Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Überblick über IPsec

Übersicht über Sicherheitszuordnungen

Um IPsec-Sicherheitsdienste verwenden zu können, erstellen Sie Sicherheitszuordnungenzwischen Hosts. Eine SA ist eine Simplex-Verbindung, die es zwei Hosts ermöglicht, mittels IPsec sicher miteinander zu kommunizieren. Es gibt zwei Arten von Sicherheitszuordnungen: manuelle und dynamische.

  • Manuelle Sicherheitszuordnungen erfordern keine Verhandlungen. Alle Werte, einschließlich der Schlüssel, sind statisch und werden in der Konfiguration angegeben. Manuelle Sicherheitszuordnungen definieren statisch die zu verwendenden SPI-Werte, Algorithmen und Schlüssel (Security Parameter Index) und erfordern übereinstimmende Konfigurationen an beiden Enden des Tunnels. Jeder Peer muss über die gleichen konfigurierten Optionen für die Kommunikation verfügen.

  • Dynamische Sicherheitszuordnungen erfordern zusätzliche Konfigurationen. Bei dynamischen Sicherheitszuordnungen konfigurieren Sie zuerst IKE und dann die Sicherheitszuordnung. IKE erstellt dynamische Sicherheitsassoziationen. Er handelt Sicherheitszuordnungen für IPsec aus. Die IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peersicherheitsgateway verwendet werden. Diese Verbindung wird dann verwendet, um Schlüssel und andere Daten, die von der dynamischen IPsec-Sicherheitszuordnung verwendet werden, dynamisch zu vereinbaren. Die IKE-Sicherheitszuordnung wird zuerst ausgehandelt und dann verwendet, um die Verhandlungen zu schützen, die die dynamischen IPsec-Sicherheitszuordnungen bestimmen.

  • Richten Sie Tunnel oder SAs auf Benutzerebene ein, einschließlich Tunnelattributverhandlungen und Schlüsselverwaltung. Diese Tunnel können auch auf demselben sicheren Kanal aktualisiert und beendet werden.

Die Junos OS-Implementierung von IPsec unterstützt zwei Sicherheitsmodi (Transportmodus und Tunnelmodus).

Siehe auch

Übersicht über das IKE-Schlüsselverwaltungsprotokoll

IKE ist ein Schlüsselverwaltungsprotokoll, das dynamische Sicherheitszuordnungenerstellt. Er handelt Sicherheitszuordnungen für IPsec aus. Eine IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen einer sicheren Verbindung mit einem Peer-Sicherheitsgateway verwendet werden.

IKE macht Folgendes:

  • Aushandeln und Verwalten von IKE- und IPsec-Parametern

  • Authentifiziert den sicheren Schlüsselaustausch

  • Bietet gegenseitige Peer-Authentifizierung mittels gemeinsamer geheimer Schlüssel (keine Kennwörter) und öffentlichen Schlüsseln

  • Bietet Identitätsschutz (im Hauptmodus)

IKE erfolgt über zwei Phasen. In der ersten Phase werden Sicherheitsattribute ausgehandelt und gemeinsame geheime Schlüssel festgelegt, um die bidirektionale IKE-Sicherheitszuordnung zu bilden. In der zweiten Phase werden eingehende und ausgehende IPsec-Sicherheitszuordnungen eingerichtet. Die IKE SA sichert die Börsen in der zweiten Phase. IKE generiert auch Keying-Material, bietet Perfect Forward Secrency und tauscht Identitäten aus.

Anmerkung:

Ab Junos OS Version 14.2 wird möglicherweise die Request failed: OID not increasing Fehlermeldung generiert, wenn Sie einen SNMP-Walk des jnxIkeTunnelEntry-Objekts in der jnxIkeTunnelTable-Tabelle ausführen. Dieses Problem tritt nur auf, wenn simultane Internet Key Exchange-Sicherheitszuordnungen (IKE-Sicherheitszuordnungen) erstellt werden, d. h. wenn beide Enden der Sicherheitszuordnung gleichzeitig IKE-Sicherheitszuordnungen initiieren. Wenn ein SNMP-MIB-Walk ausgeführt wird, um IKE-SAs anzuzeigen, erwartet das snmpwalk-Tool, dass die Objektbezeichner (OIDs) in aufsteigender Reihenfolge angezeigt werden. Bei gleichzeitigen IKE-SAs sind die OIDs in der SNMP-Tabelle jedoch möglicherweise nicht in aufsteigender Reihenfolge. Dieses Verhalten tritt auf, weil die Tunnel-IDs, die Teil der OIDs sind, basierend auf dem Initiator der IKE-Sicherheitszuordnung zugewiesen werden, der sich auf beiden Seiten des IKE-Tunnels befinden kann.

