. Gateway-Seite.

Auf der Initiator-Seite wird die Cookie Challenge automatisch gemacht, falls die Gegenseite dies anfordert. Der Schalter hat auf der Initiator-Seite bzw. Client-Seite keine Wirkung.

Bitte beachten Sie, dass sowohl Initiator als auch Responder das Feature Cookie Challenge unterstützen müssen. Unterstützt die aufbauende Gegenseite keine Cookie Challenge, so kann der VPN-Tunnel nicht aufgebaut werden. LANCOM VPN-Router müssen auf beiden Seiten mindestens LCOS 10.30 besitzen.

SNMP-ID:
2.19.36.12 
Pfad Konsole:
Setup > VPN > IKEv2
Mögliche Werte:
aus
immer
Default-Wert:
aus

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo