Operation Manual
Aushandlungen
NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 45
thentisierungsdaten und einiges mehr abgelegt sind. Da-
durch weiß jede VPN-Partei, was sie selbst kann. Mit diesem
Wissen kann die Aushandlung beginnen.
Zur Aushandlung der Parameter ist ein weiteres Protokoll
notwendig: das Internet-Key-Exchange-Protokoll (IKE). Das
Ergebnis der Aushandlung wird in der Security Association
(SA) festgehalten. Eine SA beinhaltet Folgendes:
l die Art der Authentisierung (Zertifikate, pre-shared key
oder ein anderes Verfahren)
l den zu verwendenden Verschlüsselungsalgorithmus
l den Hash-Algorithmus
l die Gültigkeitsdauer der gesamten SA
Die SAs sind Sicherheitsrichtlinien mit einer begrenzten Gül-
tigkeitsdauer. Ist diese abgelaufen, muss die SA neu ausge-
handelt werden. Für jede Richtung einer Verbindung wird ei-
ne separate SA ausgehandelt. Die SAs werden in einer Da-
tenbank, der Security Association Database, abgelegt.
Die IKE -Aushandlung erfolgt in zwei Phasen.
IKE-Phase 1
Ziel der IKE-Phase 1 ist es, eine SA für die IKE-Phase 2 auszu-
handeln. Dazu nehmen die Gegenstellen die folgenden Akti-
onen vor:
l Sie authentisieren sich.
l Sie vereinbaren einen Verschlüsselungsalgorithmus für
die Verschlüsselung der anschließenden IKE-Phase 2.
l Sie vereinbaren eine Diffie-Hellman-Gruppe.
l Jede Seite generiert einen privaten Schlüssel. Mit Hilfe
der Diffi-Hellman-Gruppe wird ein öffentlicher Schlüssel
berechnet, der zum privaten Schlüssel passt. Beide Sei-
ten tauschen die öffentlichen Schlüssel aus. Mit dem
eigenen privaten Schlüssel, dem öffentlichen Schlüssel
der Gegenseite und der Diffie-Hellman-Gruppe wird der
netways.book Seite 45 Dienstag, 10. Dezember 2002 10:55 10