IPsec Diffie-Hellmann + SKME Oakley
Hallo
Ich nehme bezug auf folgenden Thread:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
^^Zitat von [spacyfreak]: Der Lifetime Parameter bestimmt nur dann die Lebenszeit des Administrators, wenn er die Lifetime auf beiden VPN Servern einer Seite-to-site Verbindung UNTERSCHIEDLICH konfiguriert. Die lifetime muss auf beiden identisch sein, da der Tunnel ansonsten in regelmässiger Unregelmässigkeiten abbricht und man sich beim Troubleshooting den Wolf sucht.
Hallo verstehe nicht ganz wie das gemeint ist. Ich möchte einen IPsec Verbindung mit Site-To-Site via zwei Routern herstellen.
Verstehe dabei nicht ganz die Lifetime muss somit auf jedem der 2 Router anders konfiguriert werden.? Weiter steht unten das die Lifetime identisch sein muss. Das ist ein wiederspruch in sich. Handelt es sich hier also um einen Fehler?
Bezüglich SKME & Oakley und Diffi-Hellmann habe ich noch Fragen wofür genau ist das public key? Ich habe doch bereits AES welches für die Verschlüsselung verantwortlich ist und als Algorithmus entweder SHA1 oder MD5 oder was es da noch alles gibt...
Wird mit SKME & Oakley und Diffie-Hellmann das IKE Protokoll mit diesen Verschlüsselungsmethoden gesichert AES und SHA1 verschlüsseln nur die zu sendenden Daten? Wie muss man das verstehen? Was ist mit public Key gemeint?
Gruss
Nicolas
Ich nehme bezug auf folgenden Thread:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
^^Zitat von [spacyfreak]: Der Lifetime Parameter bestimmt nur dann die Lebenszeit des Administrators, wenn er die Lifetime auf beiden VPN Servern einer Seite-to-site Verbindung UNTERSCHIEDLICH konfiguriert. Die lifetime muss auf beiden identisch sein, da der Tunnel ansonsten in regelmässiger Unregelmässigkeiten abbricht und man sich beim Troubleshooting den Wolf sucht.
Hallo verstehe nicht ganz wie das gemeint ist. Ich möchte einen IPsec Verbindung mit Site-To-Site via zwei Routern herstellen.
Verstehe dabei nicht ganz die Lifetime muss somit auf jedem der 2 Router anders konfiguriert werden.? Weiter steht unten das die Lifetime identisch sein muss. Das ist ein wiederspruch in sich. Handelt es sich hier also um einen Fehler?
Bezüglich SKME & Oakley und Diffi-Hellmann habe ich noch Fragen wofür genau ist das public key? Ich habe doch bereits AES welches für die Verschlüsselung verantwortlich ist und als Algorithmus entweder SHA1 oder MD5 oder was es da noch alles gibt...
Wird mit SKME & Oakley und Diffie-Hellmann das IKE Protokoll mit diesen Verschlüsselungsmethoden gesichert AES und SHA1 verschlüsseln nur die zu sendenden Daten? Wie muss man das verstehen? Was ist mit public Key gemeint?
Gruss
Nicolas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 278156
Url: https://administrator.de/forum/ipsec-diffie-hellmann-skme-oakley-278156.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
19 Kommentare
Neuester Kommentar
Moin,
https://de.wikipedia.org/wiki/Public-Key-Verschl%C3%BCsselungsverfahren
VG
Val
Verstehe dabei nicht ganz die Lifetime muss somit auf jedem der 2 Router anders konfiguriert werden.? Weiter steht unten das die Lifetime identisch sein muss. Das ist ein wiederspruch in sich. Handelt es sich hier also um einen Fehler?
Nein die Lifetime muss immer gleich sein! Offenbar verstehst du die formulierung nicht.^^Zitat von [spacyfreak]: Der Lifetime Parameter bestimmt nur dann die Lebenszeit des Administrators, wenn er die Lifetime auf beiden VPN Servern einer Seite-to-site Verbindung UNTERSCHIEDLICH konfiguriert. Die lifetime muss auf beiden identisch sein, da der Tunnel ansonsten in regelmässiger Unregelmässigkeiten abbricht und man sich beim Troubleshooting den Wolf sucht.
