IKEv1: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(3 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
==IKE läuft dabei in 2 Phasen ab==
+
== IKEv1 Ablauf in 2 Phasen ==
===Main Mode===
 
Im Main-Mode wird zunächst eine gesicherte Verbindung zwischen 2 Teilnehmern aufgebaut, durch die 3 Austausche von Daten stattfinden:
 
  
1. Im ersten Austausch sendet die initiierende Seite einen Vorschlag an ihr Gegenüber in der eine Reihe möglicher, durch den Initiator unterstützte Parameter enthalten sind. Jedes dieser Sets enthält einen Verschlüsselungsalgorithmus (DES, 3DES, usw.) und einen Authentifizierungsalgorithmus (Pre-Shared Secret, RSA-Public-Key-Verschlüsselung mit Diffie-Hellman-Austausch Gruppe 1 und 2 oder Public-Key-RSA-Signatur [Zertifikate]). Die andere Seite antwortet dann indem sie ein einzellnes paar, das sie ebenfalls unterstützt, aus dem angebotenen Set akzeptiert. Falls es keine Übereinstimmung gibt, kann keine IKE-Verbindung aufgebaut werden.
+
=== Main Mode ===
 +
* Baut eine gesicherte Verbindung durch 3 Austausche auf:
 +
#'''Parameter-Aushandlung:''' Initiator sendet unterstützte Algorithmen (Verschlüsselung, Authentifizierung), Responder wählt aus
 +
#'''Schlüsselaustausch:''' Diffie-Hellman-Schlüssel und Nonces werden ausgetauscht
 +
#'''Authentifizierung:''' Gegenseitige Authentifizierung mit ausgehandelten Methoden
  
2. Im 2ten Austausch werden DH-Schlüssel zwischen den Teilnehmern eingerichtet. Es werden außerdem 2 Werte (Nonces) ausgetauscht bei denen es sich um Hash-Werte handelt, die nur die andere Seite interpretieren kann.
+
==== Captured Main Mode ====
 
 
3. Im letzten Austausch findet die tatsächliche Authentifizierung unter Verwendung der zuvor ausgehandelten Methoden statt.
 
====Captured Main Mode====
 
 
<pre>
 
<pre>
 
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 1 I ident
 
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 1 I ident
Zeile 17: Zeile 16:
 
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 1 R ident[E]
 
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 1 R ident[E]
 
</pre>
 
</pre>
====Ablauf Main Mode====
+
 
*'''HDR''' steht für den ISAKMP-Header ('''I'''nternet '''S'''ecurity '''A'''ssociation and '''K'''ey '''M'''anagement '''P'''rotokoll
+
==== Ablauf Main Mode ====
*'''SA (Security Assosiaction)'''  
+
* '''HDR:''' ISAKMP-Header
*'''KE (Key Exchange)'''
+
* '''SA:''' Security Association
*'''Ni, Nr'''  
+
* '''KE:''' Key Exchange
*'''IDi, IDr''' Identifikations payload initiator/responder
+
* '''Ni/Nr:''' Nonces
*'''HASH_I, HASH_R''' Hash payload initiator/Hash payload responder
+
* '''IDi/IDr:''' Identitäten
 +
* '''HASH_I/HASH_R:''' Hash-Payloads
  
 
[[Datei:Phase1.png]]
 
[[Datei:Phase1.png]]
  
===Quick Mode===
+
=== Quick Mode ===
*Nachdem durch den Main Mode die Authentizität und die Vertraulichkeit gewährleist ist, wird die ISAKMP SA genutzt um die eigentliche IPSec Security Association abzuschließen.
+
* Nutzt die ISAKMP-SA zur Aushandlung der IPsec-SA
*Auch bei bestehenden Verbindungen wird der QuickMode gebraucht um von Zeit zu Zeit die Schlüssel auszuwechseln.
+
* Wird auch für regelmäßigen Schlüsselwechsel genutzt
*Es ist auch möglich für den Quick-Modus die Verwendung von PFS (Perfect Forward Secrecy) anzufordern.
+
* Unterstützt PFS (Perfect Forward Secrecy)
*PFS schreibt vor, dass neue Verschlüsselungskeys nicht von den alten abgeleitet werden dürfen.
+
 
====Captured Quick Mode====
+
==== Captured Quick Mode ====
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 2/others I oakley-quick[E]
+
<pre>
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 2/others R oakley-quick[E]
+
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 2/others I oakley-quick[E]
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 2/others I oakley-quick[E]
+
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 2/others R oakley-quick[E]
 +
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 2/others I oakley-quick[E]
 +
</pre>
  
====Ablauf Quick Mode====
+
==== Ablauf Quick Mode ====
 
[[Datei:Phase2.png]]
 
[[Datei:Phase2.png]]
  
=Ablauf einer Verbindung=
+
= Gesamtablauf =
 
 
 
[[Datei:Ipsec-aufbau.jpg]]
 
[[Datei:Ipsec-aufbau.jpg]]

Aktuelle Version vom 27. November 2025, 18:01 Uhr

IKEv1 Ablauf in 2 Phasen

Main Mode

  • Baut eine gesicherte Verbindung durch 3 Austausche auf:
  1. Parameter-Aushandlung: Initiator sendet unterstützte Algorithmen (Verschlüsselung, Authentifizierung), Responder wählt aus
  2. Schlüsselaustausch: Diffie-Hellman-Schlüssel und Nonces werden ausgetauscht
  3. Authentifizierung: Gegenseitige Authentifizierung mit ausgehandelten Methoden

Captured Main Mode

IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 1 I ident
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 1 R ident
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 1 I ident
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 1 R ident
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 1 I ident[E]
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 1 R ident[E]

Ablauf Main Mode

  • HDR: ISAKMP-Header
  • SA: Security Association
  • KE: Key Exchange
  • Ni/Nr: Nonces
  • IDi/IDr: Identitäten
  • HASH_I/HASH_R: Hash-Payloads

Phase1.png

Quick Mode

  • Nutzt die ISAKMP-SA zur Aushandlung der IPsec-SA
  • Wird auch für regelmäßigen Schlüsselwechsel genutzt
  • Unterstützt PFS (Perfect Forward Secrecy)

Captured Quick Mode

IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 2/others I oakley-quick[E]
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 2/others R oakley-quick[E]
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 2/others I oakley-quick[E]

Ablauf Quick Mode

Phase2.png

Gesamtablauf

Ipsec-aufbau.jpg

Abgerufen von „http://wiki.ixheim.de/index.php?title=IKEv1&oldid=65922