Operation Manual

Aushandlungen
100 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
IKE-Phase 1
Ziel der IKE-Phase 1 ist es, eine SA für die IKE-Phase 2 auszuhandeln.
Dazu nehmen die Gegenstellen die folgenden Aktionen vor:
! Sie teilen sich gegenseitig ihre Identität mit.
! Sie authentisieren sich.
! Sie vereinbaren einen Verschlüsselungs-Algorithmus für die Ver-
schlüsselung der anschließenden IKE-Phase 2.
! Sie vereinbaren eine Diffie-Hellman-Gruppe für die Berechnung
der Schlüssel.
! Jede Seite generiert einen privaten Schlüssel. Mit Hilfe der Diffi-
Hellman-Gruppe wird ein öffentlicher Schlüssel berechnet, der
zum privaten Schlüssel passt. Beide Seiten tauschen die öffentli-
chen Schlüssel aus. Mit dem eigenen privaten Schlüssel, dem öf-
fentlichen Schlüssel der Gegenseite und der Diffie-Hellman-Grup-
pe wird der geheime Schlüssel für die Verschlüsselung der IKE-
Phase 2 berechnet. Das Ergebnis ist auf beiden Seiten identisch.
! Sie legen die Gültigkeitsdauer der SA fest.
Für die IKE-Phase 1 sind zwei Modi vorgesehen, der main mode und der
aggressive mode. Im main mode werden mehr Nachrichten ausge-
tauscht als im aggressive mode. Im aggressive mode werden die Iden-
titäten in den Nachrichten 1 und 2 ausgetauscht, im main mode erst
später. Wenn die Authentisierung mit pre-shared keys stattfindet und
auf der Gegenseite die öffentliche IP-Adresse dynamisch vom Interne-
tanbieter zugewiesen wird und somit nicht bekannt ist, dann muss die
IKE-Phase 1 im aggressive mode stattfinden. Anhand der dynamisch
zugewiesenen IP-Adresse kann nicht festgestellt werden, um welche
Gegenseite es sich handelt, deshalb ist ein früher Austausch der Iden-
titäten erforderlich, was nur im aggressive mode gegeben ist.
Bei der Verwendung von Zertifikaten sollte nach Möglichkeit der main
mode verwendet werden.
IKE-Phase 2
In der IKE-Phase 2 werden die SAs für die Verschlüsselung der Nutzda-
ten ausgehandelt. Diese Aushandlung erfolgt verschlüsselt und basiert
auf den Parametern der SA, die in Phase 1 vereinbart wurde. Folgendes
wird ausgehandelt:
! das IPSec-Transportprotokoll (AH und/oder ESP)