Siemens SIMATIC NET RUGGEDCOM RX5000 Konfigurationshandbuch Seite 706

Bei dieser Verschlüsselungsart konfiguriert jeder Router seine VPN-Verbindung so,
dass er einen geheimen, vorher vereinbarten Schlüssel verwendet. Informationen
zum Konfigurieren von vorher vereinbarten Schlüsseln finden Sie unter
vereinbarte (pre-shared) Schlüssel verwalten (Seite
11.8.1.4 X.509-Zertifikate
Neben vorher vereinbarten Schlüsseln verwendet IPsec auch Zertifikate, um die
Verbindungen mit Hosts und Routern zu authentifizieren. Bei den Zertifikaten
handelt es sich um digitale Signaturen, die von einer vertrauenswürdigen Quelle,
d. h. einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt werden, Die
CA erstellt für jeden Host ein Zertifikat, das Angaben zu CA und Host enthält. Das
Zertifikat wird "signiert", indem ein Digest aller Felder im Zertifikat erstellt und
anschließend der Hash-Wert mit dessen privaten Schlüssel verschlüsselt wird. Das
Zertifikat des Hosts und der öffentliche Schlüssel der CA werden auf allen Gateways
installiert, mit denen der Host verbunden ist.
Wenn das Gateway einen Verbindungsaufforderung empfängt, entschlüsselt
es mithilfe des öffentlichen Schlüssels der CA die Signatur zurück in das Digest.
Daraufhin berechnet es das eigene Digest aus dem Klartext im Zertifikat neu und
vergleicht die zwei. Wenn beide Digests übereinstimmen, ist die Integrität des
Zertifikats bestätigt (es wurde nicht manipuliert), und der öffentliche Schlüssel
im Zertifikat wird als gültiger öffentlicher Schlüssel des verbindenden Hosts
angenommen.
11.8.1.5 NAT Traversal
IPsec hatte früher Probleme, wenn Verbindungen eine Firewall mit Network Address
Translation (NAT) passieren mussten. Der in IPsec verwendete Internet Key Exchange
(IKE) ist nicht NAT-fähig. Wenn IPsec-Verbindungen eine Firewall passieren müssen,
müssen IKE-Meldungen und IPsec-geschützte Pakete als UDP-(User Datagram
Protocol)-Meldungen gekapselt werden. Durch die Kapselung kann das unübersetzte
Originalpaket von IPsec untersucht werden.
Die Kapselung wird während der Konfiguration von IPsec aktiviert. Weitere
Informationen finden Sie unter
11.8.1.6 Unterstützung eines entfernten IPsec-Clients
Soll der Router einen entfernten IPsec-Client unterstützen und dem Client wird eine
Adresse in einem Subnetz einer lokalen Schnittstelle zugewiesen, muss ein Proxy-
ARP für diese Schnittstelle aktiviert werden. Der Router kann dann im Namen des
Client auf ARP-Anforderungen antworten und dem Client den Verkehr über seine
Verbindung leiten.
IPsec verwendet die folgenden Protokolle und Ports:
•
RUGGEDCOM ROX II v2.15 Weboberfläche
Konfigurationshandbuch, 05/2022, C79000-G8900-1534-02
protocol 51, IPSEC-AH Authentication Header (RFC2402)
11.8.1 IPsec-Tunneling-Konzepte
665)".
"Konfigurieren von IPsec-Tunneln (Seite
Tunnel und VPNs
"Vorher
662)".
661