Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

IPsec – Überblick

Grundlegendes zu Junos VPN Site Secure

Junos VPN Site Secure ist eine Suite von IPsec-Funktionen, die auf Multiservice-Linecards (MS-DPC, MS-MPC und MS-MIC) unterstützt werden und in Junos-Versionen vor 13.2 als IPsec-Services bezeichnet wurden. In Junos OS Version 13.2 und höher wird der Begriff "IPsec-Funktionen" ausschließlich verwendet, um sich auf die IPsec-Implementierung auf Adaptive Services und Encryption Services PIC zu beziehen. Dieses Thema bietet Ihnen eine Übersicht über Junos VPN Site Secure und enthält die folgenden Abschnitte:

IPsec

Die IPsec-Architektur bietet eine Sicherheits-Suite für die Netzwerkschichten IP Version 4 (IPv4) und IP Version 6 (IPv6). Die Suite bietet Funktionen wie Authentifizierung des Ursprungs, Datenintegrität, Vertraulichkeit, Replay-Schutz und Nichtabstreitbarkeit der Quelle. Neben IPsec unterstützt das Junos OS auch den Internet Key Exchange (IKE), der Mechanismen für die Schlüsselgenerierung und den Schlüsselaustausch definiert und Sicherheitszuordnungen (SAs) verwaltet.

IPsec definiert auch eine Sicherheitszuordnung und ein Framework für die Schlüsselverwaltung, die mit jedem Protokoll der Netzwerkschicht verwendet werden können. Die Sicherheitszuordnung gibt an, welche Schutzrichtlinie auf den Datenverkehr zwischen zwei Einheiten der IP-Ebene angewendet werden soll. IPsec bietet sichere Tunnel zwischen zwei Peers.

Sicherheits-Assoziationen

Um IPsec-Sicherheitsdienste zu verwenden, erstellen Sie SAs zwischen Hosts. Eine SA ist eine Simplex-Verbindung, die es zwei Hosts ermöglicht, über IPsec sicher miteinander zu kommunizieren. Es gibt zwei Arten von SAs:

  • Manuelle SAs erfordern keine Aushandlung; Alle Werte, einschließlich der Schlüssel, sind statisch und in der Konfiguration angegeben. Manuelle Sicherheitszertifizierungsstellen definieren statisch die zu verwendenden SPI-Werte, Algorithmen und Schlüssel (Security Parameter Index) und erfordern entsprechende Konfigurationen an beiden Enden des Tunnels. Jeder Peer muss über die gleichen konfigurierten Optionen verfügen, damit die Kommunikation stattfinden kann.

  • Dynamische SAs erfordern eine zusätzliche Konfiguration. Bei dynamischen SAs konfigurieren Sie zuerst IKE und dann die SA. IKE schafft dynamische Sicherheitszuordnungen; es handelt SAs für IPsec aus. Die IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peer-Sicherheitsgateway verwendet werden. Diese Verbindung wird dann verwendet, um Schlüssel und andere Daten, die von der dynamischen IPsec-SA verwendet werden, dynamisch zu vereinbaren. Die IKE-SA wird zuerst ausgehandelt und dann verwendet, um die Verhandlungen zu schützen, die die dynamischen IPsec-SAs bestimmen.

IKE

IKE ist ein Schlüsselverwaltungsprotokoll, das dynamische SAs erstellt. es handelt SAs für IPsec aus. Eine IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen einer sicheren Verbindung mit einem Peer-Sicherheitsgateway verwendet werden.

IKE führt die folgenden Aufgaben aus:

  • Verhandelt und verwaltet IKE- und IPsec-Parameter.

  • Authentifiziert den sicheren Schlüsselaustausch.

  • Bietet gegenseitige Peer-Authentifizierung mithilfe von gemeinsamen geheimen Schlüsseln (nicht Kennwörtern) und öffentlichen Schlüsseln.

  • Bietet Identitätsschutz (im Hauptmodus).

Es werden jetzt zwei Versionen des IKE-Protokolls (IKEv1 und IKEv2) unterstützt. IKE handelt Sicherheitsattribute aus und legt gemeinsame Geheimnisse fest, um die bidirektionale IKE SA zu bilden. In IKE werden ein- und ausgehende IPsec-SAs aufgebaut und die IKE-SA sichert den Austausch. Ab Junos OS Version 11.4 werden sowohl IKEv1 als auch IKEv2 standardmäßig auf allen Routern der M-Serie, MX-Serie und T-Serie unterstützt. IKE generiert auch Schlüsselmaterial, bietet Perfect Forward Secrecy und tauscht Identitäten aus.

