Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Überblick über IPsec

IPsec ist eine Gruppe von Protokollen, mit denen Übertragungen zwischen Geräten gesichert werden.

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für IPsec zu bestätigen.

Security Associations-Übersicht

Um IPsec-Sicherheitsdienste zu verwenden, erstellen Sie SAszwischen Hosts. Eine SA ist eine Simplex-Verbindung, die es zwei Hosts ermöglicht, sicher über IPsec miteinander zu kommunizieren. Es gibt zwei Arten von SAs: manuelle und dynamische.

  • Manuelle SAs erfordern keine Aushandlung; Alle Werte, einschließlich der Schlüssel, sind statisch und in der Konfiguration angegeben. Manuelle Sicherheitszuordnungen definieren statisch die zu verwendenden SPI-Werte, Algorithmen und Schlüssel (Security Parameter Index) und erfordern übereinstimmende Konfigurationen an beiden Enden des Tunnels. Jeder Peer muss über die gleichen konfigurierten Optionen verfügen, damit die Kommunikation stattfinden kann.

  • Dynamische SAs erfordern eine zusätzliche Konfiguration. Bei dynamischen Sicherheitszuordnungen konfigurieren Sie zuerst IKE und dann die Sicherheitszuordnung. IKE erstellt dynamische Sicherheitszuordnungen. Er handelt SAs für IPsec aus. Die IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peer-Sicherheitsgateway verwendet werden. Diese Verbindung wird dann verwendet, um Schlüssel und andere Daten, die von der dynamischen IPsec-Sicherheitszuordnung verwendet werden, dynamisch zuzustimmen. Die IKE-Sicherheitszuordnung wird zuerst ausgehandelt und dann verwendet, um die Verhandlungen zu schützen, die die dynamischen IPsec-Sicherheitszuordnungen bestimmen.

  • Richten Sie Tunnel oder SAs auf Benutzerebene ein, einschließlich Aushandlung von Tunnelattributen und Schlüsselverwaltung. Diese Tunnel können auch über denselben sicheren Kanal aktualisiert und beendet werden.

Die Junos OS-Implementierung von IPsec unterstützt zwei Sicherheitsmodi (Transportmodus und Tunnelmodus).

Siehe auch

Übersicht über das IKE Key Management Protocol

IKE ist ein Schlüsselverwaltungsprotokoll, das dynamische Sicherheitszuordnungenerstellt. Er handelt SAs für IPsec aus. Eine IKE-Konfiguration definiert die Algorithmen und Schlüssel, die verwendet werden, um eine sichere Verbindung mit einem Peer-Sicherheitsgateway herzustellen.

IKE führt die folgenden Schritte aus:

  • Aushandeln und Verwalten von IKE- und IPsec-Parametern

  • Authentifizierung des sicheren Schlüsselaustauschs

  • Bietet gegenseitige Peer-Authentifizierung mittels gemeinsamer Geheimnisse (keine Kennwörter) und öffentlicher Schlüssel

  • Bietet Identitätsschutz (im Hauptmodus)

IKE tritt in zwei Phasen auf. In der ersten Phase werden Sicherheitsattribute ausgehandelt und gemeinsame Geheimnisse festgelegt, um die bidirektionale IKE-SA zu bilden. In der zweiten Phase werden eingehende und ausgehende IPsec-Sicherheitszuordnungen eingerichtet. Die IKE SA sichert die Börsen in der zweiten Phase. IKE generiert auch Keying-Material, bietet Perfect Forward Secrecy und tauscht Identitäten aus.

