Support-Portal
keyboard_arrow_right keyboard_arrow_left

Internet Key Exchange

Internet Key Exchange ist das Protokoll, das verwendet wird, um eine Security Association (SA, Sicherheitsverbindung) in IPsec herzustellen. Die Firewall unterstützt IKE wie in RFC 2409 definiert.

Der Schlüsselaustausch besteht aus den folgenden Phasen:
  • Authentifizierung (Phase 1). Während Phase 1 authentifizieren sich die Gegenstellen selbst mithilfe eines verteilten Schlüssels oder digitalen Zertifikats. Ein sicherer, authentifizierter Kommunikationskanal wird erstellt, indem der Diffie–Hellman-Algorithmus einen vereinbarten Schlüssel erzeugt, um die weitere Kommunikation zu verschlüsseln. Diese Aushandlung ergibt Sitzungsschlüssel und eine Sicherheitsverbindung.
  • Schlüsselaustausch (Phase 2). In Phase 2 verwenden die Gegenstellen den gesicherten Kanal, der in Phase 1 hergestellt wurde, um eine IPsec-Sicherheitsverbindung auszuhandeln. Das Schlüsselmaterial für diese Verbindung wird mithilfe der Schlüssel aus IKE Phase 1 erstellt oder indem ein neuer Schlüsselaustausch entsprechend den PFS-Einstellungen durchgeführt wird. Diese Verbindung verschlüsselt die wirklichen Benutzerdaten, die zwischen den Gegenstellen ausgetauscht werden.

Diffie–Hellman Schlüsselaustausch

Der Diffie–Hellman-Schlüsselaustausch ist eine Methode, um kryptografische Schlüssel sicher über einen unsicheren Kanal auszutauschen. Der Diffie–Hellman-Algorithmus wurde erfunden, um sichere verschlüsselte Schlüssel davor zu bewahren, während der Übermittlung über das Internet angegriffen zu werden. Die Verwendung von Diffie–Hellman-Schlüsselaustausch mit einem Authentifizierungsalgorithmus bietet Schutz vor Spoofing- und Man-in-the-Middle-Angriffen.

Perfect Forward Secrecy (PFS)

Perfect Forward Secrecy (PFS) ist eine Methode, um Phase-2-Schlüssel unabhängig von den vorhergehenden Schlüsseln abzuleiten. Wenn Sie PFS einstellen, wird bei jeder Aushandlung einer neuer Schlüssel erzeugt und ein erneuter Schlüsselaustausch durchgeführt. PFS bietet verbesserte Sicherheit, da ein Netzwerkeindringling einen zusätzlichen Schlüssel knacken müsste.