|
|
URL dieser Newsmeldung:
22.02.2007
About Security #94: Virtuelle Private Netze - Beispiel IKEv2Wie angekündigt, soll ab dieser Folge beispielhaft der
Einsatz von IKEv2 und IPsec dargestellt werden. Um das Ganze abzukürzen, erfolgt die
Beschreibung zum größten Teil umgangssprachlich und
beschränkt sich auf die für den Betrieb interessanten Punkte.
Die Ausgangslage: Ein System A will zu einem anderen System B eine IPsec-Verbindung aufbauen. Ob dies ein Site-to-Site-, Site-to-End- oder Host-to-Host-VPN werden soll, ist dabei unerheblich: Der prinzipielle Ablauf ist immer gleich. Schritt 1 - IKE_SA_INIT
Initiator Responder
(System A) (System B)
HDR, SAi1, KEi, Ni -->
Der Initiator (System A) listet seine Vorschläge für die auszuhandelnde IKE_SA in sog. Proposal-Substructures der Security Association Payload auf (zu deren Definition wie auch die aller anderen Payloads siehe RFC 4306). Eine Proposal-Substructure gilt immer für genau eines der Protokolle AH, ESP oder IKE. N E U ! Security aktuell
Der Initiator könnte für IKE z.B. folgende Verfahren in SAi1
vorschlagen, aus denen der Responder die für ihn passenden
auswählen muss:
<-- HDR, SAr1, KEr, Nr
Der Responder wählt aus den Vorschlägen in SAi1 die für ihn
passenden Verfahren aus und teilt diese Auswahl dem Initiator in SAr1
mit: Damit haben sich die beiden Systeme darauf festgelegt, die folgenden IKE-Nachrichten mit AES256 zu verschlüsseln und mit SHA1 zu signieren. Auf Grundlage der ausgetauschten öffentlichen Diffie-Hellman- und der Zufallswerte können die im Folgenden benötigten Schlüssel berechnet werden. Schritt 2 - IKE_AUTH
HDR, {IDi, AUTH, SAi2, TSi, TSr} -->
Der Initiator sendet in IDi seine Identität, z.B. seine IP-Adresse a.b.c.d. Die Authentication Payload AUTH enthält entweder eine RSA- oder DSS-Signatur oder einen MAC auf Grundlage eines vorher ausgetauschten Geheimwertes (Preshared Secret). SAi2 enthält die Vorschläge des Initiators für die
auszuhandelnde CHILD_SA, z.B. Die Traffic Selectors in TSi definieren die für ausgehende Pakete möglichen Quelladressen und die für eingehende Pakete möglichen Zieladressen. Die Traffic Selectors in TSr definieren die möglichen Zieladressen für ausgehende Pakete und die möglichen Quelladressen für eingehende Pakete. Für den Responder gilt dasselbe mit vertauschten Rollen für TSi und TSr. Jeder Traffic Selector enthält Protokoll, IP-Adressbereich und Ports. Ein Beispiel für TSi:
Der Initiator erlaubt den Zugriff auf alle seine lokalen Rechner mit den IP-Adressen 192.168.1.10 bis 192.168.1.254 auf beliebigen TCP- und UDP-Ports, außerdem den FTP-Zugriff auf den Rechner mit der IP-Adresse 192.168.1.3 und den Telnet-Zugriff auf den Rechner mit der IP-Adresse 192.168.1.5. Zugriff haben alle in TSr definierten Rechner. Ein Beispiel für TSr:
Der Initiator möchte auf alle lokalen Rechner des Responders zugreifen können und erlaubt seinerseits den Zugriff von beliebigen lokalen Rechnern des Responders.
<-- HDR, {IDr, AUTH,
SAr2, TSi, TSr}
Der Responder antwortet mit einer Nachricht, die seine Identität und
Authentifizierungsdaten enthält. Außerdem teilt er dem Initiator
mit, welche SA und Traffic Selectors er aus dessen Vorschlägen
akzeptiert. Für SAr2 fällt die Wahl auf Bei den Traffic Selectors ist der Responder mit einigen Vorschlägen nicht einverstanden. Er streicht aus den TSi die FTP-Verbindung und schränkt den Port-Bereich für UDP ein:
Aus dem Vorschlag für TSr wird ein Teil der IP-Adressen gestrichen:
Ist der Initiator mit dieser Auswahl einverstanden wird eine entsprechende CHILD_SA eingerichtet. In der nächsten Folge wird dieses Beispiel mit Anwendung der IPsec-Protokolle fortgesetzt. Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen! [cs] |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
