Intranator Administrator Handbuch - Intra2net AG
Intranator Administrator Handbuch - Intra2net AG
Intranator Administrator Handbuch - Intra2net AG
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Um die Bedienung zu vereinfachen, erzeugt der <strong>Intranator</strong> normalerweise selbstsignierte<br />
Zertifikate, bei denen der Inhaber (Subject genannt) auch gleichzeitig der Zertifikatsaussteller<br />
(Issuer) ist. Dadurch sind bei der Bedienung keine zusätzlichen Schritte für die Verwendung<br />
von Zertifikaten nötig. Selbstverständlich können aber auch externe Zertifizierungsstellen<br />
verwendet werden.<br />
29.4. IPSec Verbindungen<br />
Ein IPSec Verbindungsaufbau geschieht mit dem Protokoll Internet Key Exchange (IKE) in<br />
zwei Phasen.<br />
Phase 1: Zuerst wird eine gesicherte Verbindung (ISAKMP SA oder IKE SA genannt)<br />
aufgebaut. Diese Verbindung wird über UDP Port 500 aufgebaut. Erkennt das System,<br />
daß eine Seite hinter einem NAT-Router steht, wird auf UDP Port 4500 umgeschaltet. Es<br />
gibt zwei Modi für den Verbindungsaufbau: den Main Mode und den Aggressive Mode.<br />
Der Aggressive Mode beschleunigt den Verbindungsaufbau um einige Zehntelsekunden,<br />
kann aber leichter geknackt werden. Der <strong>Intranator</strong> unterstützt daher nur den sicheren<br />
Main Mode.<br />
Phase 2: Die zuvor aufgebaute gesicherte Verbindung wird nun genutzt um die<br />
eigentlichen Verbindungsdaten und Sitzungsschlüssel auszuhandeln (Quick Mode). Ist<br />
dies erfolgreich, wird eine sog. IPSec SA konfiguriert und kann dann genutzt werden, um<br />
verschlüsselt Daten zu übertragen.<br />
Beide Phasen der Verbindung haben aus Sicherheitsgründen nur eine begrenzte Lebensdauer<br />
und werden daher regelmäßig aktualisiert.<br />
Aus Sicherheitsgründen und um das Routing zu vereinfachen überprüft jede Seite der<br />
Verbindung, dass nur genau die Pakete durch die Verbindung kommen, die vorher konfiguriert<br />
wurden. Daher ist es wichtig, dass auf beiden Seiten identische Werte für Startund<br />
Zielnetz eines Tunnels angegeben wurden.<br />
Damit die Sicherheitsrichtlinien sehr eng konfiguriert werden können, ist es möglich zwischen<br />
zwei Rechnern beliebig viele verschiedene IPSec Verbindungen aufzubauen.<br />
29.5. Algorithmen<br />
<strong>Intranator</strong> <strong>Administrator</strong> <strong>Handbuch</strong><br />
Beide Seiten einigen sich beim Verbindungsaufbau über die für Verschlüsselung und<br />
Datensignierung zu verwendenden kryptographischen Algorithmen. Die Algorithmen sind<br />
für jede Phase separat einstellbar. Im <strong>Intranator</strong> können im Menü Dienste > VPN > Verschlüsselung<br />
Profile mit Algorithmen konfiguriert werden.<br />
Eine Verschlüsselungsmethode besteht dabei aus je einem Algorithmus für Verschlüsselung,<br />
für Hashing (Signatur) und einer Diffie Hellman Gruppe für den Aufbau einer gesicherten<br />
Verbindung. Die meisten Algorithmen werden in verschiedenen Längen angeboten. Die<br />
Länge wird in Bit angegeben und der Algorithmus ist desto stärker, je mehr Bit verwendet<br />
werden. Allerdings steigt mit der Bitzahl auch der nötige Rechenaufwand.<br />
Für beide Phasen wird nun eine Liste von möglichen Methoden hinterlegt. Diese Liste<br />
wird in der eingestellten Reihenfolge der Gegenstelle angeboten, die dann die oberste,<br />
von ihr auch unterstütze Methode verwendet.<br />
Auch die Verwendung von Perfect Forward Secrecy (PFS) in Phase 2 wird im <strong>Intranator</strong><br />
über die Verschlüsselungsprofile konfiguriert. Ist auf dem <strong>Intranator</strong> eine PFS-Gruppe<br />
193