Inhaltsverzeichnis
Werbung
bintec elmeg GmbH
im Firmennetz zugreifen. Filialen können ebenfalls über VPN an die Zentrale angebunden werden.
Die Authentifizierung der Verbindungspartner erfolgt über ein Passwort, mithilfe von Preshared Keys
oder über Zertifikate. Zur Verschlüsselung der Daten werden z. B. AES oder 3DES verwendet.
11.6.1 IPSec
IPSec ermöglicht den Aufbau von gesicherten Verbindungen zwischen zwei Standorten (VPN). Hier-
durch lassen sich sensible Unternehmensdaten auch über ein unsicheres Medium wie z. B. das Internet
übertragen. Die eingesetzten Geräte agieren hierbei als Endpunkte des VPN Tunnels. Bei IPSec han-
delt es sich um eine Reihe von Internet-Engineering-Task-Force-(IETF)-Standards, die Mechanismen
zum Schutz und zur Authentifizierung von IP-Paketen spezifizieren. IPSec bietet Mechanismen, um die
in den IP-Paketen übermittelten Daten zu verschlüsseln und zu entschlüsseln. Darüber hinaus kann die
IPSec Implementierung nahtlos in eine Public-Key-Umgebung (PKI, siehe
griert werden. Die IPSec-Implementierung erreicht dieses Ziel zum einen durch die Benutzung des Au-
thentication-Header-(AH)-Protokolls und des Encapsulated-Security-Payload-(ESP)-Protokolls. Zum an-
deren werden kryptografische Schlüsselverwaltungsmechanismen wie das Internet-
Key-Exchange-(IKE)-Protokoll verwendet.
Zusätzlicher Filter des IPv4-Datenverkehrs
be.IP unterstützt zwei verschiedene Methoden zum Aufbau von IPSec-Verbindungen:
• eine Richtlinien-basierte Methode und
• eine Routing-basierte Methode.
Die Richtlinien-basierte Methode nutzt Filter für den Datenverkehr zur Aushandlung der IPSec-Pha-
se-2-SAs. Damit ist eine sehr "feinkörnige" Filterung der IP-Pakete bis auf Protokoll- und Portebene
möglich.
Die Routing-basierte Methode bietet gegenüber der Richtlinien-basierte Methode verschiedene Vorteile,
wie z. B. NAT/PAT innerhalb eines Tunnels, IPSec in Verbindung mit Routing-Protokollen und Realisie-
rung von VPN-Backup-Szenarien. Bei der Routing-basierten Methode werden zur Aushandlung der IP-
Sec-Phase-2-SAs die konfigurierten oder dynamisch gelernten Routen genutzt. Diese Methode verein-
facht zwar viele Konfigurationen, gleichzeitig kann es aber zu Problemen wegen konkurrierender Routen
oder wegen der "gröberen" Filterung des Datenverkehrs kommen.
Der Parameter Zusätzlicher Filter des IPv4-Datenverkehrs behebt dieses Problem. Sie können "fei-
ner" filtern, d.h. Sie können z. B. die Quell-IP-Adresse oder den Quell-Port angeben.
Passt ein IP-Paket nicht zum definierten Zusätzlicher Filter des IPv4-Datenverkehrs , so wird es ver-
worfen. Erfüllt ein IP-Paket die Anforderungen in einem Zusätzlicher Filter des IPv4-Datenverkehrs ,
so startet die IPSec-Phase-2-Aushandlung und der Datenverkehr wird über den Tunnel übertragen.
11.6.1.1 IPSec-Peers
Als Peer wird ein Endpunkt einer Kommunikation in einem Computernetzwerk bezeichnet. Jeder Peer
bietet dabei seine Dienste an und nutzt die Dienste der anderen Peers.
be.IP smart
Hinweis
Der Parameter Zusätzlicher Filter des IPv4-Datenverkehrs ist ausschließlich für den In-
itiator der IPSec-Verbindung relevant, er gilt nur für ausgehenden Datenverkehr.
Hinweis
Beachten Sie, dass sich die Konfiguration der Phase-2-Richtlinien auf beiden IPSec-Tun-
nel-Endpunkten entsprechen muss.
Zertifikate
auf Seite 40) inte-
11 Internet & Netzwerk
315
Werbung
Inhaltsverzeichnis
