Präsentation über die Funktionsweise der IPSec Standortvernetzung. Enthält Erklärungen zu IPSec, den IKE Phasen und dem Diffie-Hellmann-Schlüsseltausch
6. Stufe 1:
Interessanter Traffic
6
Grundlegende Einstellung eines VPN Tunnels.
Definiert welche Daten verschlüsselt
übertragen werden.
Interessanter Traffic wird anhand der
Zielnetzwerkadresse festgestellt.
Wird interessanter Datenverkehr erzeugt
wird der nächste Schritt initialisiert.
6Montag, 15. Juli 13
7. Stufe 2:
IKE Phase 1
Authentiziert und schützt die Identitäten
der IPSec Gegenstellen.
Handelt eine „passende“ IKE SA aus.
Führt einen Diffie-Hellman Austausch durch
Erstellt einen sicheren Tunnel für die
Aushandlung der Phase 2 Parameter.
7
7Montag, 15. Juli 13
8. Stufe 2.1:
Main Mode
Erster Austausch: Aushandlung der
Algorithmen und Hashverfahren
Zweiter Austausch: Diffie-Hellman Austausch
zur Generierung von Schlüsselmaterial.
Überprüfung der Gegenseite.
8
8Montag, 15. Juli 13
9. Stufe 2.2:
Aggressive Mode
Weniger Datenaustausch als Main Mode
Fast alle Daten im initialen Paket
Initiator muss Verbindung nur noch bestätigen
Daten werden übertragen bevor ein sicherer
Kanal erstellt wurde.
Die Aushandlung der Parameter kann also
mitgelesen werden.
9
9Montag, 15. Juli 13
11. Stufe 3:
IKE Phase 2
11
Aushandlung IPSec Parameter über
bestehende IKE SA.
Herstellung der IPSec SA
Periodische Neuaushandlung der IPSec SA
Optionaler Diffie-Hellman Schlüsseltausch
11Montag, 15. Juli 13
12. Stufe 3.1:
Quick Mode
Startet, nachdem durch IKE einen sicheren
Tunnel in Phase 1 ausgehandelt hat.
Handelt Parameter für den IPSec Tunnel aus.
Austausch von Zufallswerten um Replay-
Angriffen zu verhindern.
Wiederaushandlung der SA wenn die
Lebenszeit abläuft.
12
12Montag, 15. Juli 13
13. Stufe 3.2:
Perfect Forward Secrecy
Diffie-Hellman Austausch bei jedem
Quickmode.
Erzeugt Schlüsselmaterial mit größerer
Entropie.
Erhöhte CPU Nutzung
Gesenkte Performance (Längerer
Schlüsselaustausch)
13
13Montag, 15. Juli 13
14. Stufe 4:
IPSec Tunnel
Nach IKE Phase 2 und
Nach Herstellung der IPSec SA durch
Quickmode
Daten werden von den Gateways mit den
ausgehandelten Daten ver- und entschlüsselt.
14
14Montag, 15. Juli 13
15. Stufe 5:
Tunnelende
Tunnel werden durch Timeout oder Löschen der SA
beendet.
Timeouts treten nach einer definierten Zeit oder nach
dem Übertragen einer definierten Datenmenge auf.
Schlüssel werden verworfen.
Beim Wiederaufbau werden nach Bedarf eine neue
Phase 2 bzw. Phase 1 durchgeführt.
Neue SAs können vor Ablauf der bestehenden
aufgebaut werden.
15
15Montag, 15. Juli 13