Anmerkung:

Ab Junos OS Version 14.2 wird die Fehlermeldung möglicherweise generiert, wenn Sie einen SNMP-Walk des jnxIkeTunnelEntry-Objekts in der jnxIkeTunnelTable-Tabelle Request failed: OID not increasing durchführen. Dieses Problem tritt nur auf, wenn gleichzeitige Internet Key Exchange-Sicherheitszuordnungen (IKE-SAs) erstellt werden, was auftritt, wenn beide Enden der SA gleichzeitig IKE-SA-Verhandlungen initiieren. Wenn ein SNMP MIB-Walk ausgeführt wird, um IKE-SAs anzuzeigen, erwartet das snmpwalk-Tool, dass die Objektbezeichner (OIDs) in aufsteigender Reihenfolge angeordnet sind. Bei gleichzeitigen IKE-Sicherheitszuordnungen sind die OIDs in der SNMP-Tabelle jedoch möglicherweise nicht in aufsteigender Reihenfolge. Dieses Verhalten tritt auf, weil die Tunnel-IDs, die Teil der OIDs sind, basierend auf dem Initiator der IKE-Sicherheitszuordnung zugewiesen werden, der sich auf beiden Seiten des IKE-Tunnels befinden kann.

Im Folgenden finden Sie ein Beispiel für einen SNMP MIB-Walk, der auf simultanen IKE-Sicherheitszuordnungen ausgeführt wird:

Der OID-Vergleich schlägt fehl, wenn der SNMP-Walk die Tunnel-ID (47885 und 47392) aufweist. Bei der Durchführung eines SNMP-Walks kann nicht sichergestellt werden, dass die Tunnel-IDs in aufsteigender Reihenfolge angeordnet sind, da Tunnel von beiden Seiten initiiert werden können.

Um dieses Problem zu umgehen, enthält der SNMP MIB-Walk die Option -Cc, um die Prüfung auf steigende OIDs zu deaktivieren. Im Folgenden finden Sie ein Beispiel für den MIB-Walk, der für die jnxIkeTunnelEntry-Tabelle mit der Option -Cc ausgeführt wird:

Siehe auch

IPsec-Anforderungen für Junos-FIPS

In einer Junos-FIPS-Umgebung müssen Hardwarekonfigurationen mit zwei Routing-Enginesso konfiguriert werden, dass IPsec und eine private Routing-Instanz für die gesamte Kommunikation zwischen den Routing-Engines verwendet werden. IPsec-Kommunikation zwischen den Routing-Engines und AS II FIPS PICs ist ebenfalls erforderlich.

Siehe auch

Überblick über IPsec

IP-Sicherheit (IPsec) ist ein standardbasiertes Framework zur Gewährleistung der sicheren privaten Kommunikation über IP-Netzwerke. IPsec bietet eine sichere Methode zur Authentifizierung von Absendern und zur Verschlüsselung des IP-Datenverkehrs der Versionen 4 (IPv4) und Version 6 (IPv6) zwischen Netzwerkgeräten wie Routern und Hosts. IPsec umfasst Datenintegrität, Absenderauthentifizierung, Vertraulichkeit der Quelldaten und Schutz vor Datenwiedergabe.

Die wichtigsten Konzepte, die Sie verstehen müssen, sind wie folgt:

IPsec-fähige Linecards

Die erste Entscheidung, die Sie bei der Implementierung von IPsec auf einem Junos OS-basierten Router treffen müssen, ist der Typ der Linecard, die Sie verwenden möchten. Der Begriff Linecard umfasst physische Schnittstellenkarten (PICs), modulare Schnittstellenkarten (MICs), Dense Port Concentrators (DPCs) und Modular Port Concentrators (MPCs). Die folgenden Linecards unterstützen die IPsec-Implementierung.

Anmerkung:

Sehen Sie in der spezifischen Hardwaredokumentation für Ihren Router nach, ob die Linecards dieses Routers IPsec unterstützen.

Die folgenden Linecards unterstützen IPsec:

  • Der PIC für Verschlüsselungsdienste (ES) stellt Verschlüsselungsdienste und Softwareunterstützung für IPsec bereit.

  • Die Adaptive Services (AS) PIC und die Adaptive Services (AS) II PIC bieten IPsec-Services und andere Services wie Network Address Translation (NAT) und zustandsbehaftete Firewall.

