<\/p>\n
Inhalt:<\/strong><\/p>\n IPsec ist vielen ein Begriff, die sich schon einmal mit dem Thema VPN besch\u00e4ftigt haben. Wussten Sie jedoch, dass IPsec selbst gar kein VPN-Protokoll ist? Tats\u00e4chlich handelt es sich bei IPsec um eine Protokollsuite, die aus verschiedenen Protokollen besteht, von denen jedes eine bestimmte Aufgabe erf\u00fcllt.<\/p>\n In diesem Deep Dive betrachten wir ESP und IKE genauer.<\/p>\n ESP (Encapsulating Security Payload) ist das zentrale VPN-Protokoll zum Austausch von verschl\u00fcsselten und integrit\u00e4tsgesch\u00fctzten Daten. Es kann verwendet werden, um den Inhalt eines IP-Pakets zu verschl\u00fcsseln oder ganze IP-Pakete \u00fcber ein IP-Netzwerk wie das Internet zu tunneln.<\/p>\n ESP wurde 1998 standardisiert und ist ein relativ einfaches Protokoll, denn in Sachen Sicherheit gilt: Je einfacher, desto besser. Zudem ist ESP sehr schnell und kann dank seiner flexiblen Struktur zu einem der sichersten VPN-Protokolle gemacht werden \u2013 durch die Unterst\u00fctzung zahlreicher kryptografischer Verfahren.<\/p>\n Alles, was Sie f\u00fcr einen ESP-Tunnel ben\u00f6tigen, ist, dass sich beide Seiten auf die zu verwendenden kryptografischen Verfahren sowie einen Satz kryptografischer Schl\u00fcssel einigen. Dann kann es losgehen \u2026<\/p>\n \u2026 au\u00dfer: Wie sollen sich beide Seiten auf Verfahren einigen, und wie \u00fcbertr\u00e4gt man sicherheitskritische Schl\u00fcssel von einer Seite zur anderen, wenn einem nur ein unsicheres Medium wie das Internet zur Verf\u00fcgung steht?<\/p>\n Hier kommt ein weiteres Protokoll der Suite ins Spiel: IKE (Internet Key Exchange).[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text css=\"\" text_direction=\"default\"]\n IKE basiert auf einem allgemeineren Protokoll namens ISAKMP (Internet Security Association and Key Management Protocol). Die Aufgabe von IKE l\u00e4sst sich wie folgt beschreiben: Es soll eine sichere Verbindung zwischen zwei Endpunkten herstellen und diese sichere Verbindung nutzen, um Sitzungsschl\u00fcssel und Parameter f\u00fcr einen tats\u00e4chlichen IPsec-Tunnel auszuhandeln.<\/p>\n Im Gegensatz zu ESP, das ein Layer-4-Protokoll ist und direkt auf IP aufsetzt (also dort, wo man normalerweise Protokolle wie UDP, TCP oder ICMP erwartet), handelt es sich bei IKE um ein Layer-7-Protokoll, das auf UDP aufsetzt und Port 500 verwendet. UDP ist, genau wie ESP, ein verbindungsloses Protokoll \u2013 es kennt das Konzept einer Verbindung nicht, sondern sendet einfach Pakete mit bestimmten Parametern an ein Ziel und hofft, dass sie ankommen. IKE hingegen versteht sehr wohl, was eine Verbindung ist, und nutzt UDP lediglich als Transportmechanismus, da UDP schnell und einfach ist.<\/p>\n Das OSI-Modell<\/p><\/div>\n[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text css=\"\" text_direction=\"default\"]\n Eine IKE-Verbindung l\u00e4sst sich in drei Phasen unterteilen:<\/p>\n In der ersten Phase wird ein Endpunkt kontaktiert, man einigt sich auf kryptografische Verfahren, leitet Sitzungsschl\u00fcssel f\u00fcr die aktuelle Session ab und f\u00fchrt eine gegenseitige Authentifizierung der Endpunkte durch.