IPSEC Begriffserklärung: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 5: Zeile 5:
 
*[[Internet Key Exchange]]
 
*[[Internet Key Exchange]]
 
*[[IKEv1]]
 
*[[IKEv1]]
 
+
*[[IKEv2]]
=Pre-shared Key=
+
*[[Authentifizierungsverfahren]]
*Mit Pre-Shared Key bezeichnet man solche Verschlüsselungsverfahren, bei denen die Schlüssel vor der Kommunikation beiden Teilnehmern bekannt sein müssen
+
*[[Security Associations (SAs)]]
*Es ist also ein symmetrische Verfahren.
+
*[[Security Policy Database]]
*PSK-Verschlüsselung hat den Vorteil, dass sie zwischen zwei bekannten Teilnehmern wesentlich einfach zu realisieren ist.
 
*Der große Nachteil des Verfahrens besteht darin, dass beide Teilnehmer den Schlüssel vor der eigentlichen Kommunikation im Geheimen tauschen müssen.
 
 
 
=Public-Key=
 
*Public-Key Kryptographie basiert auf einem mathematischen Verfahren
 
*Bei diesem wie ein Schlüsselpaar aus einem geheimen Schlüssel (Private Key) und einem dazugehörigen öffentlichen Schlüssel (Public Key) erzeugt.
 
*Mit dem Public Key verschlüsselte Nachrichten können nur mit dem dazugehörigen Private Key entschlüsselt werden.
 
*Hat jemand nur den Public Key, so kann er nur verschlüsseln, nicht aber entschlüsseln.
 
*Daher können die Public Keys problemlos auf unsicheren Kanälen (z.B. per E-Mail) ausgetauscht werden.
 
*Die einzige Gefahr besteht darin, dass ein Angreifer den Schlüssel vertauscht haben könnte.
 
*Wenn Sie ganz sicher gehen wollen, können daher nach dem Schlüsselaustausch die Signaturen der Schlüssel z.B. am Telefon verglichen werden.
 
 
 
=Zertifikate=
 
*Als Erweiterung zum Konzept von öffentlichen und privaten Schlüsseln gibt es Zertifikate.
 
*Dabei wird der öffentliche Schlüssel von einer Zertifizierungsstelle (engl. Certification Authority, abgekürzt CA), digital signiert.
 
*Das ermöglicht bei größeren Installationen, dass eine Gegenstelle anhand der digitalen Signatur feststellen kann, ob ein Schlüssel gültig ist.
 
*Das ganze ohne dass der Schlüssel selbst vorher installiert wurde.
 
 
 
=Security Associations (SAs)=
 
 
 
Jede SA kann anhand von 3 Parametern eindeutig identifiziert werden:
 
* Der Security Parameter Index (SPI), der in AH- und ESP-Headern immer vorhanden ist
 
* Die Ziel-Ip-Adresse
 
* Das IPsec-Protokoll, ESP - (insgesamt 2 für eine beidseitige Kommunikation)
 
 
 
 
 
Jeder Teilnehmer verwaltet eine Datenbank mit aktiven SAs für jede Richtung (eingehend und ausgehend) auf jeder seiner Schnittstellen, die Security Association Database (SAD). Für jede SA enthält die SAD folgende Daten:
 
* Die Zieladresse
 
* Den SPI
 
* Die IPsec-Transformation (Protokoll + Algorithmus, z.B. AH, HMAC-MD5, usw.)
 