Ab Junos OS Version 18.2R1 können Sie einen Router der MX-Serie mit MS-MPCs oder MS-MICs so konfigurieren, dass er nur als IKE-Responder fungiert. In diesem reinen Responder-Modus initiiert der Router der MX-Serie keine IKE-Verhandlungen, sondern nur IKE-Verhandlungen, die vom Peer-Gateway initiiert wurden. Dies kann bei der Interoperabilität mit Geräten anderer Anbieter, wie z. B. Cisco-Geräten, erforderlich sein. Da die MX-Serie die Protokoll- und Portwerte im Datenverkehrsselektor nicht unterstützt, kann sie keinen IPsec-Tunnel zum Peer-Gateway eines anderen Anbieters initiieren, der diese Werte erwartet. Durch Konfigurieren des reinen Antwortmodus auf der MX-Serie kann der MX den Datenverkehrsselektor in der vom Peer-Gateway initiierten IKE-Aushandlung akzeptieren.

Ab Junos OS Version 18.2R1 können Sie den Router der MX-Serie mit MS-MPCs oder MS-MICs so konfigurieren, dass anstelle der vollständigen Zertifikatkette nur das Endentitätszertifikat für die zertifikatbasierte IKE-Authentifizierung gesendet wird. Dadurch wird eine IKE-Fragmentierung vermieden.

Ab Junos OS Version 19.1R1 wird der IKE-ID (IKE-ID), die für die Validierung von VPN-Peer-Geräten während der IKE-Aushandlung verwendet wird, Unterstützung für definierte Namen hinzugefügt. Die IKE-ID, die ein Router der MX-Serie von einem Remote-Peer empfängt, kann eine IPv4- oder IPv6-Adresse, ein Hostname, ein vollqualifizierter Domänenname (FQDN) oder ein definierter Name (DN) sein. Die vom Remote-Peer gesendete IKE-ID muss mit den Erwartungen des Routers der MX-Serie übereinstimmen. Andernfalls schlägt die IKE-ID-Validierung fehl und das VPN wird nicht eingerichtet.

Keine Unterstützung für NAT-T

Vor Junos OS Version 17.4R1 wird Network Address Translation-Traversal (NAT-T) für die Junos VPN Site Secure Suite von IPsec-Funktionen auf den MX-Serie-Routern nicht unterstützt, und Sie müssen NAT-T auf dem MX-Serie-Router deaktivieren, um zu vermeiden, dass nicht unterstütztes NAT-T ausgeführt wird (siehe Deaktivieren von NAT-T auf MX-Serie-Routern für die Verarbeitung von NAT mit IPsec-geschützten Paketen). NAT-T ist eine Methode zur Umgehung von Problemen bei der IP-Adressenübersetzung, die auftreten, wenn durch IPsec geschützte Daten zur Adressübersetzung durch ein NAT-Gerät geleitet werden.

Vergleich von IPsec auf ES PICs und Junos VPN Site Secure auf Multiservices-Karten

Tabelle 1 vergleicht die Top-Level-Konfiguration der IPsec-Funktionen auf den ES PIC-Schnittstellen und IPsec auf den Adaptive Services PICs und von Junos VPN Site Secure auf Multiservices-Linecards.

Tabelle 1: Anweisungsäquivalente für ES- und AS-Schnittstellen

ES PIC-Konfiguration

Konfiguration von AS- und MultiServices Linecards

 
[edit security ipsec]
proposal {...}

[edit services ipsec-vpn ipsec]
proposal {...}

[edit security ipsec]
policy {...}

[edit services ipsec-vpn ipsec]
policy {...}

[edit security ipsec]
security-association sa-dynamic {...}

[edit services ipsec-vpn rule rule-name]
term term-name match-conditions {...}
then dynamic {...}]

[edit security ipsec]
security-association sa-manual {...}

[edit services ipsec-vpn rule rule-name]
term term-name match-conditions {...}
then manual {...}]

[edit security ike]
proposal {...}

[edit services ipsec-vpn ike]
proposal {...}

[edit security ike]
policy {...}

[edit services ipsec-vpn ike]
policy {...}

Nicht verfügbar

 
[edit services ipsec-vpn]
rule-set {...}

Nicht verfügbar

 
[edit services ipsec-vpn]
service-set {...}

[edit interfaces es-fpc/pic/port]
tunnel source address

[edit services ipsec-vpn service-set set-name ipsec-vpn local-gateway address]

[edit interfaces es-fpc/pic/port]
tunnel destination address

[edit services ipsec-vpn rule rule-name]
remote-gateway address
Hinweis:

Obwohl viele der gleichen Aussagen und Eigenschaften auf beiden Plattformen (MultiServices und ES) gültig sind, sind die Konfigurationen nicht austauschbar. Sie müssen eine vollständige Konfiguration für den PIC-Typ bestätigen, der in Ihrem Router installiert ist.