Was verstehst du daran nicht? Der Admin hats schwer wenn er die Parameter unterschiedlich konfiguriert.Bezüglich SKME & Oakley und Diffi-Hellmann habe ich noch Fragen wofür genau ist das public key? Ich habe doch bereits AES welches für die Verschlüsselung verantwortlich ist und als Algorithmus entweder SHA1 oder MD5 oder was es da noch alles gibt...
Schau dir am besten mal an wie das funktioniert:https://de.wikipedia.org/wiki/Public-Key-Verschl%C3%BCsselungsverfahren
VG
Val
Hallo,
das meiste hat Günther ja schon abgehandelt, aber ich wollte auch noch schnell etwas dazu lsowerden;
- Algorithmen (Verschlüsselung selber, AES, 3DES,...)
- Methoden (IPSec, OpenVPN, L2TP)
- Verfahren (Public Key)
- Einstellungen zu diversen Methoden und verfahren
- Router Du hast (Hersteller und Modell)
- Was die alles an VPN Methoden unterstützen
- Was für ISPs und Internetverbindungen Du hast
Und dann entscheidet man sich für eine VPN Verbindung die beide Router und die
Internetverbindungen auch hergeben bzw. richtig unterstützen.
Sich vorher über die eine oder andere Sache "einen Kopf zu machen" ist zwar ganz
nett es muss aber dann auch passen.
Gruß
Dobby
das meiste hat Günther ja schon abgehandelt, aber ich wollte auch noch schnell etwas dazu lsowerden;
Wird mit SKME & Oakley und Diffie-Hellmann das IKE Protokoll mit diesen
Verschlüsselungsmethoden gesichert AES und SHA1 verschlüsseln nur die
zu sendenden Daten? Wie muss man das verstehen? Was ist mit public Key gemeint?
Es gibt hier unterschiedliche Sachen, die Du offenbar durcheinander bringst.Verschlüsselungsmethoden gesichert AES und SHA1 verschlüsseln nur die
zu sendenden Daten? Wie muss man das verstehen? Was ist mit public Key gemeint?
- Algorithmen (Verschlüsselung selber, AES, 3DES,...)
- Methoden (IPSec, OpenVPN, L2TP)
- Verfahren (Public Key)
- Einstellungen zu diversen Methoden und verfahren
Hallo verstehe nicht ganz wie das gemeint ist. Ich möchte einen IPsec Verbindung mit
Site-To-Site via zwei Routern herstellen.
Ich würde mal sagen Du schreibst uns erst einmal was für;Site-To-Site via zwei Routern herstellen.
- Router Du hast (Hersteller und Modell)
- Was die alles an VPN Methoden unterstützen
- Was für ISPs und Internetverbindungen Du hast
Und dann entscheidet man sich für eine VPN Verbindung die beide Router und die
Internetverbindungen auch hergeben bzw. richtig unterstützen.
Sich vorher über die eine oder andere Sache "einen Kopf zu machen" ist zwar ganz
nett es muss aber dann auch passen.
Gruß
Dobby
Hallo nochmal,
Verfahren, es wird also ausgehandelt welches Algorithmen benutzt werden.
Schlüsselaustauschprotokoll man kann oftmals zwischen mehreren
Verfahren auswählen. RSA, Diffie- Hellmann, ELGamal oder sogar
Diffie-Hellmann & ElGamal, DSA,...
Private-Key-Verfahren = Symmetrisches Verfahren
Gruß
Dobby
hergestellt wird das mittels public key und Diffie-Hellmann.
Es hääte auch ein symmetrisches Verfahren sein könne und RSA.Im IKE PHase 2 wird anschliessend ausgehandelt ob AES oder DES als Verschlüssungsverfahren
AES oder DES sind Crypto Algorithmen und diese können dann genutzt werden durchVerfahren, es wird also ausgehandelt welches Algorithmen benutzt werden.
Kann mir den jemand erklären so das man es auch als Laie versteht?
Wikipedia irritiert mehr als es für einen Laien zu verstehen ist.
Lies doch bitte ein mal diesen Artikel vom heise Verlag durch; SchlüsselweitwurfWikipedia irritiert mehr als es für einen Laien zu verstehen ist.
Wofür und was ist SKME & Oakley?