  • Der AS II Federal Information Processing Standards (FIPS) PIC ist eine spezielle Version des AS PIC, der über internes IPsec sicher mit der Routing-Engine kommuniziert. Sie müssen IPsec auf dem AS II FIPS-PIC konfigurieren, wenn Sie den FIPS-Modus auf dem Router aktivieren. Weitere Informationen zur Implementierung von IPsec auf einem AS II FIPS-PIC, das in einem im FIPS-Modus konfigurierten Router installiert ist, finden Sie im Leitfaden zur sicheren Konfiguration für Common Criteria und Junos-FIPS.

  • Die Multiservices-PICs bieten Hardwarebeschleunigung für eine Reihe von paketverarbeitungsintensiven Diensten. Zu diesen Services gehören IPsec-Services und andere Services, wie Stateful-Firewall, NAT, IPsec, Anomalieerkennung und Tunnelservices.

  • Die Multiservices Dense Port Concentrators (DPCs) stellen IPsec-Services bereit.

  • Die Multiservices Modular Port Concentrators (MS-MPCs) unterstützen IPsec-Dienste.

  • Die Multiservices Modular Interface Cards (MS-MICs) unterstützen IPsec-Dienste.

Anmerkung:

Junos OS-Erweiterungspakete, einschließlich des IPsec-Servicepakets, sind auf MS-MPCs und MS-MICs vorinstalliert und vorkonfiguriert.

Siehe auch

Authentifizierungsalgorithmen

Authentifizierung ist der Prozess der Überprüfung der Identität des Absenders. Authentifizierungsalgorithmen verwenden einen gemeinsam genutzten Schlüssel, um die Authentizität der IPsec-Geräte zu überprüfen. Das Junos OS verwendet die folgenden Authentifizierungsalgorithmen:

  • Message Digest 5 (MD5) verwendet eine unidirektionale Hashfunktion, um eine Nachricht beliebiger Länge in einen Message Digest mit fester Länge von 128 Bit zu konvertieren. Aufgrund des Konvertierungsprozesses ist es mathematisch nicht möglich, die ursprüngliche Nachricht zu berechnen, indem sie rückwärts aus dem resultierenden Message Digest berechnet wird. Ebenso führt eine Änderung an einem einzelnen Zeichen in der Nachricht dazu, dass eine ganz andere Message Digest-Nummer generiert wird.

    Um sicherzustellen, dass die Nachricht nicht manipuliert wurde, vergleicht das Junos OS den berechneten Message Digest mit einem Message Digest, der mit einem gemeinsam genutzten Schlüssel entschlüsselt wurde. Das Junos OS verwendet die MD5-Variante des Hashed Message Authentication Code (HMAC), die eine zusätzliche Hashing-Ebene bietet. MD5 kann mit Authentifizierungsheader (AH), Encapsulating Security Payload (ESP) und Internet Key Exchange (IKE) verwendet werden.

  • Secure Hash Algorithm 1 (SHA-1) verwendet einen stärkeren Algorithmus als MD5. SHA-1 verarbeitet eine Nachricht mit einer Länge von weniger als 264 Bit und erzeugt einen 160-Bit-Message-Digest. Der große Message Digest stellt sicher, dass die Daten nicht geändert wurden und aus der richtigen Quelle stammen. Das Junos OS verwendet die SHA-1 HMAC-Variante, die eine zusätzliche Hashing-Ebene bietet. SHA-1 kann mit AH, ESP und IKE verwendet werden.

  • SHA-256, SHA-384 und SHA-512 (manchmal auch unter dem Namen SHA-2 zusammengefasst) sind Varianten von SHA-1 und verwenden längere Message Digests. Das Junos OS unterstützt die SHA-256-Version von SHA-2, die alle Versionen der Verschlüsselung Advanced Encryption Standard (AES), Data Encryption Standard (DES) und Triple DES (3DES) verarbeiten kann.