Authentifizierungs-Algorithmen

Authentifizierung ist der Prozess der Überprüfung der Identität des Absenders. Authentifizierungsalgorithmen verwenden einen gemeinsamen Schlüssel, um die Authentizität der IPsec-Geräte zu überprüfen. Das Junos OS verwendet die folgenden Authentifizierungs-Algorithmen:

  • Message Digest 5 (MD5) verwendet eine Einweg-Hashfunktion, um eine Nachricht beliebiger Länge in einen Nachrichtendigest mit fester Länge von 128 Bit umzuwandeln. Aufgrund des Konvertierungsprozesses ist es mathematisch nicht möglich, die ursprüngliche Nachricht zu berechnen, indem sie aus dem resultierenden Nachrichtendigest rückwärts berechnet wird. Ebenso führt eine Änderung an einem einzelnen Zeichen in der Nachricht dazu, dass eine ganz andere Message Digest-Nummer generiert wird.

    Um sicherzustellen, dass die Nachricht nicht manipuliert wurde, vergleicht Junos OS den berechneten Message-Digest mit einem Message-Digest, der mit einem freigegebenen Schlüssel entschlüsselt wurde. Das Junos OS verwendet die MD5-Variante mit Hashed Message Authentifizierung Code (HMAC), die eine zusätzliche Hashing-Ebene bereitstellt. MD5 kann mit Authentifizierung Header (AH), Encapsulating Sicherheit Payload (ESP) und Internet Key Exchange (IKE) verwendet werden.

  • Secure Hash Algorithm 1 (SHA-1) verwendet einen stärkeren Algorithmus als MD5. SHA-1 nimmt eine Nachricht mit einer Länge von weniger als 264 Bit entgegen und erzeugt einen 160-Bit-Message-Digest. Der große Message Digest stellt sicher, dass die Daten nicht verändert wurden und aus der richtigen Quelle stammen. Das Junos OS verwendet die SHA-1 HMAC-Variante, die eine zusätzliche Hashing-Ebene bereitstellt. SHA-1 kann mit AH, ESP und IKE verwendet werden.

  • SHA-256, SHA-384 und SHA-512 (manchmal auch unter dem Namen SHA-2 gruppiert) sind Varianten von SHA-1 und verwenden längere Message Digests. Das Junos OS unterstützt die SHA-256-Version von SHA-2, die alle Versionen der Verschlüsselung Advanced Encryption Standard (AES), Data Encryption Standard (DES) und Triple DES (3DES) verarbeiten kann.

Verschlüsselungsalgorithmen

Durch die Verschlüsselung werden Daten in ein sicheres Format verschlüsselt, sodass sie von nicht autorisierten Benutzern nicht entschlüsselt werden können. Wie bei Authentifizierungsalgorithmen wird ein gemeinsamer Schlüssel zusammen mit Verschlüsselungsalgorithmen verwendet, um die Authentizität der IPsec-Geräte zu überprüfen. Das Junos OS verwendet die folgenden Verschlüsselungsalgorithmen:

  • Data Encryption Standard Cipher-Block Chaining (DES-CBC) ist ein symmetrischer Blockalgorithmus für geheime Schlüssel. DES verwendet eine Schlüsselgröße von 64 Bit, wobei 8 Bit für die Fehlererkennung und die restlichen 56 Bit für die Verschlüsselung verwendet werden. DES führt eine Reihe einfacher logischer Operationen für den gemeinsam genutzten Schlüssel durch, einschließlich Permutationen und Ersetzungen. CBC nimmt den ersten Block mit 64 Bit Ausgabe von DES, kombiniert diesen Block mit dem zweiten Block, speist ihn in den DES-Algorithmus zurück und wiederholt diesen Vorgang für alle nachfolgenden Blöcke.

  • Triple DES-CBC (3DES-CBC) ist ein Verschlüsselungsalgorithmus, der DES-CBC ähnelt, aber ein viel stärkeres Verschlüsselungsergebnis liefert, da er drei Schlüssel für die 168-Bit-Verschlüsselung (3 x 56-Bit) verwendet. 3DES arbeitet mit dem ersten Schlüssel zum Verschlüsseln der Blöcke, dem zweiten Schlüssel zum Entschlüsseln der Blöcke und dem dritten Schlüssel zum erneuten Verschlüsseln der Blöcke.

  • Advanced Encryption Standard (AES) ist eine Verschlüsselungsmethode der nächsten Generation, die auf dem Rijndael-Algorithmus basiert, der von den belgischen Kryptographen Dr. Joan Daemen und Dr. Vincent Rijmen entwickelt wurde. Es verwendet einen 128-Bit-Block und drei verschiedene Schlüsselgrößen (128, 192 und 256 Bit). Je nach Schlüsselgröße führt der Algorithmus eine Reihe von Berechnungen (10, 12 oder 14 Runden) durch, die Byteersetzung, Spaltenmischung, Zeilenverschiebung und Schlüsseladdition umfassen. Die Verwendung von AES in Verbindung mit IPsec ist in RFC 3602, Der AES-CBC-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec, definiert.