<\/p>\n In der zweiten Phase werden die Parameter und Schl\u00fcssel f\u00fcr den gew\u00fcnschten IPsec-Tunnel ausgehandelt. Die dritte und letzte Phase dient der \u00dcberwachung der laufenden Verbindung sowie der regelm\u00e4\u00dfigen Erneuerung aller SAs, da die Verwendung derselben kryptografischen Schl\u00fcssel \u00fcber einen l\u00e4ngeren Zeitraum das gesamte System zunehmend angreifbar macht.[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text css=\"\" text_direction=\"default\"]\n Trotz seiner Komplexit\u00e4t fehlte dem IKE-Protokoll grundlegende Funktionalit\u00e4t, die erst sp\u00e4ter durch Erweiterungen erg\u00e4nzt wurde. Einige dieser Erweiterungen wurden standardisiert und gelten heute als offizielle Erg\u00e4nzungen, andere kamen nie \u00fcber den Entwurfsstatus hinaus \u2013 wurden aber dennoch weit verbreitet implementiert, weil es schlicht keine besseren Alternativen gab und Hersteller keine Wahl hatten.<\/p>\n Dieser Abschnitt gibt einen \u00dcberblick \u00fcber die zugrunde liegenden Probleme und die jeweiligen Erweiterungen, die zur L\u00f6sung eingef\u00fchrt wurden.[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text css=\"\" text_direction=\"default\"]\n Man k\u00f6nnte argumentieren, dass IKE urspr\u00fcnglich nicht f\u00fcr eine Client-Gateway-Architektur konzipiert wurde, sondern eher f\u00fcr eine Gateway-zu-Gateway-Architektur. Das bedeutet, es wurde entwickelt, um IPsec-Verbindungen zur Tunnelung von Datenverkehr zwischen Netzwerken (z.\u202fB. Hauptsitz und Zweigstelle) aufzubauen \u2013 und nicht f\u00fcr ein sogenanntes \u201eRoad Warrior\u201c-Szenario (z.\u202fB. Homeoffice, Au\u00dfendienst, Gesch\u00e4ftsreisen).<\/p>\n Zum Beispiel wird eine IKE-Verbindung in Phase drei typischerweise \u00fcber einen l\u00e4ngeren Zeitraum hinweg keine Daten austauschen. Dies kann ein Problem f\u00fcr Router mit Network Address Translation (NAT) darstellen, da diese ihre NAT-Zuordnung verlieren. Dadurch bricht die IKE-Verbindung unbemerkt ab \u2013 bis IKE erneut versucht, Daten zu senden. Dasselbe gilt f\u00fcr Firewalls mit Stateful Packet Inspection (SPI), da auch sie den n\u00f6tigen Status verlieren, um IKE-Pakete durchzulassen.<\/p>\n Geht schlie\u00dflich ein Endpunkt pl\u00f6tzlich offline, bleibt auch das unbemerkt, da der IPsec-Tunnel das Fehlen von Antworten nicht erkennt \u2013 nicht jeder ausgehende Datenverkehr f\u00fchrt zu einer Antwort.<\/p>\n All diese Probleme wurden durch die Einf\u00fchrung einer Erweiterung namens DPD (Dead Peer Detection) gel\u00f6st.[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text css=\"\" text_direction=\"default\"]\n Da wir gerade \u00fcber NAT-Router gesprochen haben, ist es wichtig zu erw\u00e4hnen, dass diese grunds\u00e4tzlich ein Problem mit dem Umgang von ESP haben, da sie in der Regel Portnummern umschreiben, um NAT durchzuf\u00fchren \u2013 was zu zwei Problemen f\u00fchrt:<\/p>\n Die L\u00f6sung: NAT-Router erkennen und ESP-Pakete bei Bedarf in UDP verpacken. Damit dies funktioniert, musste eine weitere Erweiterung eingef\u00fchrt werden \u2013 NAT-T (NAT-Traversal). Da viele Hersteller jedoch nicht auf die Finalisierung dieser Erweiterung warten wollten, begannen sie mit der Implementierung von NAT-T, als es sich noch im Entwurfsstadium befand. Aus diesem Grund unterst\u00fctzen IPsec-Clients und Gateways heute bis zu sieben verschiedene Entwurfsfassungen sowie den endg\u00fcltigen Standard.