IKEv2 Prinzip

• IKEv2 ist der Nachfolger von IKEv1 und vereinfacht den Verbindungsaufbau
• Bietet geringere Komplexität und höhere Effizienz
• Unterstützt MOBIKE (Mobility and Multihoming) für mobile Endgeräte
• Weniger Nachrichten-Austausche benötigt als IKEv1
• Baut auf dem Exchange Protocol (XCHG) auf
• Enthält integrierte NAT-Traversal-Funktionalität
• Bietet zuverlässigere Erstanbieterunterstützung durch Bestätigungsmechanismen
• Vereinfachte Fehlerbehandlung durch klare Statuscodes

IKEv2 Ablauf in 4 Schritten

Schritt 1: IKE_SA_INIT Request

• Initiator sendet kryptografische Parameter
• Vorschläge für Algorithmen (SYM-PROTO, HASH)
• Startet Diffie-Hellman-Austausch (DH-9.P-A)

Schritt 2: IKE_SA_INIT Response

• Responder wählt Algorithmen aus
• Antwortet mit eigenen DH-Parametern (DH-B)
• Schlüsselberechnung erfolgt

Schritt 3: IKE_AUTH Request

• Authentifizierung mit Pre-Shared Key
• Aushandlung der Child SAs für IPsec
• Definition der zu schützenden Netze

Schritt 4: IKE_AUTH Response

• Bestätigung der Authentifizierung (PSK-ACK)
• Finalisierung der Child SAs
• Verbindung ist aufgebaut

[Bearbeiten]