Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zu Sicherheits Einstellung eines IP Sec Tunnels

Mitglied: Finchen961988

Finchen961988 (Level 1) - Jetzt verbinden

17.11.2019, aktualisiert 14:56 Uhr, 341 Aufrufe, 7 Kommentare

Hallo,

ich habe einen IPSEC Tunnel zwischen zwei Fortigate Firewalls aufgebaut und in der Phase zwei die Optionen
- Enable Replay Detection
- Enable Perfect Forward Secrecy
gefunden.

Jetzt habe ich bei Fortigate und im Internet diese Erklärungen dazu gefunden:
Replay Detection
IPsec tunnels can be vulnerable to replay attacks. Replay Detection enables the FortiGate unit to check all IPsec packets to see if they have been received before. If any encrypted packets arrive out of order, the FortiGate unit discards them.
IPSec-Tunnel können anfällig für Wiederholungsangriffe sein. Mit der Wiederholungserkennung kann die FortiGate-Einheit alle IPSec-Pakete überprüfen, um festzustellen, ob sie bereits empfangen wurden. Wenn verschlüsselte Pakete nicht in der richtigen Reihenfolge eintreffen, werden sie von der FortiGate-Einheit verworfen


Perfect Forward Secrecy
By default, Phase 2 keys are derived from the session key created in Phase 1. Perfect Forward Secrecy (PFS) forces a new Diffie-Hellman exchange when the tunnel starts and whenever the Phase 2 keylife expires, causing a new key to be generated each time. This exchange ensures that the keys created in Phase 2 are unrelated to the Phase 1 keys or any other keys generated automatically in Phase 2.
Standardmäßig werden Phase 2-Schlüssel von dem in Phase 1 erstellten Sitzungsschlüssel abgeleitet. Perfect Forward Secrecy (PFS) erzwingt einen neuen Diffie-Hellman-Austausch, wenn der Tunnel gestartet wird und wenn die Phase 2-Lebensdauer abläuft, wodurch jeweils ein neuer Schlüssel generiert wird Zeit. Durch diesen Austausch wird sichergestellt, dass die in Phase 2 erstellten Schlüssel keine Beziehung zu den Schlüsseln der Phase 1 oder anderen Schlüsseln haben, die in Phase 2 automatisch generiert werden.

Nur leider komme ich auf den Erklärungen nicht ganz klar weder die Englische noch die deutsche.

Kann mir hier jemand helfen, mein Wissen zu verbessern?
Mitglied: tikayevent
17.11.2019 um 15:24 Uhr
Bei der Replay Detection werden die Pakete einfach gesagt durchnummeriert, um zu verhindern, dass Pakete aufgezeichnet und erneut an die Firewall geschickt werden, um den Betrieb zu stören oder eventuell missbrauchbare Erkenntnisse daraus zu gewissen.

Perfect Forward Secrecy verschlüsselt die Daten der Phase 2 mit einem zusätzlich errechneten Schlüsselsatz, um zu verhindern, dass die Daten entschlüsselt werden können, wenn man die Verschlüsselung von Phase 1 überwunden hat. Sprich wenn man jetzt IPSec-Traffic aufzeichnet und durch die steigende Geschwindigkeit der Hardware die jetzigen Verschlüsselungen irgendwann knackbar wird, muss man mehrere Schichten entschlüsseln. Ohne PFS kann man von einer geknackten Phase 1 auch die Phase 2 entschlüsseln.

Einfach gesagt: Beides aktivieren.
Bitte warten ..
Mitglied: Finchen961988
17.11.2019 um 15:48 Uhr
vielen dank
Bitte warten ..
Mitglied: aqui
17.11.2019 um 18:08 Uhr
Wenn's das denn war bitte dann auch
https://administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: BitBurg
17.11.2019, aktualisiert um 22:37 Uhr
@tikayevent

Das ist nicht ganz korrekt:

Zitat von tikayevent:

Perfect Forward Secrecy verschlüsselt die Daten der Phase 2 mit einem zusätzlich errechneten Schlüsselsatz, um zu verhindern, dass die Daten entschlüsselt werden können, wenn man die Verschlüsselung von Phase 1 überwunden hat. Sprich wenn man jetzt IPSec-Traffic aufzeichnet und durch die steigende Geschwindigkeit der Hardware die jetzigen Verschlüsselungen irgendwann knackbar wird, muss man mehrere Schichten entschlüsseln. Ohne PFS kann man von einer geknackten Phase 1 auch die Phase 2 entschlüsseln.

PFS verschlüsselt nicht und man kann die Phase 2 mit geknackter Phase 1 immer entschlüsseln, denn der Quick Mode wird durch die ISAKMP-SA verschlüsselt durchgeführt, die ja durch die Phase 1 erzeugt wird. PFS findet innerhalb des Quick Modes statt. Es wird ein zusätzlicher DH-Key Exchange durchgeführt, dessen Ergebnis dann in die Schlüsselberechnung eingeht. Diese Schlüssel werden dann in der IPsec-SA gespeichert, mit der letztendlich der IPsec-Traffic verschlüsselt wird.

Bitburg
Bitte warten ..
Mitglied: Finchen961988
20.11.2019 um 19:58 Uhr
Perfect Forward Secrecy

da habt ihr mich verwirrt!

