Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 87961 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IKE and IPsec SA lifetime Values

DaveG
According to the help file within the Sophos UTM 220, acceptable values for SA Lifetime are:

IKE
Valid values are between 60 sec and 28800 sec (8 hrs). The default value is 7800 seconds

IPSec
Valid values are between 60 sec and 86400 sec (1 day). The default value is 3600 seconds.

From everything I gathered, the Lifetime for IKE ( Phase 1 ) should ALWAYS be greater than the Lifetime for IPSec.

If that is true, Why does the help file indicate IPSec has a vlaid range to 86400 and IKE a valid range to only 28800 ?

Is it simply the help file is BACKWARDS ?

Other products indicate a preferred value of IKE (Phase1) Lifetime of 86400.

On most of my VPN connections ( more than 100 ) I am using a value of 28800 for Phase1 (IKE) and 86400 for Phase2 ( IPSec).

Apparently I have been doing this wrong.

Phase2 should be less that Phase1 ; so I should flip the values and disregard the help file.

Is Phase1(IKE) of 86400 and Phase2(IPSec) 28800 an ok setting ?
The default of 7800 and 3600 seem to short too me.

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    I think the reason that one usually makes the IKE SA lifetime longer is because rekeying represents a much heavier load than rekeying the IPsec lifetime.

    If rekeying the IKE SAs every 8 hours hasn't put too much of a load on the UTM, then I'd be tempted to leave it there.  Although rekeying the IPsec SA isn't "free" in terms of resource usage, I'd be tempted to specify some number under four hours and closer to one.

    That said, there's a trade-off between performance and security, and you know your requirements better than we can.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    I think the reason that one usually makes the IKE SA lifetime longer is because rekeying represents a much heavier load than rekeying the IPsec lifetime.

    If rekeying the IKE SAs every 8 hours hasn't put too much of a load on the UTM, then I'd be tempted to leave it there.  Although rekeying the IPsec SA isn't "free" in terms of resource usage, I'd be tempted to specify some number under four hours and closer to one.

    That said, there's a trade-off between performance and security, and you know your requirements better than we can.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi Bob - thanks for your input.

    I agree with everything you are saying.

    My confusion is the help file indicates you can only set the IKE SA to a MAXIMUM of 28800 or 8hrs.

    I think it should be 24 hrs or 86400.  But even though you can type that number in the lifetime field is it REALLY set for 24 hours?  Since the help indicates it is NOT valid.

    I have asked this of Sophos support - but have not heard back yet.

    Anyone know how to confirm the rekeying takes place according to what is set in the lifetime field?

    Thanks
Unfiltered HTML