<\/p>\n Einige davon nutzen unterschiedliche Protokoll- oder Portnummern \u2013 sodass zwei Endpunkte hoffentlich eine gemeinsame NAT-T-Version finden, auf die sie sich einigen k\u00f6nnen. Die sp\u00e4teren Entw\u00fcrfe und der endg\u00fcltige Standard verwenden den bekannten UDP-Port 4500.[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text css=\"\" text_direction=\"default\"]\n Gro\u00dfe Unternehmen verf\u00fcgen in der Regel \u00fcber eine zentrale Datenbank f\u00fcr ihre Benutzerbasis (Active Directory, Open Directory\/LDAP, RADIUS usw.) \u2013 und nat\u00fcrlich wollten sie, dass sich VPN-Nutzer genauso gegen diese Datenbanken authentifizieren wie beim Zugriff auf den Mailserver, interne Websites oder beim Einloggen am Arbeitsplatz.<\/p>\n IKE erlaubt es Endpunkten, sich entweder \u00fcber Zertifikate oder \u00fcber einen Pre-Shared Key (ein geheimes Passwort, das beide Seiten im Voraus kennen m\u00fcssen) zu authentifizieren. Viele Unternehmen hatten jedoch keinen sicheren Rollout-Prozess f\u00fcr Benutzerzertifikate. Die Verwendung eines PSK als Benutzerpasswort w\u00fcrde zwar grunds\u00e4tzlich funktionieren \u2013 aber woher soll das Gateway wissen, welcher Benutzername erforderlich ist, um das richtige Passwort abzurufen?<\/p>\n Man k\u00f6nnte versuchen, das Identifier-Feld daf\u00fcr (missbr\u00e4uchlich) zu nutzen. Doch im Main-Exchange-Modus (eine der zwei m\u00f6glichen Arten, wie IKE eine Verbindung aufbaut) wird das Passwort bereits ben\u00f6tigt, bevor der Identifier \u00fcberhaupt \u00fcbermittelt wurde.<\/p>\n Im Aggressive-Exchange-Modus hingegen kann ein Angreifer, der den IKE-Datenverkehr mitschneidet, versuchen, den PSK per Offline-Angriff zu knacken. Das bedeutet, die Sicherheit des Unternehmens h\u00e4ngt davon ab, ob die Nutzer starke Passw\u00f6rter w\u00e4hlen \u2013 und wir wissen alle, wie schlecht Nutzer darin sind, sichere Passw\u00f6rter auszuw\u00e4hlen.<\/p>\n Die L\u00f6sung war eine Erweiterung namens XAUTH (eXtended AUTHentication), die verschiedenste Formen der Benutzerauthentifizierung unterst\u00fctzt \u2013 von einfachen Klartextpassw\u00f6rtern bis hin zu Challenge-Verfahren.<\/p>\n XAUTH f\u00fchrt einen neuen Austauschmodus ein (Transaction Exchanges), der zwischen Phase eins und zwei einer IKE-Verbindung stattfindet \u2013 also \u00fcber eine bereits kryptografisch abgesicherte Verbindung. Erst nach erfolgreichem Abschluss dieses Schritts darf ein IPsec-Tunnel ausgehandelt werden.<\/p>\n Dies erm\u00f6glichte nicht nur die Authentifizierung von Benutzern, sondern auch Funktionen wie Accounting oder eine einfache M\u00f6glichkeit, Nutzer vom VPN auszuschlie\u00dfen. Trotz seiner gro\u00dfen Bedeutung \u2013 heute wird XAUTH von etwa vier von f\u00fcnf Gateways unterst\u00fctzt \u2013 blieb die Erweiterung jedoch im Entwurfsstadium stecken und wurde schlie\u00dflich aufgegeben, ohne dass eine Alternative definiert wurde.[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text]\n The other thing every big IPsec setup calls for, and every network admin begs for, is automatic configuration.