Im prinzip wird durch die Option doch wenn der Tunnel startet oder neu aufgebaut wird vor der Phase2 ein neuer Diffie-Hellmann-Austausch erzwungen und ein neuer Schlüssel generiert oder nicht?
Bitte warten ..
Mitglied: tikayevent
20.11.2019 um 20:15 Uhr
Ich hab es vereinfacht ausgedrückt.
Bitte warten ..
Mitglied: BitBurg
21.11.2019 um 09:59 Uhr
Zitat von Finchen961988:

Im prinzip wird durch die Option doch wenn der Tunnel startet oder neu aufgebaut wird vor der Phase2 ein neuer Diffie-Hellmann-Austausch erzwungen und ein neuer Schlüssel generiert oder nicht?

Wenn man mit IKEv1 eine Verbindung startet, wird in Phase 1 (Aggressive/Main Mode) immer ein DH-Austausch durchgeführt. Dadurch erhalten beide Seiten jeweils 4 identische Schlüssel. Mit einem davon wird zum Beispiel die folgende Phase 2, also der Quick Mode (QM), verschlüsselt. Einer anderer Schlüssel wird benutzt, um am Ende des QM die eigentlichen Schlüssel für den IPsec-Traffic zu berechnen.

Mit PFS wird im QM nochmal (und immer wenn die Schlüssel erneuert werden) ein DH-Austausch ausgeführt. Der dadurch generierte Schlüssel geht dann zusätzlich in die Berechnung der eigentlichen Schlüssel ein. Wenn es einem Angreifer mit riesigem Aufwand gelingen würde den Schlüssel aus Phase 1 zu ermitteln, müsste er faktisch noch mal von vorn beginnen, wenn PFS aktiv ist. Das ist ein noch größerer Aufwand.

PFS sollte man also aktivieren.

Bitburg
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
IP Sec Client legt Netzwerkkarte lahm
gelöst Frage von mario87LAN, WAN, Wireless16 Kommentare

Hallo zusammen, wir setzen für Außendienstmitarbeiter IP-Sec-Clients ein um von Außen auf interne Ressourcen zugreifen zu können. Als Client-Betriebssysteme ...

Router & Routing
IP Sec VPN 2 x Digitalsierungsbox
Frage von FinnbissRouter & Routing3 Kommentare

Hallo Forum, Hallo MItstreiter, Wie haben bei einem Kunden zwei Digitalsierungsboxen (Bintec- Elmeg) der Telekom mit jeweils festen IP ...

LAN, WAN, Wireless
Windows 7 IP-Sec VPN Client Alternative
gelöst Frage von mario87LAN, WAN, Wireless4 Kommentare

Guten Abend zusammen, ich bin auf der Suche nach einem geeigneten IP-Sec VPN Client. Bisher hatte ich immer den ...

Netzwerkgrundlagen
IP Zuweisung bei VPN Tunnel
gelöst Frage von H4rdQu0r3Netzwerkgrundlagen5 Kommentare

Hallo Leute, Ich habe eine für mich sehr wichtige Frage zu klären. Ich habe in der Theorie ein kleines ...

Neue Wissensbeiträge
Linux Tools
Dolibarr ERP CRM - Update Prozess
Anleitung von radiogugu vor 20 StundenLinux Tools

Hallo. Dies soll den kurzen Update Prozess der Software schildern. Zugrunde liegt eine Ubuntu Linux VM an der Stelle. ...

Linux Tools
Dolibarr ERP CRM - Überblick der Software
Anleitung von radiogugu vor 22 StundenLinux Tools

Hallo. Nach der Anleitung zur Einrichtung und Installation der Datenbank und des Webserver Dolibarr ERP CRM Installation möchte ich ...

Linux Tools

Dolibarr ERP CRM Installation der Datenbank und des Webserver

Anleitung von radiogugu vor 22 StundenLinux Tools

Hallo zusammen. Ich bin seit kurzem nebenberuflich selbstständig und suchte eine geeignete Software für die Auftragsverwaltung, CRM und ein ...

Sicherheit

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

Information von DerWoWusste vor 1 TagSicherheit15 Kommentare

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerkstruktur für Zuhause 1Anschluss 2 Netze
Frage von chrishaefNetzwerke24 Kommentare

Hallo liebes Forum, Ich hätte da mal eine Frage an die Profis. Bei uns liegt ein DSL Anschluss im ...

Batch & Shell
Eingabeaufforderung macht Pause bei Datensicherung mit Robocopy auf DVD
Frage von anmelderBatch & Shell23 Kommentare

Hallo, ich sichere einige Daten per Robocopy auf DVD-RAM. Wenn ich nicht am Rechner sitze macht der Befehl nach ...

Server-Hardware
Server startet nach Debian Installation nicht mehr
Frage von RobertDServer-Hardware17 Kommentare

Hallo, ich habe heute zum ersten Mal auf meinen Server (selbst zusammengebaut) Linux installiert, ging auch alles ganz gut. ...

Windows Server
Neuinstallation Windows Server 2016 - wie würdet Ihr vorgehen
Frage von mollyneoWindows Server16 Kommentare

Moin, ich habe gerade ein kleines Problem mit einer bestehenden Installation eines "Fachmanns" und möchte gern wissen, wie ihr ...