Zum Hauptinhalt springen

1.1. Usage Scenarios (Einsatzszenarien)

1.1 Usage Scenarios (Einsatzszenarien)

IKE wird genutzt, um ESP- oder AH-SAs in verschiedenen Szenarien mit jeweils eigenen Anforderungen auszuhandeln.

1.1.1. Security Gateway to Security Gateway in Tunnel Mode

               +-+-+-+-+-+            +-+-+-+-+-+
               |         | IPsec      |         |
   Protected    |Tunnel   | tunnel     |Tunnel   |     Protected
   Subnet   <-->|Endpoint |<---------->|Endpoint |<--> Subnet
               |         |            |         |
               +-+-+-+-+-+            +-+-+-+-+-+

          Figure 1: Security Gateway to Security Gateway Tunnel

Hier implementieren die Endpunkte der IP-Verbindung kein IPsec, aber Knoten dazwischen schützen den Verkehr teilweise. Der Schutz ist für die Endpunkte transparent und nutzt normales Routing zu den Tunnelendpunkten. Jeder Endpunkt kündigt Adressen „dahinter“ an; Pakete laufen im Tunnelmodus mit innerem IP-Header der echten Endpunkte.

1.1.2. Endpoint-to-Endpoint Transport Mode

  +-+-+-+-+-+                                          +-+-+-+-+-+
  |         |                 IPsec transport          |         |
  |Protected|                or tunnel mode SA         |Protected|
  |Endpoint |<---------------------------------------->|Endpoint |
  |         |                                          |         |
  +-+-+-+-+-+                                          +-+-+-+-+-+

                     Figure 2: Endpoint to Endpoint

Beide Endpunkte implementieren IPsec gemäß [IPSECARCH]. Transportmodus meist ohne inneren IP-Header. Eine Adresspaar wird für diese SA ausgehandelt. Die Endpunkte KÖNNEN anwendungsbasierte Zugriffskontrollen nach IPsec-Identitäten nutzen. Das Szenario unterstützt End-to-End-Sicherheit ([ARCHPRINC], [TRANSPARENCY]) und begrenzt Komplexitätsprobleme ([ARCHGUIDEPHIL]). Für IPv4 nicht überall, in Intranets mit IKEv1 erprobt; bei IPv6 und IKEv2 weiter verbreiten.

Ein oder beide Endpunkte können hinter NAT stehen; dann UDP-Kapselung, Ports identifizieren Endpunkte „hinter“ NAT (Abschnitt 2.23).

1.1.3. Endpoint to Security Gateway in Tunnel Mode

  +-+-+-+-+-+                          +-+-+-+-+-+
  |         |         IPsec            |         |     Protected
  |Protected|         tunnel           |Tunnel   |     Subnet
  |Endpoint |<------------------------>|Endpoint |<--- and/or
  |         |                          |         |     Internet
  +-+-+-+-+-+                          +-+-+-+-+-+

              Figure 3: Endpoint to Security Gateway Tunnel

Ein geschützter Endpunkt (z. B. mobiler Rechner) verbindet sich per IPsec-Tunnel ins Firmennetz. Nur Firmenzugriff oder gesamter Rücktransport zum Schutz durch die Firewall. Er braucht eine zum Security Gateway gehörige Adresse für Rückpakete. Statisch oder dynamisch vom Gateway. IKEv2 bietet Configuration Payloads zur Anforderung einer solchen Adresse für die SA-Laufzeit.

Tunnelmodus: äußerer Header mit aktueller Standortadresse, innerer mit vom Gateway zugewiesener Adresse. Äußeres Ziel immer Gateway, inneres Ziel die finale Destination.

Steht der Endpunkt hinter NAT, sieht das Gateway andere Adressen; UDP-Kapselung nötig (Abschnitt 2.23).

1.1.4. Other Scenarios

Weitere und verschachtelte Kombinationen sind möglich. Beispiel: Subnetz nutzt entferntes Gateway für allen externen Verkehr; Adressen werden im Internet zum Gateway geroutet, z. B. Heimnetz mit statischen Adressen bei ISP mit einer dynamischen Gateway-Adresse und Drittanbieter-Relay.

Letztes Update am