<\/p>\n DHCP was developed for the same reason why users no longer want to assign IP addresses by hand anymore: they also don't want to configure IPsec network parameters for every individual user by hand.<\/p>\n The solution to this challenge has been named MCFG (Mode ConFiG, aka IKECFG or IKEConfig). MCFG builds upon the transaction exchange introduced by XAUTH and just like XAUTH, it never got past an early draft state. Still, it's widely adopted and around two third of all IPsec gateways offer MCFG today.<\/p>\n Using MCFG a gateway can assign a VPN client an IP address and a subnet mask, it can tell the client about available remote DNS servers, and distribute a few other configuration parameters.<\/p>\n Yet even that extension had a major oversight: There's no way to tell a client about available remote networks. This was such an important missing feature that Cisco extended MCFG (yes, they extended an unfinished draft extension to a protocol), adding this feature and naming the whole thing \"Easy VPN\". Since its introduction, even that proprietary, undocumented extension has been widely adopted by many other vendors simply because of how useful the feature is.[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text css=\"\" text_direction=\"default\"]\n Mit all diesen Erweiterungen \u2013 und noch weiteren, die hier gar nicht aufgef\u00fchrt sind \u2013 wurde IKE schnell zu einem \u00e4u\u00dferst komplexen Protokoll und zu einem wahren Albtraum in Sachen Kompatibilit\u00e4t. Jeder Client und jedes Gateway unterst\u00fctzte unterschiedliche Funktionsumf\u00e4nge oder verschiedene Entwurfsfassungen der Erweiterungen.<\/p>\n Hinzu kommt, dass viele dieser Erweiterungs-\u201eStandards\u201c schlecht dokumentiert sind und zahlreiche offene Fragen hinterlassen. Oft ist gar nicht klar, wie sie korrekt implementiert werden sollen \u2013 insbesondere, da verschiedene Implementierungen sich in zentralen Punkten widersprechen.<\/p>\n Im Jahr 2010 hatte die IETF (Internet Engineering Task Force) genug von all den Kompatibilit\u00e4tsproblemen und standardisierte schlie\u00dflich IKE Version 2 (IKEv2).[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text css=\"\" text_direction=\"default\"]\n Von Anfang an bot IKEv2 VPN Funktionen wie DPD und NAT-T als festen Bestandteil. Zudem basiert das Protokoll nicht mehr auf ISAKMP, sondern ist ein eigenst\u00e4ndiges Protokoll \u2013 dort, wo keine \u00c4nderungen n\u00f6tig waren, weiterhin kompatibel mit IKE, aber dennoch in vielen Punkten grundlegend anders.<\/p>\n Beispielsweise erfordert eine vollst\u00e4ndige ESP-Tunnel-Aushandlung je nach gew\u00e4hltem Austauschmodus mindestens 9 bis 11 Pakete. IKEv2 VPN hingegen bietet nur einen einzigen Austauschmodus und ben\u00f6tigt f\u00fcr die Aushandlung nur minimal 4 Pakete.<\/p>\n Ein weiteres Problem bei IKEv1 war, dass f\u00fcr jede Kombination vorgeschlagener Sicherheitsparameter ein eigener Vorschlag erforderlich war. Dadurch wurden die Pakete schnell sehr gro\u00df, wenn zu viele Parameter angeboten wurden. In IKEv2 VPN hingegen werden die Parameter einfach in einem oder zwei Vorschl\u00e4gen zusammengefasst, und die Gegenseite w\u00e4hlt daraus die bevorzugten Parameter \u2013 was die Pakete klein und \u00fcbersichtlich h\u00e4lt.