Mittwoch, 6. Juni 2012


Topthema

Donnerstag, 22. Februar 2007 | Topthema

About Security #94: Virtuelle Private Netze - Beispiel IKEv2

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/034453)
  • Teilen
  • kommentieren
  • empfehlen
  • Bookmark and Share

In dieser und der n�chsten Folge wird der Einsatz von IKEv2 und IPsec an einem Beispiel beschrieben. Um das Ganze abzuk�rzen, erfolgt die Beschreibung zum gr��ten Teil umgangssprachlich und beschr�nkt sich auf die f�r den Betrieb interessanten Punkte.

Die Ausgangslage: Ein System A will zu einem anderen System B eine IPsec-Verbindung aufbauen. Ob dies ein Site-to-Site-, Site-to-End- oder Host-to-Host-VPN werden soll, ist dabei unerheblich: Der prinzipielle Ablauf ist immer gleich.

Schritt 1: IKE_SA_INIT

Der erste Meldungsaustausch dient der Initialisierung der IPsec-Verbindung:

 Initiator Responder
(System A) (System B)

HDR, SAi1, KEi, Ni -->

Der Initiator (System A) listet seine Vorschl�ge f�r die auszuhandelnde IKE_SA in so genannte Proposal Substructures der Security Association Payload auf (zu deren Definition wie auch die aller anderen Payloads siehe RFC 4306). Eine Proposal Substructure gilt immer f�r genau eines der Protokolle AH, ESP oder IKE.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Der Initiator k�nnte f�r IKE z.B. folgende Verfahren in SAi1 vorschlagen, aus denen der Responder die f�r ihn passenden ausw�hlen muss:
AES-128, AES-256, 3DES, SHA1
Au�erdem schickt er seinen �ffentlichen Diffie-Hellman-Wert (siehe About Security #101) KEi und seinen Zufallswert Ni mit.

 <-- HDR, SAr1, KEr, Nr

Der Responder w�hlt aus den Vorschl�gen in SAi1 die f�r ihn passenden Verfahren aus und teilt diese Auswahl dem Initiator in SAr1 mit:
AES256, SHA1
Au�erdem schickt er seinen �ffentlichen Diffie-Hellman-Wert KEr und seinen Zufallswert Nr mit.

Damit haben sich die beiden Systeme darauf festgelegt, die folgenden IKE-Nachrichten mit AES256 zu verschl�sseln und mit SHA1 zu signieren. Auf Grundlage der ausgetauschten �ffentlichen Diffie-Hellman- und der Zufallswerte k�nnen die im Folgenden ben�tigten Schl�ssel berechnet werden.

Schritt 2: IKE_AUTH

Im zweiten Meldungsaustausch m�ssen sich die Kommunikationspartner authentifizieren und eine erste CHILD_SA aushandeln.

 HDR, {IDi, AUTH, SAi2, TSi, TSr} -->

Der Initiator sendet in IDi seine Identit�t, z.B. seine IP-Adresse a.b.c.d. Die Authentication Payload AUTH enth�lt entweder eine RSA- oder DSS-Signatur oder einen MAC auf Grundlage eines vorher ausgetauschten Geheimwerts (Preshared Secret).

SAi2 enth�lt die Vorschl�ge des Initiators f�r die auszuhandelnde CHILD_SA, z.B.
ESP mit AES-128, 3DES, SHA1
AH mit MD5, SHA1
AH mit SHA1 und ESP mit AES-128, AES-256, 3DES, SHA1

Die Traffic Selectors in TSi definieren die f�r ausgehende Pakete m�glichen Quelladressen und die f�r eingehende Pakete m�glichen Zieladressen. Die Traffic Selectors in TSr definieren die m�glichen Zieladressen f�r ausgehende Pakete und die m�glichen Quelladressen f�r eingehende Pakete. F�r den Responder gilt dasselbe mit vertauschten Rollen f�r TSi und TSr.

Jeder Traffic Selector enth�lt Protokoll, IP-Adressbereich und Ports. Ein Beispiel f�r TSi:

Protokoll Start IP-Adressbereich Ende IP-Adressbereich Start Port-Bereich Ende Port-Bereich
TCP 192.168.1.10 192.168.1.254 0 65535
TCP 192.168.1.3 192.168.1.3 20 21
TCP 192.168.1.5 192.168.1.5 23 23
UDP 192.168.1.10 192.168.1.254 0 65535

Der Initiator erlaubt den Zugriff auf alle seine lokalen Rechner mit den IP-Adressen 192.168.1.10 bis 192.168.1.254 auf beliebigen TCP- und UDP-Ports, au�erdem den FTP-Zugriff auf den Rechner mit der IP-Adresse 192.168.1.3 und den Telnet-Zugriff auf den Rechner mit der IP-Adresse 192.168.1.5. Zugriff haben alle in TSr definierten Rechner.

Ein Beispiel f�r TSr:

Protokoll Start IP-Adressbereich Ende IP-Adressbereich Start Port-Bereich Ende Port-Bereich
TCP 1192.168.1.1 192.168.1.254 0 65535

Der Initiator m�chte auf alle lokalen Rechner des Responders zugreifen k�nnen und erlaubt seinerseits den Zugriff von beliebigen lokalen Rechnern des Responders.

 <-- HDR, {IDr, AUTH,
SAr2, TSi, TSr}
About Security: Die komplette Serie

Der Responder antwortet mit einer Nachricht, die seine Identit�t und Authentifizierungsdaten enth�lt. Au�erdem teilt er dem Initiator mit, welche SA und Traffic Selectors er aus dessen Vorschl�gen akzeptiert. F�r SAr2 f�llt die Wahl auf
ESP mit AES-128, SHA1
AH mit SHA1 und ESP mit AES-256 und SHA1

Bei den Traffic Selectors ist der Responder mit einigen Vorschl�gen nicht einverstanden. Er streicht aus den TSi die FTP-Verbindung und schr�nkt den Port-Bereich f�r UDP ein:

Protokoll Start IP-Adressbereich Ende IP-Adressbereich Start Port-Bereich Ende Port-Bereich
TCP 192.168.1.10 192.168.1.254 0 65535
TCP 192.168.1.5 192.168.1.5 23 23
UDP 192.168.1.10 192.168.1.254 0 49151

Aus dem Vorschlag f�r TSr wird ein Teil der IP-Adressen gestrichen:

Protokoll Start IP-Adressbereich Ende IP-Adressbereich Start Port-Bereich Ende Port-Bereich
TCP 1192.168.1.1 192.168.1.128 0 65535

Ist der Initiator mit dieser Auswahl einverstanden, wird eine entsprechende CHILD_SA eingerichtet.

In der n�chsten Folge wird dieses Beispiel mit Anwendung der IPsec-Protokolle fortgesetzt.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security - �bersicht zum aktuellen Thema "VPN - Virtuelle Private Netze"

Kommentare

Gravatar Mero 18.03.2009
um 10:53 Uhr
Der Link zu "About Security #95: Virtuelle Private Netze — IPsec anschaulich" funktioniert nicht, verweisst auf den exakt selben Inhalt wie "About Security #94: Virtuelle Private Netze - Beispiel IKEv2" !!! #zitieren
Gravatar Robert 18.03.2009
um 11:31 Uhr
Hm, unter #95 war die #94 nicht verlinkt, zumindest das funktioniert jetzt wieder. Wir werden die �brigen Links noch einmal pr�fen. #zitieren

Folgende Links könnten Sie auch interessieren