VPN/IPSEC Wie gehts wirklich ?

Internet Internet Sicherheit
1

Hallo, ich habe eine tiefergehende Frage zum Thema VPN.
Wenn ein Nutzer zwischen VPN-Client und VPN-Concentrator
einen 3DES Tunnel aufbaut, ist das dann wirklich nur EIN Tunnel ?
Habe gehört, das zum Aufbau einer Sitzung drei gehören.
Stimmt das ? Wenn ja, wozu dienen diese Tunnel ?

Jens

2

Hi,

Hallo, ich habe eine tiefergehende Frage zum Thema VPN.
Wenn ein Nutzer zwischen VPN-Client und VPN-Concentrator
einen 3DES Tunnel aufbaut, ist das dann wirklich nur EIN
Tunnel ?
Habe gehört, das zum Aufbau einer Sitzung drei gehören.
Stimmt das ? Wenn ja, wozu dienen diese Tunnel ?

Grundsätzlich besteht zwischen zwei IPsec-Endpunkten _ein_ Datentunnel.
Damit dieser aufgebaut werden kann, müssen allerdings noch ein paar andere Dinge ablaufen, so daß je nach Art des verwendeten IPsec-VPNs zwischenzeitlich durchaus mehrere „Tunnel“ bestehen können. Schlüsselaustausch ist z.B. solche eine Funktion.

Falls Du da weitergehendes Interesse hast, empfehle ich Dir als Lektüre
http://www.alliednetworks.de/content/news/1046904368…

Das Dokument ist zwar recht technisch, man muß aber kein Genie sein, um die Grundzüge verstehen zu können, als einigermaßen lesbar auch für IPsec-Laien.

Gruß,

Malte.

3

Im Prinzip hast Du recht, wobei auch mehr als 3 Tunnels aufgebaut werden können. Naja, versuche es so einfach wie möglich zu beschreiben.

Der erste Tunnel gehört zur Phase1 und ist so eine Art Kontrollkanal. Er hat mit dem IKE (Internet Key Exchange) zu tun. (auch ISAKMP genannt)

Danach bilden sich in der Phase2 die eigentlichen IPSec-Tunnels.
Hier entstehen mindestens 2, da

  1. diese Tunnels nur unidirectional sind (= für hin und zurück 2 Tunnels gebraucht werden)
  2. je nach dem wie der Traffic definiert wurde, welcher getunnelt werden soll, gibt es noch zusätzliche Tunnels. Nämlich dann wenn unterschiedliche Definitionen verwendet werden.

Ok, ein Beispiel:

Netz A & B — Router 1 ------- Router 2 — Netz C

Was soll getunnelt werden?

  • Von A nach C
  • Von B nach C
  1. Tunnel: IKE
  2. Tunnel: Traffic von A nach C
  3. Tunnel: Traffic von C nach A
  4. Tunnel: Traffic von B nach C
  5. Tunnel: Traffic von C nach B

Kann ich jedoch die Definition so formulieren, dass A und C in einer definition auftauchen gibts nur 3 Tunnels.

Was soll getunnelt werden?

  • Alles vor Router 1 nach C
  1. Tunnel: IKE
  2. Tunnel: Traffic von A&B nach C
  3. Tunnel: Traffic von C nach A&B

Dies ist jedoch nicht immer möglich (meist gelöst via IP-Ranges)

Hoffe es hilft!
Seppi

BTW: Man redet in der Regel von SA’s (Security Assotiations) und nicht von Tunnels

4

Solltest du weiter gehende lektuere suchen, kann ich dir die
dokumentation des freien ipsec projektes free_s/wan ans herz legen.

hier wird auf alles eingegangen und bis ins kleinste detail
(source code) offen gelegt.

http://www.freeswan.org/freeswan_trees/freeswan-2.02…

gruss, juergen

5

Danke…ihr habt mir sehr geholfen…jens:smile:)
danke