<\/p>\n IKEv2 VPN hatte das Potenzial, alle bekannten Schw\u00e4chen von IKE zu beheben und IPsec zur besten VPN-Protokollsuite \u00fcberhaupt zu machen \u2013 aber Spoiler: So kam es nicht.<\/p>\n Es wurden neue Fehler gemacht, einige Designentscheidungen sind h\u00f6chst fragw\u00fcrdig \u2013 doch das gr\u00f6\u00dfte Problem, das viele VPN-Experten ratlos zur\u00fcckl\u00e4sst: Alte Fehler wurden einfach wiederholt.<\/p>\n Hier zwei Beispiele:[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text css=\"\" text_direction=\"default\"]\n Obwohl IKEv2 VPN eine eingebaute Unterst\u00fctzung f\u00fcr den Konfigurationsaustausch bietet \u2013 wodurch Mode Config nicht mehr erforderlich ist \u2013 fehlt weiterhin eine M\u00f6glichkeit, eine Liste von Remote-Netzwerken zu \u00fcbermitteln.<\/p>\n Diese eine Funktion war so wichtig, dass Cisco Mode Config erweitern und ein eigenes propriet\u00e4res Protokoll entwickeln musste, damit auch andere Hersteller diese nutzen konnten \u2013 und trotzdem wurde sie in IKEv2 erneut weggelassen! Erstens kann die Anzahl der Remote-Netzwerke auf diese Weise nicht ausgehandelt werden. Damit TS als Ersatz funktioniert, m\u00fcsste der Client die Anzahl der verf\u00fcgbaren Remote-Netzwerke im Voraus kennen.<\/p>\n Zweitens kann es zu Missverst\u00e4ndnissen kommen: W\u00e4hrend der TS-Aushandlung schl\u00e4gt der Client bestimmte Remote-Netzwerke vor, und das Gateway schr\u00e4nkt diese Vorschl\u00e4ge auf passende Subnetze ein. Wenn der Client keine Kenntnis \u00fcber die Remote-Netzwerke hat, k\u00f6nnte er vorschlagen, den gesamten Datenverkehr zu tunneln \u2013 woraufhin das Gateway dies auf die verf\u00fcgbaren Netzwerke beschr\u00e4nken k\u00f6nnte. Die Konfiguration des Gateways k\u00f6nnte entweder nur spezifische Netzwerkzugriffe erlauben oder tats\u00e4chlich vollen Datenverkehrstunnel zulassen. Die Lage ist so un\u00fcbersichtlich, dass ein Anbieter die Cisco-Mode-Config-Erweiterung bereits auf IKEv2 portiert hat \u2013 was nun wiederum propriet\u00e4r ist und von anderen Herstellern nicht unterst\u00fctzt wird. Dabei w\u00e4re es so einfach gewesen, die Konfiguration einer Liste von Remote-Netzwerken zu erm\u00f6glichen. Da Konfigurationsoptionen ohnehin optional sind, gab es eigentlich keinen Grund, dies nicht zu tun.<\/p>\n Ein weiteres gro\u00dfes Problem ist, dass IKEv2 VPN zur Benutzer\u00adauthentifizierung nicht mehr XAUTH verwendet, sondern ein Protokoll namens EAP (Extensible Authentication Protocol). Die Idee, ein vorhandenes Protokoll zu nutzen, das auch bei anderen Netzwerkprotokollen eingesetzt wird und f\u00fcr das bereits Code vorhanden sein k\u00f6nnte, klingt zun\u00e4chst sinnvoll \u2013 bringt in der Praxis aber viele Nachteile mit sich.<\/p>\n EAP selbst definiert nur ein einziges verpflichtendes Authentifizierungsverfahren \u2013 das heute kaum jemand nutzen m\u00f6chte. F\u00fcr alle anderen Verfahren gibt es Dutzende EAP-Erweiterungen, aber keine davon ist verpflichtend. Selbst wenn ein Client und ein Gateway beide EAP unterst\u00fctzen, gibt es keine Garantie, dass sie sich auf ein gemeinsames Verfahren einigen k\u00f6nnen oder d\u00fcrfen.