  • Ab Junos OS Version 17.3R1 wird Advanced Encryption Standard im Galois/Counter Mode (AES-GCM) für MS-MPCs und MS-MIC unterstützt. Im Junos FIPS-Modus wird AES-GCM in Junos OS Version 17.3R1 jedoch nicht unterstützt. Ab Junos OS Version 17.4R1 wird AES-GCM im Junos FIPS-Modus unterstützt. AES-GCM ist ein authentifizierter Verschlüsselungsalgorithmus, der sowohl Authentifizierung als auch Datenschutz bietet. AES-GCM verwendet universelles Hashing über ein binäres Galois-Feld, um eine authentifizierte Verschlüsselung zu ermöglichen, und ermöglicht eine authentifizierte Verschlüsselung mit Datenraten von mehreren zehn Gbit/s.

Siehe auch

IPsec-Protokolle

IPsec-Protokolle bestimmen die Art der Authentifizierung und Verschlüsselung, die auf Pakete angewendet wird, die vom Router gesichert werden. Das Junos OS unterstützt die folgenden IPsec-Protokolle:

  • AH: AH ist in RFC 2402 definiert und bietet verbindungslose Integrität und Datenursprungs-Authentifizierung für IPv4- und IPv6-Pakete. Es bietet auch Schutz vor Wiederholungen. AH authentifiziert so viel IP-Header wie möglich sowie die Protokolldaten der oberen Ebene. Einige IP-Header-Felder können sich jedoch während der Übertragung ändern. Da der Wert dieser Felder für den Absender möglicherweise nicht vorhersehbar ist, können sie nicht durch AH geschützt werden. In einem IP-Header kann AH mit dem Wert im 51 Protocol Feld eines IPv4-Pakets und dem Next Header Feld eines IPv6-Pakets identifiziert werden. Ein Beispiel für den IPsec-Schutz, den AH bietet, ist in Abbildung 1 dargestellt.

    Hinweis:

    AH wird auf den Routern der T-Serie, M120 und M320 nicht unterstützt.

Abbildung 1: AH-Protokoll AH Protocol

 

  • ESP: ESP ist in RFC 2406 definiert und kann Verschlüsselung und eingeschränkte Vertraulichkeit des Datenverkehrsflusses oder verbindungslose Integrität, Datenursprungs-Authentifizierung und einen Anti-Replay-Service bereitstellen. In einem IP-Header kann ESP als Wert im 50 Protocol Feld eines IPv4-Pakets und Next Header im Feld eines IPv6-Pakets identifiziert werden. Ein Beispiel für den IPsec-Schutz, den ESP bietet, ist in Abbildung 2 dargestellt.

Abbildung 2: ESP-Protokoll ESP Protocol

  • Bundle – Wenn Sie AH mit ESP vergleichen, gibt es einige Vor- und Nachteile in beiden Protokollen. ESP bietet ein angemessenes Maß an Authentifizierung und Verschlüsselung, dies tut dies jedoch nur für einen Teil des IP-Pakets. Umgekehrt bietet AH zwar keine Verschlüsselung, aber eine Authentifizierung für das gesamte IP-Paket. Aus diesem Grund bietet das Junos OS eine dritte Form des IPsec-Protokolls, das als Protokollpaket bezeichnet wird. Die Bundle-Option bietet eine hybride Kombination aus AH-Authentifizierung und ESP-Verschlüsselung.

Siehe auch

IPsec Multipath-Forwarding mit UDP-Kapselung

IPsec bietet sichere Tunnel zwischen zwei Peers, und IPsec-gekapselte Pakete haben IP-Header, die Tunnel-Endgerät-IPs enthalten, die sich nicht ändern. Dies führt zur Auswahl eines einzigen Weiterleitungspfads zwischen den Peers, wie in Abbildung 3 dargestellt. Wenn IPsec-Datenverkehr zwischen Datencentern mit Tausenden von Hosts fließt, begrenzt diese Auswahl eines einzigen Pfads den Durchsatz.

Abbildung 3: IPsec mit einem Weiterleitungspfad IPsec with One Forwarding Path

Sie können dieses Problem beheben, indem Sie die UDP-Kapselung der IPsec-Pakete aktivieren, bei der ein UDP-Header an den ESP-Header angehängt wird, wie in Abbildung 4 dargestellt. Dadurch werden den zwischengeschalteten Routern Layer-3- und Layer-4-Informationen zur Verfügung gestellt, und die IPsec-Pakete werden über mehrere Pfade weitergeleitet, wie in Abbildung 5 dargestellt. Sie aktivieren die UDP-Kapselung für das Service-Set.

