Operation Manual
Aushandlungen
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 99
Aushandlungen
Für die Parameter, die für eine VPN-Verbindung ausgesucht werden,
gibt es viele Kombinationsmöglichkeiten. Zum Aufbau einer gesicher-
ten VPN-Verbindung müssen sich die VPN-Parteien über die zu verwen-
denden Parameter einigen.
Zur Aushandlung der Parameter ist ein weiteres Protokoll notwendig,
das Internet-Key-Exchange-Protokoll (IKE). Die während der Aushand-
lung getroffenen Vereinbarungen werden in der Security Association
(SA) festgehalten:
! die Art der Authentisierung (Zertifikate, pre-shared key oder ein
anderes Verfahren)
! den zu verwendenden Verschlüsselungs-Algorithmus
! den Hash-Algorithmus
! die Gültigkeitsdauer der gesamten SA
Die SAs sind Sicherheitsrichtlinien mit einer begrenzten Gültigkeits-
dauer. Ist diese abgelaufen, muss die SA neu ausgehandelt werden.
Für jede Richtung einer Verbindung wird eine separate SA ausgehan-
delt. Die IKE-Aushandlung erfolgt in zwei Phasen, für die jeweils eine
Sicherheitsrichtlinie festgelegt wird. Während der IKE-Phase 1 wird die
IKE-Sicherheitsrichtlinie ausgehandelt und während der IKE-Phase 2
die IPSec-Sicherheitsrichtlinie.
Sicherheitsrichtlinien sind Vorschläge für SAs, die der Access Server
der Gegenstelle macht. Wenn die Gegenstelle den Vorschlag annimmt,
so besteht eine SA zwischen den beiden verhandelnden Stellen. Ein
Vorschlag kann immer nur für alle Einstellungen einer IKE-Phase ge-
macht werden. Daher müssen auf beiden Seiten die selben Sicher-
heitsrichtlinien eingestellt sein. Die Vorschläge sind nach einem be-
stimmten Schema benannt, das im Expertenkapitel näher beschrieben
wird.
Während einer aktiven VPN-Verbindung werden die verwendeten Si-
cherheitsrichtlinien in der Monitoring-Ansicht angezeigt. Aktivieren Sie
den Ordner „Verbindungssteuerung“ und wählen Sie im Kontextmenü
der rechten Maustaste „Eigenschaften“. Auf der Registerkarte „SAs“
können Sie die Sicherheitsrichtlinien sehen.