<\/p>\n Das Ergebnis: Viele IKEv2-VPN-kompatible Gateways unterst\u00fctzen EAP gar nicht oder nur mit einem g\u00e4ngigen Verfahren \u2013 jenem, das Microsoft Windows verwendet. Viele EAP-Implementierungen unterst\u00fctzen zumindest dieses einfache Verfahren mit Benutzername und Passwort.<\/p>\n Sobald Gateways OTP- oder 2FA-Verfahren anbieten m\u00f6chten, greifen sie nicht auf EAP zur\u00fcck, sondern setzen auf eigene propriet\u00e4re L\u00f6sungen \u2013 was die Kompatibilit\u00e4t zwischen verschiedenen Anbietern, Gateways und Clients zerst\u00f6rt.<\/p>\n Dabei h\u00e4tte sich das Problem leicht vermeiden lassen: Der IKEv2-VPN-Standard h\u00e4tte einfach eine definierte Auswahl an EAP-Verfahren verpflichtend vorschreiben k\u00f6nnen, um sicherzustellen, dass jede IKEv2-EAP-Implementierung mindestens den gleichen Funktionsumfang bietet wie XAUTH bei IKE.[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text css=\"\" text_direction=\"default\"]\n Das Ergebnis dieser wiederholten Fehler ist, dass einige Hersteller IPsec als Client-Protokoll aufgegeben haben und stattdessen auf eigene, propriet\u00e4re VPN-Protokolle setzen.<\/p>\n Viele argumentieren: Wenn man ohnehin propriet\u00e4re Erweiterungen zu IKEv2 hinzuf\u00fcgen muss, um es zu einem brauchbaren Standard zu machen, kann man gleich vollst\u00e4ndig auf ein eigenes VPN-Protokoll umsteigen \u2013 oder eine andere L\u00f6sung verwenden, die bereits alle Anforderungen erf\u00fcllt, wie zum Beispiel OpenVPN oder WireGuard\u00ae.[\/vc_column_text][vc_row_inner column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" text_align=\"left\" row_position=\"default\" row_position_tablet=\"inherit\" row_position_phone=\"inherit\" overflow=\"visible\" pointer_events=\"all\"][vc_column_inner column_padding=\"padding-3-percent\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" overflow=\"visible\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/2\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][image_with_animation image_url=\"2775\" image_size=\"full\" animation_type=\"entrance\" animation=\"None\" animation_movement_type=\"transform_y\" hover_animation=\"none\" alignment=\"\" border_radius=\"none\" box_shadow=\"none\" image_loading=\"default\" max_width=\"100%\" max_width_mobile=\"default\"][\/vc_column_inner][vc_column_inner column_padding=\"padding-3-percent\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" overflow=\"visible\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/2\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][image_with_animation image_url=\"2773\" image_size=\"full\" animation_type=\"entrance\" animation=\"None\" animation_movement_type=\"transform_y\" hover_animation=\"none\" alignment=\"\" border_radius=\"none\" box_shadow=\"none\" image_loading=\"default\" max_width=\"100%\" max_width_mobile=\"default\"][\/vc_column_inner][\/vc_row_inner][vc_column_text css=\"\" text_direction=\"default\"]Auf der anderen Seite setzten andere Hersteller einfach weiterhin auf IKEv1 \u2013 mitsamt all seiner eigenwilligen Erweiterungen \u2013 und verzichteten komplett auf die Unterst\u00fctzung von IKEv2.