Im Folgenden finden Sie ein Beispiel für einen SNMP-MIB-Walk, der auf gleichzeitigen IKE-SAs ausgeführt wird:

Der OID-Vergleich schlägt fehl, wenn der SNMP-Walk die Tunnel-ID (47885 und 47392) ist. Es kann nicht sichergestellt werden, dass bei einem SNMP-Walk die Tunnel-IDs in aufsteigender Reihenfolge angezeigt werden, da Tunnel von beiden Seiten initiiert werden können.

Um dieses Problem zu umgehen, enthält der SNMP-MIB-Walk die Option -Cc, mit der die Überprüfung auf steigende OIDs deaktiviert werden kann. Im Folgenden finden Sie ein Beispiel für den MIB-Walk, der für die Tabelle jnxIkeTunnelEntry mit der Option -Cc ausgeführt wird:

Siehe auch

IPsec-Anforderungen für Junos-FIPS

In einer Junos-FIPS-Umgebung müssen Hardwarekonfigurationen mit zwei Routing-Enginesso konfiguriert werden, dass IPsec und eine private Routing-Instanz für die gesamte Kommunikation zwischen den Routing-Engines verwendet werden. IPsec-Kommunikation zwischen den Routing-Engines und AS II-FIPS-PICs ist ebenfalls erforderlich.

Siehe auch

Überblick über IPsec

IP Security (IPsec) ist ein auf Standards basierendes Framework zur Gewährleistung sicherer privater Kommunikation über IP-Netzwerke. IPsec bietet eine sichere Methode zur Authentifizierung von Absendern und zur Verschlüsselung von IP-Datenverkehr der Version 4 (IPv4) und Version 6 (IPv6) zwischen Netzwerkgeräten wie Routern und Hosts. IPsec umfasst Datenintegrität, Absenderauthentifizierung, Vertraulichkeit der Quelldaten und Schutz vor Datenwiedergabe.

Die wichtigsten Konzepte, die Sie verstehen müssen, sind wie folgt:

IPsec-fähige Linecards

Die erste Wahl, die Sie bei der Implementierung von IPsec auf einem Junos-OS-basierten Router treffen müssen, ist der Typ der Linecard, die Sie verwenden möchten. Der Begriff Linecard umfasst physische Schnittstellenkarten (PICs), modulare Schnittstellenkarten (MICs), Dense Port Concentrators (DPCs) und modulare Port Concentrators (MPCs). Die folgenden Linecards unterstützen die IPsec-Implementierung.

Anmerkung:

Ermitteln Sie in der spezifischen Hardwaredokumentation Ihres Routers, ob die Linecards auf diesem Router IPsec unterstützen.

Die folgenden Linecards unterstützen IPsec:

  • Das Encryption Services (ES) PIC bietet Verschlüsselungsdienste und Softwareunterstützung für IPsec.

  • Der Adaptive Services (AS) PIC und der Adaptive Services (AS) II PIC stellen IPsec-Dienste und andere Services wie Network Address Translation (NAT) und Stateful Firewall bereit.

  • Der AS II Federal Information Processing Standards (FIPS) PIC ist eine spezielle Version des AS PIC, die über interne IPsec sicher mit der Routing-Engine kommuniziert. Sie müssen IPsec auf dem AS II FIPS PIC konfigurieren, wenn Sie den FIPS-Modus auf dem Router aktivieren. Weitere Informationen zur Implementierung von IPsec auf einem AS II FIPS PIC, der in einem im FIPS-Modus konfigurierten Router installiert ist, finden Sie im Secure Configuration Guide for Common Criteria und Junos-FIPS.

  • Die Multiservices-PICs bieten Hardwarebeschleunigung für eine Reihe von paketverarbeitungsintensiven Diensten. Zu diesen Services gehören IPsec-Services und andere Services wie Stateful Firewall, NAT, IPsec, Anomalieerkennung und Tunnelservices.

  • Die Multiservices Dense Port Concentrators (DPCs) stellen IPsec-Dienste bereit.

  • Die Multiservices Modular Port Concentrators (MS-MPCs) unterstützen IPsec-Dienste.

  • Die Multiservices Modular Interface Cards (MS-MICs) unterstützen IPsec-Dienste.

Anmerkung:

Junos OS-Erweiterungsanbieterpakete, einschließlich des IPsec-Servicepakets, sind auf MS-MPCs und MS-MICs vorinstalliert und vorkonfiguriert.