Abbildung 4: Angehängter UDP-Header Appended UDP Header
Abbildung 5: IPsec mit mehreren Weiterleitungspfaden IPsec with Multiple Forwarding Paths

Sie können den UDP-Zielport konfigurieren oder den Standardwert 4565 verwenden. Sie können 4500 nicht als Zielport konfigurieren, da dies ein bekannter Port für NAT-Traversen ist.

Junos OS generiert den UDP-Quellport über eine Hash-Funktion, die mit den folgenden Daten arbeitet:

  • Quell-IP-Adresse

  • Ziel-IP-Adresse

  • Transportprotokoll

  • Transport-Quellport

  • Zielhafen für den Transport

  • Eine Zufallszahl

Es werden nur die letzten beiden Bytes des resultierenden Hashs verwendet, sodass die internen IP-Header-Details ausgeblendet werden.

Wenn NAT-T erkannt wird, erfolgt nur die NAT-T-UDP-Kapselung, nicht die UDP-Kapselung für IPsec-Pakete.

Siehe auch

Unterstützte IPsec- und IKE-Standards

Auf Routern, die mit einem oder mehreren MS-MPCs, MS-MICs oder DPCs ausgestattet sind, unterstützt die kanadische und US-Version von Junos OS im Wesentlichen die folgenden RFCs, die Standards für IP-Sicherheit (IPsec) und Internet Key Exchange (IKE) definieren.

  • RFC 2085, HMAC-MD5 IP-Authentifizierung mit Replay-Prevention

  • RFC 2401, Sicherheitsarchitektur für das Internetprotokoll (veraltet durch RFC 4301)

  • RFC 2402, IP-Authentifizierungs-Header (veraltet durch RFC 4302)

  • RFC 2403, Die Verwendung von HMAC-MD5-96 innerhalb von ESP und AH

  • RFC 2404, Die Verwendung von HMAC-SHA-1-96 in ESP und AH (veraltet durch RFC 4305)

  • RFC 2405, Der ESP DES-CBC-Chiffrieralgorithmus mit explizitem IV

  • RFC 2406, IP Encapsulating Sicherheit Payload (ESP) (veraltet durch RFC 4303 und RFC 4305)

  • RFC 2407, The Internet IP Sicherheit Bereich der Interpretation für ISAKMP (veraltet durch RFC 4306)

  • RFC 2408, Internet Sicherheit Association and Key Management Protocol (ISAKMP) (veraltet durch RFC 4306)

  • RFC 2409, The Internet Key Exchange (IKE) (veraltet durch RFC 4306)

  • RFC 2410, Der NULL-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec

  • RFC 2451, Die ESP CBC-Mode Cipher-Algorithmen

  • RFC 2560, X.509 Internet Public Key Infrastructure Online-Zertifikatstatusprotokoll – OCSP

  • RFC 3193, Sicherung von L2TP mit IPsec

  • RFC 3280, Internet X.509 Public Key Infrastructure-Zertifikat und CRL-Profil (Certificate Revocation List)

  • RFC 3602, Der AES-CBC-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec

  • RFC 3948, UDP-Kapselung von IPsec ESP-Paketen

  • RFC 4106, Die Verwendung von Galois/Counter Mode (GCM) in IPsec Encapsulating Sicherheit Payload (ESP)

  • RFC 4210, Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP)

  • RFC 4211, Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF)

  • RFC 4301, Sicherheitsarchitektur für das Internet-Protokoll

  • RFC 4302, Header für IP-Authentifizierung

  • RFC 4303, IP Encapsulating Sicherheit Payload (ESP)

  • RFC 4305, Implementierungsanforderungen für kryptografische Algorithmen für die Einkapselung von Sicherheit Nutzlast (ESP) und Authentifizierungs-Header (AH)

  • RFC 4306, Internet Key Exchange (IKEv2)-Protokoll

  • RFC 4307, Kryptografische Algorithmen zur Verwendung in Internet Key Exchange Version 2 (IKEv2)

  • RFC 4308, Kryptografie-Suites für IPsec

    Nur Suite VPN-A wird in Junos OS unterstützt.

  • RFC 4754, IKE- und IKEv2-Authentifizierung mit dem Elliptic Curve Digital Signature Algorithm (ECDSA)

  • RFC 4835, Anforderungen an die Implementierung kryptografischer Algorithmen für die Einkapselung von Sicherheit Payload (ESP) und Authentifizierungs-Header (AH)

  • RFC 5996, Internet Key Exchange Protocol Version 2 (IKEv2) (veraltet durch RFC 7296)

  • RFC 7296, Internet Key Exchange Protocol Version 2 (IKEv2)

  • RFC 7427, Signaturauthentifizierung im Internet Key Exchange Version 2 (IKEv2)

  • RFC 7634, ChaCha20, Poly1305 und ihre Verwendung im Internet Key Exchange Protocol (IKE) und IPsec

  • RFC 8200, Internet Protocol, Version 6 (IPv6) Spezifikation

Junos OS unterstützt teilweise die folgenden RFCs für IPsec und IKE:

  • RFC 3526, More Modular Exponential (MODP) Diffie-Hellman-Gruppen für Internet Key Exchange (IKE)

  • RFC 5114, Zusätzliche Diffie-Hellman-Gruppen zur Verwendung mit IETF-Standards

  • RFC 5903, Elliptic Curve Groups modulo a Prime (ECP-Gruppen) für IKE und IKEv2

Die folgenden RFCs und Internet-Entwürfe definieren keine Standards, sondern enthalten Informationen zu IPsec, IKE und verwandten Technologien. Die IETF stuft sie als "informativ" ein.