<\/p>\n In vielerlei Hinsicht ist IKEv2 eine verpasste Chance: so nah dran, die perfekte L\u00f6sung zu sein \u2013 und doch, wie man so sch\u00f6n sagt, ist \u201eknapp daneben\u201c eben auch vorbei.[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=\"in_container\" full_screen_row_position=\"middle\" column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" scene_position=\"center\" text_color=\"dark\" text_align=\"left\" row_border_radius=\"none\" row_border_radius_applies=\"bg\" overflow=\"visible\" overlay_strength=\"0.3\" gradient_direction=\"left_to_right\" shape_divider_position=\"bottom\" bg_image_animation=\"none\"][vc_column column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" column_position=\"default\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/1\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][divider line_type=\"No Line\"][divider line_type=\"Full Width Line\" line_thickness=\"1\" divider_color=\"accent-color\"][divider line_type=\"No Line\"][vc_column_text css=\"\" text_direction=\"default\"]\n Sie verwenden eine IKEv1- oder IKEv2-VPN-Verbindung? Dann ist VPN Tracker die beste Wahl als VPN-Client f\u00fcr Mac, iPhone und iPad. Die eigens entwickelte IKEv2-VPN-Engine von VPN Tracker bietet umfassende Unterst\u00fctzung f\u00fcr alle relevanten IKE-Erweiterungen und sorgt f\u00fcr nahtlose Kompatibilit\u00e4t mit den beliebtesten IKEv1- und IKEv2-VPN-Gateways von Cisco, Fortinet, Zyxel, TP Link, Draytek und vielen weiteren.<\/p>\n Sie m\u00f6chten IKE hinter sich lassen? Kein Problem \u2013 VPN Tracker unterst\u00fctzt au\u00dferdem OpenVPN, PPTP (nur f\u00fcr Mac), L2TP (nur f\u00fcr Mac), WireGuard, SSTP, SonicWall SSL, Cisco AnyConnect SSL und Fortinet SSL-Verbindungen.[\/vc_column_text][vc_row_inner column_margin=\"default\" column_direction=\"default\" column_direction_tablet=\"default\" column_direction_phone=\"default\" text_align=\"left\" row_position=\"default\" row_position_tablet=\"inherit\" row_position_phone=\"inherit\" overflow=\"visible\" pointer_events=\"all\"][vc_column_inner column_padding=\"no-extra-padding\" column_padding_tablet=\"inherit\" column_padding_phone=\"inherit\" column_padding_position=\"all\" column_element_direction_desktop=\"default\" column_element_spacing=\"default\" desktop_text_alignment=\"default\" tablet_text_alignment=\"default\" phone_text_alignment=\"default\" background_color_opacity=\"1\" background_hover_color_opacity=\"1\" column_backdrop_filter=\"none\" column_shadow=\"none\" column_border_radius=\"none\" column_link_target=\"_self\" overflow=\"visible\" gradient_direction=\"left_to_right\" overlay_strength=\"0.3\" width=\"1\/2\" tablet_width_inherit=\"default\" animation_type=\"default\" bg_image_animation=\"none\" border_type=\"simple\" column_border_width=\"none\" column_border_style=\"solid\"][vc_column_text css=\"\" text_direction=\"default\"]\n In diesem Beitrag werfen wir einen technischen Blick auf das IKEv2 VPN-Protokoll, erkl\u00e4ren die Hintergr\u00fcnde zu IPsec, zeigen auf, welche Probleme fr\u00fchere Protokollversionen hatten \u2013 und warum IKEv2 trotz vieler Verbesserungen doch nicht die perfekte L\u00f6sung wurde.<\/p>\n Keep reading to discover how IKEv2 VPN almost became the\u00a0perfect VPN protocol.