Siehe auch

Authentifizierungsalgorithmen

Authentifizierung ist der Prozess der Überprüfung der Identität des Absenders. Authentifizierungsalgorithmen verwenden einen gemeinsam genutzten Schlüssel, um die Authentizität der IPsec-Geräte zu überprüfen. Das Junos-Betriebssystem verwendet die folgenden Authentifizierungsalgorithmen:

  • Message Digest 5 (MD5) verwendet eine unidirektionale Hashfunktion, um eine Nachricht beliebiger Länge in einen Message Digest mit fester Länge von 128 Bit zu konvertieren. Aufgrund des Konvertierungsprozesses ist es mathematisch nicht möglich, die ursprüngliche Nachricht zu berechnen, indem sie aus dem resultierenden Nachrichtenhash rückwärts berechnet wird. Ebenso führt die Änderung eines einzelnen Zeichens in der Nachricht dazu, dass eine ganz andere Message-Digest-Nummer generiert wird.

    Um sicherzustellen, dass die Nachricht nicht manipuliert wurde, vergleicht das Junos-Betriebssystem den berechneten Nachrichten-Digest mit einem Nachrichten-Digest, der mit einem gemeinsam genutzten Schlüssel entschlüsselt wurde. Das Junos-Betriebssystem verwendet die MD5-Variante HMAC (Hashed Message Authentication Code), die eine zusätzliche Hashing-Ebene bietet. MD5 kann mit Authentifizierungsheader (AH), Encapsulating Security Payload (ESP) und Internet Key Exchange (IKE) verwendet werden.

  • Secure Hash Algorithm 1 (SHA-1) verwendet einen stärkeren Algorithmus als MD5. SHA-1 nimmt eine Nachricht mit einer Länge von weniger als 264 Bit entgegen und erzeugt einen 160-Bit-Message Digest. Der Large Message Digest stellt sicher, dass die Daten nicht verändert wurden und aus der richtigen Quelle stammen. Das Junos-Betriebssystem verwendet die SHA-1 HMAC-Variante, die eine zusätzliche Hashing-Ebene bietet. SHA-1 kann mit AH, ESP und IKE verwendet werden.

  • SHA-256, SHA-384 und SHA-512 (manchmal auch unter dem Namen SHA-2 zusammengefasst) sind Varianten von SHA-1 und verwenden längere Message Digests. Das Junos-Betriebssystem unterstützt die SHA-256-Version von SHA-2, die alle Versionen der AES-Verschlüsselung (Advanced Encryption Standard), des Datenverschlüsselungsstandards (DES) und der 3DES-Verschlüsselung (Triple DES) verarbeiten kann.

Verschlüsselungsalgorithmen

Bei der Verschlüsselung werden Daten in ein sicheres Format verschlüsselt, sodass sie von unbefugten Benutzern nicht entschlüsselt werden können. Wie Authentifizierungsalgorithmen wird ein gemeinsam genutzter Schlüssel zusammen mit Verschlüsselungsalgorithmen verwendet, um die Authentizität der IPsec-Geräte zu überprüfen. Das Junos-Betriebssystem verwendet die folgenden Verschlüsselungsalgorithmen:

  • Data Encryption Standard Cipher-Block Chaining (DES-CBC) ist ein symmetrischer Secret-Key-Block-Algorithmus. DES verwendet eine Schlüssellänge von 64 Bit, wobei 8 Bit für die Fehlererkennung und die restlichen 56 Bit für die Verschlüsselung verwendet werden. DES führt eine Reihe einfacher logischer Operationen für den gemeinsam genutzten Schlüssel aus, einschließlich Permutationen und Ersetzungen. CBC nimmt den ersten Block mit 64 Bit Ausgabe von DES, kombiniert diesen Block mit dem zweiten Block, speist ihn zurück in den DES-Algorithmus und wiederholt diesen Vorgang für alle nachfolgenden Blöcke.

  • Triple DES-CBC (3DES-CBC) ist ein Verschlüsselungsalgorithmus, der DES-CBC ähnelt, jedoch ein viel stärkeres Verschlüsselungsergebnis liefert, da er drei Schlüssel für die 168-Bit-Verschlüsselung (3 x 56 Bit) verwendet. 3DES verwendet den ersten Schlüssel zum Verschlüsseln der Blöcke, den zweiten Schlüssel zum Entschlüsseln der Blöcke und den dritten Schlüssel zum erneuten Verschlüsseln der Blöcke.

