Inhaltsverzeichnis
Werbung
Vigor3100 Serie - Router
3.6.3 IPSec Grundeinstellungen
3.6.3 IPSec Grundeinstellungen
In den IPSec Grundeinstellungen gibt es zwei Konfigurationsbereiche, welche sich auf die
zwei Phasen bei IPSec beziehen:
Phase 1 handelt die Authentizität sowie die Internet-Key-Exchange (IKE) Parameter aus. In
letzteren werden Verbindungseinstellungen wie Verschlüsselung, Diffie-Hellman Parameter,
Hash-Wert und eine Lifetime zum Schutz der IKE Verbindung festgehalten. Die Stelle, von
der aus der Verbindungsaufbau initiiert wird, übermittelt ihre IKE Parameter an den VPN-
Peer. Dieser sucht dann die Übereinstimmungen mit der höchsten Priorität heraus. Es werden
in vier Nachrichten Schlüsselmaterialien ausgetauscht, um am Ende eine symmetrische
Schlüssel-ID zu generieren. Aus dieser wird je ein Schlüssel zur Authentifizierung, für die
anschließende Phase 2 und zur Verschlüsselung der folgenden IKE-Nachrichten abgeleitet. In
den zwei folgenden, nun verschlüsselten, Nachrichten werden mittels Pre-shared Key (PSK)
die VPN-Teilnehmer authentifiziert. Dabei kann der PSK als ein Passwort betrachtet werden,
welches auf beiden Seiten gleich sein muss. Alternativ zum PSK kann auch durch eine digitale
Signatur (X.509) authentifiziert werden. Schlussendlich ist ein sicherer Tunnel für Phase 2
hergestellt.
Phase 2 handelt den symmetrischen Schlüssel sowie die Security Associations (SA) für die
IPSec Verbindung aus. Die SAs beinhalten Sicherheitsmethoden wie Authentication Header
(AH) oder Encapsulating Security Payload (ESP). Haben sich die VPN-Teilnehmer einigen
können, steht der IPSec Tunnel.
Mit AH werden nur Echtheit und Integrität der Daten sichergestellt. Dies wird durch einen
HMAC, welcher auf jedes versendete Paket angewandt wird, realisiert. Ein HMAC wird aus
einer Hash-Funktion abgeleitet und beugt der Manipulation vor. Die Gegenseite ist ebenfalls
in dem Besitz des HMACs und kann die Pakete wieder dekodieren. Im Gegensatz zu AH sorgt
sich ESP auch um die Vertraulichkeit der Verbindung und verschlüsselt die Daten. Auch vor
Manipulationen schützt ESP; allerdings ist der Schutz der Integrität nicht so hoch wie bei AH,
da durch HMAC nicht die IP-Adresse in die Berechnung einfließt. Ein IP-Spoofing kann
dennoch ausgeschlossen werden, da die VPN-Teilnehmer zu diesem Zeitpunkt bereits
authentifiziert wurden.
Symmetrische Schlüssel verleihen AH und ESP ihre kryptografischen Funktionen. Damit
diese nicht bereits im Voraus ausgetauscht werden müssen, handelt das IKE Protokoll den
symmetrischen Schlüssel bereits beim Verbindungsaufbau dynamisch aus.
IPSec verwendet zwei Arten der Kapselung von Datenpakete – den Transport und den Tunnel
Modus. Im Transport Modus werden die Nutzdaten (Payload) durch AH/ESP verschlüsselt,
aber der original IP-Header bleibt erhalten. Daher kann es nur für lokale Pakete verwendet
werden, z.B. L2TP over IPSec. Beim Tunnel Modus kapselt IPSec das komplette Datenpaket
inklusive IP-Header und erzeugt einen neuen IP-Header. Dadurch ist die original IP-Adresse
erst bei der Entschlüsselung auf der Gegenseite wieder sichtbar.
Werden entfernte Subnetze über ein unsicheres öffentliches Netzwerk miteinander gekoppelt,
so sollte auf die Kombination ESP und Tunnel Modus zurückgegriffen werden. AH wird
dagegen für die VPN-Verbindung innerhalb eines privaten lokalen Netzwerks empfohlen.
32
Vigor3100 Serie Benutzerhandbuch
Werbung
Inhaltsverzeichnis