* Den in dem Algorithmus verwendeten Schlüssel
 
* Den IPsec-Modus (Tunnel oder Transport)
 
* Die SA-Lebensdauer, nach deren Ablauf eine neue eingerichtet werden muss
 
* Die Antireplay-Sequenz-Zähler
 
* Einige zusätzliche Parameter wie etwa Path MTU
 
 
 
==SAD einer VPN==
 
<pre>
 
10.84.252.31 10.84.252.32
 
esp mode=tunnel spi=3283794051(0xc3bab883) reqid=2(0x00000002)
 
E: aes-cbc  ca6c9e95 d6557e0c 0c9d3a45 d7b00aca d0025277 928e9ff4 8259ad7b 53a21c17
 
A: hmac-sha1  1dd9356e 24f2b99f fa8e0a3a 7687b669 b86c88f5
 
seq=0x00000000 replay=0 flags=0x00000000 state=mature
 
created: Sep 11 15:47:51 2018 current: Sep 11 15:55:46 2018
 
diff: 475(s) hard: 3600(s) soft: 2658(s)
 
last:                    hard: 0(s) soft: 0(s)
 
current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
 
allocated: 0 hard: 0 soft: 0
 
sadb_seq=1 pid=32622 refcnt=0
 
10.84.252.32 10.84.252.31
 
esp mode=tunnel spi=3236309654(0xc0e62a96) reqid=2(0x00000002)
 
E: aes-cbc  e66947a9 46425c35 f18e3e78 7705fec5 9108217e afc46754 27a4489e d6c93c53
 
A: hmac-sha1  2264aeae 82904f15 af060772 049d538b 597473f1
 
seq=0x00000000 replay=32 flags=0x00000000 state=mature
 
created: Sep 11 15:47:51 2018 current: Sep 11 15:55:46 2018
 
diff: 475(s) hard: 3600(s) soft: 2753(s)
 
last:                    hard: 0(s) soft: 0(s)
 
current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
 
allocated: 0 hard: 0 soft: 0
 
sadb_seq=0 pid=32622 refcnt=0
 
</pre>
 
 
 
 
 
 
 
[[Datei:Ipsec_SAs.png]]
 
 
 
=Security Policy Database=
 
 
 
Die Auswahl der Verschlüsselungs-Parameter, sowie entsprechender SAs wird über eine andere Datenbank, die Security Policy Database (SPD), verwaltet. Sie wird für jede Schnittstelle einzelln festgelegt und legt folgendes fest:
 
* Auswahl des zu schützenden, ausgehenden Verkehrs
 
* Überprüfung, ob der eingehende Verkehr geschützt wurde
 
* Die für den Schutz notwendigen SAs
 
* Was zu geschehen hat wenn für einen Fall keine SA vorhanden ist
 
 
 
==SPD Einträge==
 
<pre>
 
10.83.33.0/24[any] 10.83.31.0/24[any] 255
 
fwd prio def ipsec
 
esp/tunnel/10.84.252.33-10.84.252.31/require
 
created: Sep 11 14:46:05 2018  lastused:                   
 
lifetime: 0(s) validtime: 0(s)
 
spid=18 seq=9 pid=32650
 
refcnt=1
 
10.83.33.0/24[any] 10.83.31.0/24[any] 255:
 
in prio def ipsec
 
esp/tunnel/10.84.252.33-10.84.252.31/require
 
created: Sep 11 14:46:05 2018  lastused:                   
 
lifetime: 0(s) validtime: 0(s)
 
spid=8 seq=10 pid=32650
 
refcnt=1
 
10.83.31.0/24[any] 10.83.33.0/24[any] 255
 
out prio def ipsec
 
esp/tunnel/10.84.252.31-10.84.252.33/require
 
created: Sep 11 14:46:05 2018  lastused:                   
 
lifetime: 0(s) validtime: 0(s)
 
spid=1 seq=0 pid=32650
 
refcnt=1
 
</pre>
 
===Checken auf IPSec Relevanz===
 
 
 
[[Datei:spd1.png]]
 
 
 
 
 
[[Datei:Ipsec_SAD_SPD.png]]
 
 
 
 
 
 
 
 
 
 
 
[[Datei:Ipsec-db.jpg]]
 

Aktuelle Version vom 5. September 2022, 08:18 Uhr

Abgerufen von „https://xinux.net/index.php?title=IPSEC_Begriffserklärung&oldid=34503