IKEv1

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

IKEv1 Ablauf in 2 Phasen

Main Mode

  • Baut eine gesicherte Verbindung durch 3 Austausche auf:
  1. Parameter-Aushandlung: Initiator sendet unterstützte Algorithmen (Verschlüsselung, Authentifizierung), Responder wählt aus
  2. Schlüsselaustausch: Diffie-Hellman-Schlüssel und Nonces werden ausgetauscht
  3. Authentifizierung: Gegenseitige Authentifizierung mit ausgehandelten Methoden

Captured Main Mode

IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 1 I ident
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 1 R ident
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 1 I ident
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 1 R ident
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 1 I ident[E]
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 1 R ident[E]

Ablauf Main Mode

  • HDR: ISAKMP-Header
  • SA: Security Association
  • KE: Key Exchange
  • Ni/Nr: Nonces
  • IDi/IDr: Identitäten
  • HASH_I/HASH_R: Hash-Payloads

Phase1.png

Quick Mode

  • Nutzt die ISAKMP-SA zur Aushandlung der IPsec-SA
  • Wird auch für regelmäßigen Schlüsselwechsel genutzt
  • Unterstützt PFS (Perfect Forward Secrecy)

Captured Quick Mode

IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 2/others I oakley-quick[E]
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 2/others R oakley-quick[E]
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 2/others I oakley-quick[E]

Ablauf Quick Mode

Phase2.png

Gesamtablauf

Ipsec-aufbau.jpg

Abgerufen von „http://wiki.ixheim.de/index.php?title=IKEv1&oldid=65922