Siemens SCALANCE S615 Projektierungshandbuch Seite 51

Zum Absichern verwendet das IPsec-Verfahren verschiedene Protokolle:
• Der IP-Authentication-Header (AH) wickelt die Authentifizierung und Identifizierung der
Quelle ab.
• Die Encapsulation Security Payload (ESP) verschlüsselt die Daten.
• Die Security Association (SA) enthält die Festlegungen, die zwischen den Partner
ausgehandelt wurden, z. B. über die Lebensdauer des Schlüssels, den
Verschlüsselungsalgorithmus, den Zeitraum für eine neue Authentifizierung etc.
• Das Internet Key Exchange (IKE) ist ein Schlüsselaustauschverfahren. Der
Schlüsselaustausch erfolgt in zwei Phasen:
– Phase 1
– Phase 2
Authentifizierungsverfahren
• CA-Zertifikat, Geräte- und Gegenstellenzertifikat (digitale Signaturen)
Die Verwendung von Zertifikaten ist ein asymmetrisches Kryptosystem, wobei jeder
Teilnehmer (Gerät) über ein Schlüsselpaar verfügt. Jeder Teilnehmer besitzt einen
geheimen, privaten Schlüssel und einen öffentlichen Schlüssel der Gegenstelle. Der
private Schlüssel ermöglicht es, sich zu authentifizieren und digitale Signaturen zu
erzeugen.
• Preshared Key
Die Verwendung eines Preshared Key ist ein symmetrisches Kryptosystem. Jeder
Teilnehmer besitzt nur einen geheimen Schlüssel für die Ent- und Verschlüsselung von
Datenpaketen. Die Authentifizierung erfolgt über ein gemeinsames Passwort.
Lokale-ID und Remote-ID
Die Lokale-ID und die Remote-ID werden vom IPsec genutzt, um beim Aufbau der VPN-
Verbindung die Gegenstellen (VPN-Endpunkt) eindeutig zu identifizieren.
SCALANCE S615 Web Based Management
Projektierungshandbuch, 07/2020, C79000-G8900-C388-09
In dieser Phase sind noch keine Sicherheitsdienste wie Verschlüsselung,
Authentifizierung und Integritätsprüfung verfügbar, da die notwendigen Schlüssel und
die IPsec-SA noch nicht erstellt wurden. Phase 1 dient zum Aufbau eines sicheren VPN-
Tunnels für Phase 2. Dafür verhandeln die Kommunikationspartner eine ISAKMP
Security Association (ISAKMP-SA), welche die notwendigen Sicherheitsdienste
(verwendete Algorithmen, Authentifizierungsmethoden) definiert. Damit werden die
weiteren Nachrichten und Phase 2 abgesichert.
Phase 2 dient zur Aushandlung der benötigten IPsec-SA. Ähnlich wie bei Phase 1 wird
durch das wechselseitige Anbieten eine Einigung über die
Authentifizierungsmethoden, die Algorithmen und die Verschlüsselungsverfahren
getroffen, um die IP-Pakete mit IPsec-AH und IPsec-ESP zu schützen.
Geschützt wird der Nachrichtenaustausch über die ISAKMP-SA, die in Phase 1
vereinbart wurde. Durch die in Phase 1 ausgehandelte ISAKMP-SA ist die Identität der
Teilnehmer sowie das Verfahren zur Integritätsprüfung bereits gegeben.
Technische Grundlagen
3.5 Security-Funktionen
51