  • RFC 2104, HMAC: Keyed-Hashing für die Nachrichtenauthentifizierung

  • RFC 2412, Das OAKLEY Key Determination Protocol

  • RFC 3706, Eine datenverkehrsbasierte Methode zur Erkennung toter Internet Key Exchange (IKE)-Peers

  • Internet draft draft-eastlake-sha2-02.txt, US Secure Hash Algorithms (SHA and HMAC-SHA) (läuft ab Juli 2006)

Siehe auch

IPSec-Begriffe und -Akronyme

Dreifacher Datenverschlüsselungsstandard (3DES)

Ein erweiterter DES-Algorithmus, der eine 168-Bit-Verschlüsselung bietet, indem Daten dreimal mit drei verschiedenen Schlüsseln verarbeitet werden.

Adaptive Services PIC

Eine physische Schnittstellenkarte (PIC) der nächsten Generation, die IPsec-Services und andere Services wie Network Address Translation (NAT) und Stateful Firewall auf Plattformen der M Series und T-Serie bereitstellt.

Advanced Encryption Standard (AES)

Eine Verschlüsselungsmethode der nächsten Generation, die auf dem Rijndael-Algorithmus basiert und einen 128-Bit-Block, drei verschiedene Schlüsselgrößen (128, 192 und 256 Bit) und mehrere Verarbeitungsrunden zur Verschlüsselung von Daten verwendet.

Authentifizierung-Header (AH)

Eine Komponente des IPsec-Protokolls, die verwendet wird, um zu überprüfen, ob sich der Inhalt eines Pakets nicht geändert hat (Datenintegrität), und um die Identität des Absenders zu überprüfen (Datenquellen-Authentifizierung). Weitere Informationen zu AH finden Sie unter RFC 2402.

Zertifizierungsstelle (CA)

Eine vertrauenswürdige Drittanbieterorganisation, die digitale Zertifikate erstellt, registriert, validiert und widerruft. Die CA garantiert die Identität eines Benutzers und stellt öffentliche und private Schlüssel für die Verschlüsselung und Entschlüsselung von Nachrichten aus.

Certificate Revocation List (CRL)

Eine Liste der digitalen Zertifikate, die vor ihrem Ablaufdatum ungültig gemacht wurden, einschließlich der Gründe für ihren Widerruf und der Namen der Unternehmen, die sie ausgestellt haben. Eine Zertifikatsperrliste verhindert die Verwendung von digitalen Zertifikaten und Signaturen, die kompromittiert wurden.

Cipher Block Chaining (CBC)

Ein kryptografisches Verfahren, das Verschlüsselungsblöcke verschlüsselt, indem das Verschlüsselungsergebnis eines Blocks verwendet wird, um den nächsten Block zu verschlüsseln. Bei der Entschlüsselung hängt die Gültigkeit jedes Chiffretextblocks von der Gültigkeit aller vorhergehenden Chiffretextblöcke ab. Weitere Informationen zur Verwendung von CBC mit DES und ESP zur Gewährleistung der Vertraulichkeit finden Sie unter RFC 2405.

Datenverschlüsselungsstandard (DES)

Ein Verschlüsselungsalgorithmus, der Paketdaten durch die Verarbeitung der Daten mit einem einzigen gemeinsamen Schlüssel ver- und entschlüsselt. DES arbeitet in Schritten von 64-Bit-Blöcken und bietet 56-Bit-Verschlüsselung.

digitales Zertifikat

Elektronische Datei, die private und öffentliche Schlüsseltechnologie verwendet, um die Identität eines Zertifikaterstellers zu überprüfen und Schlüssel an Peers zu verteilen.

ES PIC

Ein PIC, der Verschlüsselungsservices der ersten Generation und Softwareunterstützung für IPsec auf Plattformen der M Series und T-Serie bietet.

Einkapselung der Sicherheitsnutzlast (ESP)

Eine Komponente des IPsec-Protokolls, die zum Verschlüsseln von Daten in einem IPv4- oder IPv6-Paket, zum Bereitstellen von Datenintegrität und zum Sicherstellen der Datenquellen-Authentifizierung verwendet wird. Weitere Informationen zu ESP finden Sie unter RFC 2406.

