VPN in a Nutshell 1 1 Montag, 15. Juli 13
Jul 07, 2015
VPN in a Nutshell1
1Montag, 15. Juli 13
Grundlagen 1/3IPSec besteht aus vielen
Komponenten und Verschlüsselungsverfahren.
22Montag, 15. Juli 13
Grundlagen 2/3Der Versuch alle diese
Grundlagen zu verinnerlichen verursacht in aller Regel Chaos.
33Montag, 15. Juli 13
5 Schritte zum Erfolg
1. Interessanter Traffic2. IKE Phase 1 3. IKE Phase 2 4. Datenübermittlung5. Tunnelende
44Montag, 15. Juli 13
In die Tiefe5
5Montag, 15. Juli 13
Stufe 1: Interessanter Traffic
6
Grundlegende Einstellung eines VPN Tunnels.
Definiert welche Daten verschlüsselt übertragen werden.
Interessanter Traffic wird anhand der Zielnetzwerkadresse festgestellt.
Wird interessanter Datenverkehr erzeugt wird der nächste Schritt initialisiert.
6Montag, 15. Juli 13
Stufe 2:IKE Phase 1
Authentiziert und schützt die Identitäten der IPSec Gegenstellen.
Handelt eine „passende“ IKE SA aus.
Führt einen Diffie-Hellman Austausch durch
Erstellt einen sicheren Tunnel für die Aushandlung der Phase 2 Parameter.
77Montag, 15. Juli 13
Stufe 2.1: Main Mode
Erster Austausch: Aushandlung der Algorithmen und Hashverfahren
Zweiter Austausch: Diffie-Hellman Austausch zur Generierung von Schlüsselmaterial.
Überprüfung der Gegenseite.
88Montag, 15. Juli 13
Stufe 2.2:Aggressive Mode
Weniger Datenaustausch als Main Mode
Fast alle Daten im initialen Paket
Initiator muss Verbindung nur noch bestätigen
Daten werden übertragen bevor ein sicherer Kanal erstellt wurde.
Die Aushandlung der Parameter kann also mitgelesen werden.
99Montag, 15. Juli 13
IKE Phase 210
10Montag, 15. Juli 13
Stufe 3:IKE Phase 2
11
Aushandlung IPSec Parameter über bestehende IKE SA.
Herstellung der IPSec SA
Periodische Neuaushandlung der IPSec SA
Optionaler Diffie-Hellman Schlüsseltausch
11Montag, 15. Juli 13
Stufe 3.1:Quick Mode
Startet, nachdem durch IKE einen sicheren Tunnel in Phase 1 ausgehandelt hat.
Handelt Parameter für den IPSec Tunnel aus.
Austausch von Zufallswerten um Replay-Angriffen zu verhindern.
Wiederaushandlung der SA wenn die Lebenszeit abläuft.
1212Montag, 15. Juli 13
Stufe 3.2:Perfect Forward Secrecy
Diffie-Hellman Austausch bei jedem Quickmode.
Erzeugt Schlüsselmaterial mit größerer Entropie.
Erhöhte CPU Nutzung
Gesenkte Performance (Längerer Schlüsselaustausch)
1313Montag, 15. Juli 13
Stufe 4:IPSec Tunnel
Nach IKE Phase 2 und
Nach Herstellung der IPSec SA durch Quickmode
Daten werden von den Gateways mit den ausgehandelten Daten ver- und entschlüsselt.
1414Montag, 15. Juli 13
Stufe 5: Tunnelende
Tunnel werden durch Timeout oder Löschen der SA beendet.
Timeouts treten nach einer definierten Zeit oder nach dem Übertragen einer definierten Datenmenge auf.
Schlüssel werden verworfen.
Beim Wiederaufbau werden nach Bedarf eine neue Phase 2 bzw. Phase 1 durchgeführt.
Neue SAs können vor Ablauf der bestehenden aufgebaut werden.
1515Montag, 15. Juli 13
Fragen ?16
16Montag, 15. Juli 13
Thats what we have for you today. Thank you for coming and we'll see you soon.
1717Montag, 15. Juli 13