IKEv1 Ablauf in 2 Phasen

Main Mode

• Baut eine gesicherte Verbindung durch 3 Austausche auf:

1. Parameter-Aushandlung: Initiator sendet unterstützte Algorithmen (Verschlüsselung, Authentifizierung), Responder wählt aus
2. Schlüsselaustausch: Diffie-Hellman-Schlüssel und Nonces werden ausgetauscht
3. Authentifizierung: Gegenseitige Authentifizierung mit ausgehandelten Methoden

Captured Main Mode

IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 1 I ident
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 1 R ident
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 1 I ident
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 1 R ident
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 1 I ident[E]
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 1 R ident[E]

Ablauf Main Mode

• HDR: ISAKMP-Header
• SA: Security Association
• KE: Key Exchange
• Ni/Nr: Nonces
• IDi/IDr: Identitäten
• HASH_I/HASH_R: Hash-Payloads

Quick Mode

• Nutzt die ISAKMP-SA zur Aushandlung der IPsec-SA
• Wird auch für regelmäßigen Schlüsselwechsel genutzt
• Unterstützt PFS (Perfect Forward Secrecy)

Captured Quick Mode

IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 2/others I oakley-quick[E]
IP 10.84.252.32.500 > 10.84.252.31.500: isakmp: phase 2/others R oakley-quick[E]
IP 10.84.252.31.500 > 10.84.252.32.500: isakmp: phase 2/others I oakley-quick[E]

Ablauf Quick Mode

Gesamtablauf