Hashed Message Authentication Code (HMAC)

Ein Mechanismus zur Nachrichten-Authentifizierung mit kryptografischen Hash-Funktionen. HMAC kann mit jeder iterativen kryptografischen Hash-Funktion wie MD5 oder SHA-1 in Kombination mit einem geheimen gemeinsamen Schlüssel verwendet werden. Weitere Informationen zu HMAC finden Sie unter RFC 2104.

Internet Key Exchange (IKE)

Richtet mithilfe von IPsec gemeinsame Sicherheitsparameter für alle Hosts oder Router ein. IKE richtet die SAs für IPsec ein. Weitere Informationen zu IKE finden Sie unter RFC 2407.

Message Digest 5 (MD5)

Ein Authentifizierungsalgorithmus, der eine Datennachricht beliebiger Länge empfängt und einen 128-Bit-Message-Digest erzeugt. Weitere Informationen finden Sie unter RFC 1321.

Absolute Forward Secrecy (PFS)

Bietet zusätzliche Sicherheit durch einen Diffie-Hellman-Shared-Secret-Wert. Wenn bei PFS ein Schlüssel kompromittiert wird, sind vorherige und nachfolgende Schlüssel sicher, da sie nicht von vorherigen Schlüsseln abgeleitet sind.

Public-Key-Infrastruktur (PKI)

Eine Vertrauenshierarchie, die es Benutzern eines öffentlichen Netzwerks ermöglicht, Daten sicher und privat auszutauschen, indem sie öffentliche und private kryptografische Schlüsselpaare verwenden, die über eine vertrauenswürdige Stelle abgerufen und mit Peers geteilt werden.

Registrierungsstelle (Registrierungsstelle)

Eine vertrauenswürdige Drittanbieterorganisation, die im Auftrag einer CA handelt, um die Identität eines Benutzers zu garantieren.

Routing-Engine

Ein PCI-basierter architektonischer Teil eines Junos OS-basierten Routers, der den Routing-Protokollprozess, den Schnittstellenprozess, einige der Gehäusekomponenten, die Systemverwaltung und den Benutzerzugriff übernimmt.

Sicherheitsverband (SA)

Spezifikationen, die zwischen zwei Netzwerkgeräten vereinbart werden müssen, bevor IKE oder IPsec funktionieren dürfen. SAs spezifizieren in erster Linie Protokoll-, Authentifizierungs- und Verschlüsselungsoptionen.

Datenbank der Sicherheit Association (SADB)

Eine Datenbank, in der alle Zertifizierungsstellen von IPsec gespeichert, überwacht und verarbeitet werden.

Secure-Hash-Algorithmus 1 (SHA-1)

Ein Authentifizierungsalgorithmus, der eine Datennachricht mit einer Länge von weniger als 264 Bit aufnimmt und einen 160-Bit-Nachrichtendigest erzeugt. Weitere Informationen zu SHA-1 finden Sie unter RFC 3174.

Secure-Hash-Algorithmus 2 (SHA-2)

Ein Nachfolger des SHA-1-Authentifizierungsalgorithmus, der eine Gruppe von SHA-1-Varianten (SHA-224, SHA-256, SHA-384 und SHA-512) umfasst. SHA-2-Algorithmen verwenden größere Hash-Größen und sind für die Arbeit mit erweiterten Verschlüsselungsalgorithmen wie AES ausgelegt.

Datenbank für Sicherheitsrichtlinien (SPD)

Eine Datenbank, die mit der SADB zusammenarbeitet, um maximale Paketsicherheit zu gewährleisten. Bei eingehenden Paketen überprüft IPsec die SPD, um zu überprüfen, ob das eingehende Paket mit der für eine bestimmte Richtlinie konfigurierten Sicherheit übereinstimmt. Bei ausgehenden Paketen prüft IPsec die SPD, um festzustellen, ob das Paket gesichert werden muss.

Sicherheits-Parameter-Index (SPI)

Eine Kennung, die zur eindeutigen Identifizierung einer Sicherheitszuordnung auf einem Netzwerkhost oder -Router verwendet wird.

Simple Certificate Enrollment Protocol (SCEP)

Ein Protokoll, das die Verteilung öffentlicher Schlüssel durch CA und Registrierungsstellen (Registrierungsstelle), Zertifikatregistrierung, Zertifikatwiderruf, Zertifikatabfragen und CRL-Abfragen (Certificate Revocation List) unterstützt.

IPsec für die ACX-Serie – Übersicht

Das Betriebssystem Junos von Juniper Networks (Junos OS) unterstützt IPsec. Dieses Thema enthält die folgenden Abschnitte, die Hintergrundinformationen zur Konfiguration von IPsec auf Universal Metro-Routern der ACX-Serie enthalten.