Verschlüsselungsalgorithmen

Durch Verschlüsselung werden Daten in ein sicheres Format verschlüsselt, sodass sie von nicht autorisierten Benutzern nicht entschlüsselt werden können. Wie Authentifizierungsalgorithmen wird ein gemeinsam genutzter Schlüssel mit Verschlüsselungsalgorithmen verwendet, um die Authentizität der IPsec-Geräte zu überprüfen. Das Junos OS verwendet die folgenden Verschlüsselungsalgorithmen:

  • Datenverschlüsselung Standard Cipher-Block Chaining (DES-CBC) ist ein symmetrischer Algorithmus zum Blockieren geheimer Schlüssel. DES verwendet eine Schlüsselgröße von 64 Bit, wobei 8 Bit für die Fehlererkennung und die restlichen 56 Bit für die Verschlüsselung verwendet werden. DES führt eine Reihe einfacher logischer Vorgänge für den gemeinsam genutzten Schlüssel aus, einschließlich Permutationen und Ersetzungen. CBC nimmt den ersten Block von 64 Bit Ausgabe von DES, kombiniert diesen Block mit dem zweiten Block, speist ihn in den DES-Algorithmus ein und wiederholt diesen Vorgang für alle nachfolgenden Blöcke.

  • Triple DES-CBC (3DES-CBC) ist ein Verschlüsselungsalgorithmus, der DES-CBC ähnelt, aber ein viel stärkeres Verschlüsselungsergebnis liefert, da er drei Schlüssel für die 168-Bit-Verschlüsselung (3 x 56-Bit) verwendet. 3DES arbeitet mit dem ersten Schlüssel zum Verschlüsseln der Blöcke, dem zweiten Schlüssel zum Entschlüsseln der Blöcke und dem dritten Schlüssel zum erneuten Verschlüsseln der Blöcke.

  • Advanced Encryption Standard (AES) ist ein Verschlüsselungsverfahren der nächsten Generation, das auf dem Rijndael-Algorithmus basiert, der von den belgischen Kryptographen Dr. Joan Daemen und Dr. Vincent Rijmen entwickelt wurde. Es verwendet einen 128-Bit-Block und drei verschiedene Schlüsselgrößen (128, 192 und 256 Bit). Abhängig von der Schlüsselgröße führt der Algorithmus eine Reihe von Berechnungen (10, 12 oder 14 Runden) durch, die Byteersetzung, Spaltenmischen, Zeilenverschiebung und Schlüsseladdition umfassen. Die Verwendung von AES in Verbindung mit IPsec ist in RFC 3602, The AES-CBC Cipher Algorithm and Its Use with IPsec, definiert.

  • Ab Junos OS Version 17.3R1 wird Advanced Encryption Standard in Galois/Counter Mode (AES-GCM) für MS-MPCs und MS-MICs unterstützt. Im Junos FIPS-Modus wird AES-GCM in Junos OS Version 17.3R1 jedoch nicht unterstützt. Ab Junos OS Version 17.4R1 wird AES-GCM im Junos FIPS-Modus unterstützt. AES-GCM ist ein authentifizierter Verschlüsselungsalgorithmus, der sowohl Authentifizierung als auch Datenschutz gewährleistet. AES-GCM verwendet universelles Hashing über ein binäres Galois-Feld, um eine authentifizierte Verschlüsselung bereitzustellen und eine authentifizierte Verschlüsselung mit Datenraten von mehreren zehn Gbit/s zu ermöglichen.

Siehe auch

IPsec-Protokolle

IPsec-Protokolle bestimmen die Art der Authentifizierung und Verschlüsselung, die auf Pakete angewendet wird, die vom Router gesichert werden. Das Junos OS unterstützt die folgenden IPsec-Protokolle:

  • AH: AH ist in RFC 2402 definiert und bietet verbindungslose Integrität und Datenursprungsauthentifizierung für IPv4- und IPv6-Pakete. Es bietet auch Schutz vor Wiederholungen. AH authentifiziert so viel wie möglich vom IP-Header sowie die Protokolldaten der oberen Ebene. Einige IP-Header-Felder können sich jedoch während der Übertragung ändern. Da der Wert dieser Felder für den Absender möglicherweise nicht vorhersagbar ist, können sie nicht durch AH geschützt werden. In einem IP-Header kann AH mit einem Wert von 51 im Protocol Feld eines IPv4-Pakets und dem Next Header Feld eines IPv6-Pakets identifiziert werden. Ein Beispiel für den IPsec-Schutz, den AH bietet, ist in Abbildung 1 dargestellt.