<\/p>\n","protected":false},"author":15,"featured_media":2814,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[106,59],"tags":[],"class_list":{"0":"post-4453","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-ikev2-de","8":"category-protocols-de"},"_links":{"self":[{"href":"https:\/\/blog.vpntracker.com\/de\/wp-json\/wp\/v2\/posts\/4453","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.vpntracker.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.vpntracker.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.vpntracker.com\/de\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.vpntracker.com\/de\/wp-json\/wp\/v2\/comments?post=4453"}],"version-history":[{"count":5,"href":"https:\/\/blog.vpntracker.com\/de\/wp-json\/wp\/v2\/posts\/4453\/revisions"}],"predecessor-version":[{"id":4460,"href":"https:\/\/blog.vpntracker.com\/de\/wp-json\/wp\/v2\/posts\/4453\/revisions\/4460"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.vpntracker.com\/de\/wp-json\/wp\/v2\/media\/2814"}],"wp:attachment":[{"href":"https:\/\/blog.vpntracker.com\/de\/wp-json\/wp\/v2\/media?parent=4453"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.vpntracker.com\/de\/wp-json\/wp\/v2\/categories?post=4453"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.vpntracker.com\/de\/wp-json\/wp\/v2\/tags?post=4453"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n
\n
\n
\n
<\/a>IPsec und IKE: Die Grundlagen<\/h2>\n
<\/a>Was ist ESP?<\/h3>\n
<\/a>Was ist IKE?<\/h3>\n
![\"\u00dcbersicht](\"https:\/\/blog.vpntracker.com\/wp-content\/uploads\/sites\/7\/2023\/08\/osi-model-1024x547.png\")
<\/a>IKE-Phasen<\/h3>\n
Phase Eins: Kontaktaufnahme<\/h4>\n
Phase Zwei: Aushandlung<\/h4>\n
\nDiese Parameter und Schl\u00fcssel werden auch als Security Association (SA) bezeichnet. Ein IPsec-Tunnel ben\u00f6tigt in der Regel zwei SAs, da sie unidirektional sind \u2013 eine SA wird f\u00fcr das Senden von Daten ben\u00f6tigt, eine weitere f\u00fcr den Empfang. In manchen F\u00e4llen k\u00f6nnen auch mehrere SAs ausgehandelt werden.<\/p>\nPhase Drei: \u00dcberwachung<\/h4>\n
<\/a>IKE-Erweiterungen: Hauptprobleme und L\u00f6sungen<\/h2>\n
<\/a>Dead Peer Detection<\/h3>\n
<\/a>NAT-Router und NAT-Traversal<\/h3>\n
\n
<\/a><\/h3>\n
<\/a>Benutzerauthentifizierung (XAUTH)<\/h3>\n
<\/a>Automatic configuration and Mode Config<\/h3>\n
<\/a>IKEv2 VPN als Retter?<\/h3>\n
<\/a>Kerneigenschaften von IKEv2 VPN<\/h3>\n
<\/a>Hauptschw\u00e4chen von IKEv2 VPN<\/h3>\n
<\/a>Remote-Netzwerke<\/h4>\n
\nStattdessen unterst\u00fctzt IKEv2 VPN etwas namens Traffic Selector (TS)-Aushandlung, das jedoch aus zwei Gr\u00fcnden kein gleichwertiger Ersatz sein kann:<\/p>\n
\nDas f\u00fchrt zu Mehrdeutigkeiten: Wenn der Client \u201egesamten Datenverkehr\u201c anfordert, ist unklar, ob er wirklich komplettes Tunneling meint oder nur Remote-Netzwerkzugriff. Im schlimmsten Fall bittet der Client um \u201ealles\u201c \u2013 und das Gateway erlaubt es, obwohl das gar nicht beabsichtigt war.<\/p>\n<\/a>EAP-Authentifizierung<\/h4>\n
<\/a>Wie sieht die Zukunft von IPsec aus?<\/h2>\n
<\/a>Mit IKEv2 VPN in VPN Tracker verbinden<\/h2>\n
Warum VPN Tracker?<\/strong><\/h3>\n
\n
Verwandte Artikel zu IKEv2 VPN:<\/h2>\n
\n