Das kann ich Dir auch nicht sagen! Eventuell meinst Du ja uach SKEYID?Wofür und was ist Diffie-Hellmann?
Es handelt sich hier um eine VerschlüsselungsaustauschverfahrenSchlüsselaustauschprotokoll man kann oftmals zwischen mehreren
Verfahren auswählen. RSA, Diffie- Hellmann, ELGamal oder sogar
Diffie-Hellmann & ElGamal, DSA,...
Soweit ich verstehe Public Key ist ein Verschlüsselungsverfahren (IKE Phase 1 )
welches wie auch AES (z.B bei IKE Phase 2) zwischen zwei Hosts aus einem
Public-Key = Asymmetrisches Verfahrenwelches wie auch AES (z.B bei IKE Phase 2) zwischen zwei Hosts aus einem
Private-Key-Verfahren = Symmetrisches Verfahren
Gruß
Dobby
Asymetrisch (Public Key) & symetrisch (Secret Key) sind Verfahren nach denen man
etwas verschlüsselt und die benutzen dann RSA oder DH und das sind dann die Methoden
nach denen etwas verschlüsselt wird und diese wiederum benutzen AES, DES oder 3DES das sind
Algorithmen womit etwas verschlüsselt wird.
Das IKE 1 und IKE 2 sind Phasen des kryptographischen "Handshakes" oder die beiden
Phasen die die kryptographische Verschlüsselung untereinander aushandeln. bevor sie aufgebaut
wir! Das heißt hier wird in zwei Schritten ausgehandelt wie man den VPN Tunnel aufbauen möchte.
Und zwar wie folgt;
- Welches Verfahren wird benutzt
- Und welches Verfahren dann welche Methode benutzt
- Und welcher von eben dieser Methode benutzt wird
Das ist als wenn man vorher etwas verabredet wie zum Beispiel einen Brief schreiben:
Wir nehmen ein weißes Blatt Papier und schreiben dann mit einem Füllfederhalter einen
deutschen Text darauf.
- auf Papier (Brief) ist das Verfahren
- mit Tinte (Methode)
- in deutsch (Algorithmus)
Gruß
Dobby
etwas verschlüsselt und die benutzen dann RSA oder DH und das sind dann die Methoden
nach denen etwas verschlüsselt wird und diese wiederum benutzen AES, DES oder 3DES das sind
Algorithmen womit etwas verschlüsselt wird.
Das IKE 1 und IKE 2 sind Phasen des kryptographischen "Handshakes" oder die beiden
Phasen die die kryptographische Verschlüsselung untereinander aushandeln. bevor sie aufgebaut
wir! Das heißt hier wird in zwei Schritten ausgehandelt wie man den VPN Tunnel aufbauen möchte.
Und zwar wie folgt;
- Welches Verfahren wird benutzt
- Und welches Verfahren dann welche Methode benutzt
- Und welcher von eben dieser Methode benutzt wird
Das ist als wenn man vorher etwas verabredet wie zum Beispiel einen Brief schreiben:
Wir nehmen ein weißes Blatt Papier und schreiben dann mit einem Füllfederhalter einen
deutschen Text darauf.
- auf Papier (Brief) ist das Verfahren
- mit Tinte (Methode)
- in deutsch (Algorithmus)
Gruß
Dobby
Phase 2 danach nur noch welchen Hash (Algorythmus) z. B 3des, des, Sha1 oder AES?
Das kaspern die beiden Partner dynamsich aus ! Der höchste gemeinsame Standard gewinnt.Nimm dir einen Wireshark und sniffer eine IPsec negotiation mal mit, da siehst du das doch alles schwarz auf weiss und musst hier nicht im Thread rumspekulieren !
Ja, das stimmt soweit. Richtig beantwortet.
Was das Thema Methode oder Verfahren anbetrifft gibt es eben unterschiedliche die man nutzen kann.
Stell dir das vor wie 2 Personen die miteinander reden und Englisch, Deutsch, Französisch und Italienisch können.
Die einigen sich auch vorher auf die Sprache die sie sprechen wollen.
Genau so ist es bei IPsec auch. 3DES mit SHA1, 3DES mit MD5, AES mit SHA1 usw. usw.