    Anmerkung:

    AH wird auf den Routern der T-Serie, M120 und M320 nicht unterstützt.

Abbildung 1: AH-Protokoll AH Protocol

 

  • ESP: ESP ist in RFC 2406 definiert und kann Verschlüsselung und begrenzte Vertraulichkeit des Datenverkehrsflusses oder verbindungslose Integrität, Datenursprungsauthentifizierung und einen Anti-Replay-Service bieten. In einem IP-Header kann ESP als Wert im 50 Protocol Feld eines IPv4-Pakets und im Next Header Feld eines IPv6-Pakets identifiziert werden. Ein Beispiel für den IPsec-Schutz, den ESP bietet, ist in Abbildung 2 dargestellt.

Abbildung 2: ESP-Protokoll ESP Protocol

  • Bundle – Wenn man AH mit ESP vergleicht, gibt es einige Vor- und Nachteile in beiden Protokollen. ESP bietet ein angemessenes Maß an Authentifizierung und Verschlüsselung, dies jedoch nur für einen Teil des IP-Pakets. Umgekehrt bietet AH zwar keine Verschlüsselung, aber eine Authentifizierung für das gesamte IP-Paket. Aus diesem Grund bietet Junos OS eine dritte Form des IPsec-Protokolls, die als Protokollpaket bezeichnet wird. Die Bundle-Option bietet eine hybride Kombination aus AH-Authentifizierung und ESP-Verschlüsselung.

Siehe auch

Unterstützte IKE- und IPsec-Verschlüsselungen für Geräte der SRX-Serie

Verwenden Sie die folgenden Tabellen, um die Verschlüsselungen zu überprüfen, die auf Ihrer Plattform der SRX-Serie unterstützt werden.

Tabelle 1: Unterstützte Verschlüsselungen (IKE) auf SRX-Plattformen

Chiffren (IKE)

SRX1500

SRX1600

SRX2300 SRX4120

SRX4100, SRX4200 und SRX4300

SRX4600 und SRX4700

SRX5400, SRX5600 und SRX5800

AES-128-GCM

Ja

Ja

Ja

Ja

Ja

Ja

AES-192-GCM

Nein

Nein

Nein

Nein

Nein

Nein

AES-256-GCM

Ja

Ja

Ja

Ja

Ja

Ja
Tabelle 2: Unterstützte Verschlüsselungen (IPSec) auf SRX-Plattformen

Chiffren (IPSec)

SRX1500

SRX1600

SRX2300 SRX4120

SRX4100, SRX4200 und SRX4300

SRX4600 und SRX4700

SRX5400, SRX5600 und SRX5800

AES-128-GCM

Ja

Ja

Ja

Ja

Ja

Ja

AES-192-GCM

Ja

Ja

Ja

Ja

Ja

Ja

AES-256-GCM

Ja

Ja

Ja

Ja

Ja

Ja

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
17.4R1
Ab Junos OS Version 17.4R1 wird AES-GCM im Junos FIPS-Modus unterstützt.
17.3R1
Ab Junos OS Version 17.3R1 wird Advanced Encryption Standard in Galois/Counter Mode (AES-GCM) für MS-MPCs und MS-MICs unterstützt.
14.2
Ab Junos OS Version 14.2 wird die Fehlermeldung möglicherweise generiert, wenn Sie einen SNMP-Walk des jnxIkeTunnelEntry-Objekts in der jnxIkeTunnelTable-Tabelle Request failed: OID not increasing durchführen.