Hinweis:

IPsec wird nur auf den ACX1100 AC-betriebenen Router- und ACX500-Routern unterstützt. Die Dienstverkettung (GRE, NAT und IPSec) auf ACX1100-AC- und ACX500-Routern wird nicht unterstützt.
Hinweis:

ACX5048- und ACX5096-Router unterstützen keine IPsec-Konfigurationen.

Eine Liste der IPsec- und IKE-Standards, die von Junos OS unterstützt werden, finden Sie in der Junos OS-Hierarchie und RFC-Referenz.

IPsec

Die IPsec-Architektur bietet eine Sicherheits-Suite für die IP-Version 4 (IPv4)-Netzwerkschicht. Die Suite bietet Funktionen wie Authentifizierung des Ursprungs, Datenintegrität, Vertraulichkeit, Replay-Schutz und Nichtabstreitbarkeit der Quelle. Neben IPsec unterstützt Junos OS auch den Internet Key Exchange (IKE), der Mechanismen für die Schlüsselgenerierung und den Schlüsselaustausch definiert und Sicherheitszuordnungen verwaltet.

IPsec definiert auch eine Sicherheitszuordnung und ein Framework für die Schlüsselverwaltung, die mit jedem Protokoll der Transportschicht verwendet werden können. Die Sicherheitszuordnung gibt an, welche Schutzrichtlinie auf den Datenverkehr zwischen zwei Einheiten der IP-Ebene angewendet werden soll. IPsec bietet sichere Tunnel zwischen zwei Peers.

Sicherheits-Assoziationen

Um IPsec-Sicherheitsdienste zu verwenden, erstellen Sie Sicherheitszuordnungen zwischen Hosts. Eine Sicherheitszuordnung ist eine einfache Verbindung, die es zwei Hosts ermöglicht, mittels IPsec sicher miteinander zu kommunizieren. Es gibt zwei Arten von Sicherheitszuordnungen:

  • Manuelle Sicherheitszuordnungen erfordern keine Verhandlungen; Alle Werte, einschließlich der Schlüssel, sind statisch und in der Konfiguration angegeben. Manuelle Sicherheitszuordnungen definieren statisch die zu verwendenden SPI-Werte (Security Parameter Index), Algorithmen und Schlüssel und erfordern entsprechende Konfigurationen an beiden Enden des Tunnels. Jeder Peer muss über die gleichen konfigurierten Optionen verfügen, damit die Kommunikation stattfinden kann.

  • Dynamische Sicherheitszuordnungen erfordern eine zusätzliche Konfiguration. Bei dynamischen Sicherheitszuordnungen konfigurieren Sie zuerst IKE und dann die Sicherheitszuordnung. IKE schafft dynamische Sicherheitszuordnungen; es handelt Sicherheitszuordnungen für IPsec aus. Die IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peer-Sicherheitsgateway verwendet werden. Diese Verbindung wird dann verwendet, um Schlüssel und andere Daten, die von der dynamischen IPsec-Sicherheitszuordnung verwendet werden, dynamisch zuzustimmen. Die IKE-Sicherheitszuordnung wird zuerst ausgehandelt und dann verwendet, um die Verhandlungen zu schützen, die die dynamischen IPsec-Sicherheitszuordnungen bestimmen.

IKE

IKE ist ein Schlüsselverwaltungsprotokoll, das dynamische Sicherheitszuordnungen erstellt. es handelt Sicherheitszuordnungen für IPsec aus. Eine IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen einer sicheren Verbindung mit einem Peer-Sicherheitsgateway verwendet werden.

IKE führt die folgenden Aufgaben aus:

  • Verhandelt und verwaltet IKE- und IPsec-Parameter.

  • Authentifiziert den sicheren Schlüsselaustausch.

  • Bietet gegenseitige Peer-Authentifizierung mithilfe von gemeinsamen geheimen Schlüsseln (nicht Kennwörtern) und öffentlichen Schlüsseln.

  • Bietet Identitätsschutz (im Hauptmodus).

Siehe auch

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
18.2R1
Ab Junos OS Version 18.2R1 können Sie einen Router der MX-Serie mit MS-MPCs oder MS-MICs so konfigurieren, dass er nur als IKE-Responder fungiert.
18.2R1
Ab Junos OS Version 18.2R1 können Sie den Router der MX-Serie mit MS-MPCs oder MS-MICs so konfigurieren, dass anstelle der vollständigen Zertifikatkette nur das Endentitätszertifikat für die zertifikatbasierte IKE-Authentifizierung gesendet wird.
17,4R1
Ab Junos OS Version 17.4R1 wird AES-GCM im Junos FIPS-Modus unterstützt.
17.3R1
Ab Junos OS Version 17.3R1 wird Advanced Encryption Standard im Galois/Counter Mode (AES-GCM) für MS-MPCs und MS-MIC unterstützt.