  • Advanced Encryption Standard (AES) ist eine Verschlüsselungsmethode der nächsten Generation, die auf dem Rijndael-Algorithmus basiert, der von den belgischen Kryptographen Dr. Joan Daemen und Dr. Vincent Rijmen entwickelt wurde. Es verwendet einen 128-Bit-Block und drei verschiedene Schlüsselgrößen (128, 192 und 256 Bit). Abhängig von der Schlüsselgröße führt der Algorithmus eine Reihe von Berechnungen (10, 12 oder 14 Runden) durch, die Byteersetzung, Spaltenmischen, Zeilenverschiebung und Hinzufügen von Schlüsseln umfassen. Die Verwendung von AES in Verbindung mit IPsec ist in RFC 3602, Der AES-CBC-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec, definiert.

  • Ab Junos OS Version 17.3R1 wird Advanced Encryption Standard in Galois/Counter Mode (AES-GCM) für MS-MPCs und MS-MICs unterstützt. Im Junos FIPS-Modus wird AES-GCM in Junos OS Version 17.3R1 jedoch nicht unterstützt. Ab Junos OS Version 17.4R1 wird AES-GCM im Junos FIPS-Modus unterstützt. AES-GCM ist ein authentifizierter Verschlüsselungsalgorithmus, der sowohl Authentifizierung als auch Datenschutz bietet. AES-GCM verwendet universelles Hashing über ein binäres Galois-Feld, um authentifizierte Verschlüsselung bereitzustellen, und ermöglicht authentifizierte Verschlüsselung mit Datenraten von mehreren zehn Gbit/s.

Siehe auch

IPsec-Protokolle

IPsec-Protokolle bestimmen die Art der Authentifizierung und Verschlüsselung, die auf Pakete angewendet wird, die vom Router gesichert werden. Das Junos-Betriebssystem unterstützt die folgenden IPsec-Protokolle:

  • AH - AH ist in RFC 2402 definiert und bietet verbindungslose Integrität und Datenursprungsauthentifizierung für IPv4- und IPv6-Pakete. Es bietet auch Schutz vor Wiederholungen. AH authentifiziert so viel IP-Header wie möglich sowie die Protokolldaten der oberen Ebene. Einige IP-Header-Felder können sich jedoch während der Übertragung ändern. Da der Wert dieser Felder für den Absender möglicherweise nicht vorhersehbar ist, können sie nicht durch AH geschützt werden. In einem IP-Header kann AH mit einem Wert von 51 im Protocol Feld eines IPv4-Pakets und im Next Header Feld eines IPv6-Pakets identifiziert werden. Ein Beispiel für den IPsec-Schutz, den AH bietet, ist in Abbildung 1 dargestellt.

    Anmerkung:

    AH wird auf den Routern der T-Serie, M120 und M320 nicht unterstützt.

Abbildung 1: AH-Protokoll AH Protocol

 

  • ESP - ESP ist in RFC 2406 definiert und kann Verschlüsselung und Vertraulichkeit des Datenverkehrsflusses oder verbindungslose Integrität, Datenursprungsauthentifizierung und einen Anti-Replay-Service bereitstellen. In einem IP-Header kann ESP als Wert von 50 im Protocol Feld eines IPv4-Pakets und im Next Header Feld eines IPv6-Pakets identifiziert werden. Ein Beispiel für den IPsec-Schutz, den ESP bietet, ist in Abbildung 2 dargestellt.

Abbildung 2: ESP-Protokoll ESP Protocol

  • Bundle – Wenn Sie AH mit ESP vergleichen, gibt es einige Vor- und Nachteile in beiden Protokollen. ESP bietet ein angemessenes Maß an Authentifizierung und Verschlüsselung, tut dies jedoch nur für einen Teil des IP-Pakets. Umgekehrt bietet AH zwar keine Verschlüsselung, aber eine Authentifizierung für das gesamte IP-Paket. Aus diesem Grund bietet das Junos-Betriebssystem eine dritte Form des IPsec-Protokolls, die als Protokollpaket bezeichnet wird. Die Bundle-Option bietet eine hybride Kombination aus AH-Authentifizierung und ESP-Verschlüsselung.

Siehe auch

Tabelle "Änderungshistorie"

Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
17.4R1
Ab Junos OS Version 17.4R1 wird AES-GCM im Junos FIPS-Modus unterstützt.
17.3R1
Ab Junos OS Version 17.3R1 wird Advanced Encryption Standard in Galois/Counter Mode (AES-GCM) für MS-MPCs und MS-MICs unterstützt.
14.2
Ab Junos OS Version 14.2 wird möglicherweise die Request failed: OID not increasing Fehlermeldung generiert, wenn Sie einen SNMP-Walk des jnxIkeTunnelEntry-Objekts in der jnxIkeTunnelTable-Tabelle ausführen.