Suchen

Definition Internet Key Exchange Protokoll Version 2 Was ist IKEv2?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

IKEv2 ist die zweite Version des Internet Key Exchange Protokolls IKE. Sie kommt in IPsec-basierten VPNs für das automatische Schlüsselmanagement zum Einsatz und beseitigt Schwächen des Vorgängerstandards. Die Einrichtung von VPNs ist stark vereinfacht und flexibler.

IKEv2 ist die zweite Version des Internet Key Exchange Protokolls. VPNs lassen sich mit IPsec und IKEv2 einfacher und weniger fehleranfällig aufsetzen.
IKEv2 ist die zweite Version des Internet Key Exchange Protokolls. VPNs lassen sich mit IPsec und IKEv2 einfacher und weniger fehleranfällig aufsetzen.
(Bild: Pixabay / CC0 )

Die Abkürzung IKEv2 steht für Internet Key Exchange Protocol Version 2. Das Protokoll kommt für das Schlüsselmanagement in IPsec-basierten virtuellen privaten Netzwerken (VPNs) zum Einsatz und beseitigt Schwächen der Vorgängerversion IKE.

IKEv2 ist nicht mit IKE kompatibel und löst die ältere Version ab. Mit der Version 2 ist das Einrichten von VPNs einfacher, flexibler und weniger fehleranfällig. Darüber hinaus ist die Unterstützung mobiler Anwendungen in IPsec-Tunneln stark verbessert. Beschrieben ist das Internet Key Exchange Protocol Version 2 im RFC 5996. Die Version eins und die Version zwei des Internet Key Exchange Protocols nutzen den gleichen UDP-port.

Die Grundfunktionalität des Internet Key Exchange Protocols

Um die Unterschiede und Verbesserungen von IKEv2 zu erläutern, ist es zunächst notwendig, die Grundfunktion von IKE im Zusammenhang mit IPsec zu verstehen. IPsec gestattet es, Schlüssel manuell zu konfigurieren oder sich über die Nutzung der Schlüssel per Internet Key Exchange Protocol (IKE) auszutauschen.

Für das automatische Schlüsselmanagement mit IKE haben sich die Kommunikationspartner über die verwendeten Verschlüsselungsverfahren und Schlüssel zu einigen. IKE beziehungsweise IKEv2 übernimmt diese Aufgabe. Die Protokolle verwenden das Diffie-Hellman-Verfahren für eine sichere Erzeugung von Schlüsseln und für die Übertragung von kryptografischen Managementinformationen über die Netzwerkverbindung. IKE basiert auf dem sogenannten ISAKMP (Internet Security Association and Key Management Protocol). Im Rahmen der Kommunikation mit IKE erfolgt die Authentifizierung der Kommunikationspartner und die Erzeugung eines gemeinsamen Schlüssels.

Die Abwicklung dieser Aufgaben erfolgt in zwei Phasen. In der ersten relativ schwach gesicherten Phase werden die Authentisierung abgesichert und Managementvorgänge initialisiert. In der zweiten Phase tauschen sich die Partner über das zu verwendende Sicherheitsprotokoll aus und generieren die hierfür erforderlichen Schlüssel. Symmetrische Schlüssel werden beispielsweise per DES- oder RC4-Algorithmus erzeugt.

Abgrenzung zwischen IKE und IKEv2

IKE gilt als sehr schwierig und führt zu einer hohen Fehleranfälligkeit bei der Konfiguration. Schon aufgrund minimaler Unterschiede in der Konfiguration der Kommunikationspartner scheitert der Verbindungsaufbau. Oftmals sind die Implementierungen verschiedener Hersteller nicht vollständig miteinander kompatibel.

IKEv2 beseitigt diese Unzulänglichkeiten. Im Gegensatz zu IKE sind alle wichtigen Informationen in einem einzigen RFC beschrieben und nicht auf mehrere verteilt. Auf die herkömmlichen Modi Main/Aggressive Mode oder Quick Mode wurde zugunsten eines beschleunigten Verbindungsaufbaus verzichtet. Die Anzahl notwendiger Meldungen beim IPsec-Verbindungsaufbau ist stark reduziert. Nach Störungen lassen sich Tunnel schneller wieder herstellen.

Bei IKEv2 ist die Verantwortlichkeit im Fall von Paketverlusten klar geregelt. Dies verhindert, dass beide Kommunikationspartner gleichzeitig verlorene Pakete wiederholen. Dank differenzierter Fehlermeldungen ist die Fehlersuche erleichtert. Um die Probleme beim Verbindungsaufbau über NAT-Grenzen hinweg zu beseitigen, ist NAT-Traversal ein fester Bestandteil von IKEv2. Darüber hinaus werden Probleme mit dynamischen IP-Adressen und IPsec behoben.

Die wesentlichen Merkmale von IKEv2

Kurz zusammengefasst sind dies die wesentlichen Merkmale von IKEv2:

  • Verringerte Komplexität
  • Einfachere und weniger fehleranfällige Konfiguration
  • Schnellerer Verbindungsaufbau
  • Schnellerer Wiederaufbau von Tunneln nach Netzstörungen
  • Beseitigung typischer NAT-Probleme
  • Weniger Probleme mit dynamischen IP-Adressen
  • In einem einzigen RFC standardisiert
  • Unterstützung mobiler Anwendungen in IPsec-VPNs
  • Nicht abwärtskompatibel mit IKE
  • Verwendung des gleichen UDP-Ports wie IKE

(ID:45634900)

Über den Autor