Was das Thema Methode oder Verfahren anbetrifft gibt es eben unterschiedliche die man nutzen kann.
Stell dir das vor wie 2 Personen die miteinander reden und Englisch, Deutsch, Französisch und Italienisch können.
Die einigen sich auch vorher auf die Sprache die sie sprechen wollen.
Genau so ist es bei IPsec auch. 3DES mit SHA1, 3DES mit MD5, AES mit SHA1 usw. usw.
Ja, richtig aber innerhalb der Verschlüsselung git es verschiedenen Algorythmen und die müssen auf beiden Seiten gleich sein. In so fern müssen die Partner sich auf ein gemeinsame Profil einigen !
Wozu kann man denn sonst bei IPsec die ganzen unterschiedlichen Verfahren in der Konfig angeben ??
Hier mal am Beispiel VPN:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Wozu kann man denn sonst bei IPsec die ganzen unterschiedlichen Verfahren in der Konfig angeben ??
Hier mal am Beispiel VPN:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Zitat von @osze90:
Nochmals von beginn an AES, 3DES und DES sind Methoden wie man Verschlüsselt, Verschlüsselungsverfahren gibt es entweder Symetrische oder Asymetrische. RSA = Asymetrisch und Diffie Hellmann für Symetrisch.
AES, 3DES und DES sind Verschlüsselungsalgorithmen, die mit symmetrischen Schlüsseln arbeiten. Symmetrisch bedeutet, dass Sender und Empfänger einen identischen Schlüssel benutzen, der nur den beiden bekannt sein darf. RSA arbeitet mit unterschiedlichen Schlüsseln, die in einem mathematischen Zusammenhang stehen. Ein Schlüssel darf dabei öffentlich bekannt sein (Public Key). Das Diffie-Hellman Verfahren ist kein Verschlüsselungsalgorithmus. Hier können Sender und Empfänger öffentlich Schlüssel austauschen, aus denen sie dann symmetrische Schlüssel berechnen. Durch die Eigenschaft, dass sówohl RSA als auch DH Schlüssel öffentlich bekanntgeben, zählen beide zu den Public-Key-Verfahren.Nochmals von beginn an AES, 3DES und DES sind Methoden wie man Verschlüsselt, Verschlüsselungsverfahren gibt es entweder Symetrische oder Asymetrische. RSA = Asymetrisch und Diffie Hellmann für Symetrisch.
SHA, MD5 sind einmal Hashfunktionen die einen Verschlüsselten Wert kreiieren
Hashfunktionen verschlüsseln nicht. Verschlüsseln bedeutet ja, dass man auch wieder entschlüsseln kann. Eine Hashfunktion ist ein Einweg-Kompressionsverfahren. Das heißt, es berechnet aus einem beliebig langen Eingabewert einen kurzen Wert festgelegter Größe. Bei MD5 zum Beispiel 128 Bit. Das Ergebnis kann man sich wie eine Prüfsumme vorstellen. Aus dem Ergebnis soll sich der Eingabewert aber nicht mehr berechnen lassen.Also schlussendlich benutzt ein System entweder ein Aysmetrisches- oder Symetrisches-Verschlüsselungs Verfahren das entspricht also entweder Diffie Hellman oder RSA Verfahren die benutzten je nach configuration wiederrum AES oder halt was anderes.
RSA ist ein eigenständiges Verschlüsselungsverfahren, was aber sehr langsam ist. Das liegt einfach an der Größe der verwendeten Zahlen. RSA kann aber zum Übermitteln von Schlüsseln benutzt werden, sodass im Ergebnis der Sender und Empfänger über identische Schlüssel verfügen. Beim Protokoll IKE in IPSec wird das DH-Verfahren benutzt, um symmetrische Schlüssel für AES usw. zu berechnen. RSA wird auch in IKE benutzt, allerdings zur Authentifizierung der beteiligten Gegenstellen.Kryptografie ist ein riesiges Thema. Was ích hier geschrieben habe, ist nichtmal ein Tropfen auf den heißen Stein. Die Begriffe, die ich verwendet habe sind sicher auch nicht immer korrekt. Aber das Prinzip stimmt so.
Wenn dich das Thema interessiert, wirst um das Lesen von Büchern nicht herumkommen. Sowas kann ein Forum nicht leisten.
BB