Definition Internet Key Exchange Protokoll Version 2

Was ist IKEv2?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

IKEv2 ist die zweite Version des Internet Key Exchange Protokolls. VPNs lassen sich mit IPsec und IKEv2 einfacher und weniger fehleranfällig aufsetzen.
IKEv2 ist die zweite Version des Internet Key Exchange Protokolls. VPNs lassen sich mit IPsec und IKEv2 einfacher und weniger fehleranfällig aufsetzen. (Bild: Pixabay / CC0)

IKEv2 ist die zweite Version des Internet Key Exchange Protokolls IKE. Sie kommt in IPsec-basierten VPNs für das automatische Schlüsselmanagement zum Einsatz und beseitigt Schwächen des Vorgängerstandards. Die Einrichtung von VPNs ist stark vereinfacht und flexibler.

Die Abkürzung IKEv2 steht für Internet Key Exchange Protocol Version 2. Das Protokoll kommt für das Schlüsselmanagement in IPsec-basierten virtuellen privaten Netzwerken (VPNs) zum Einsatz und beseitigt Schwächen der Vorgängerversion IKE.

IKEv2 ist nicht mit IKE kompatibel und löst die ältere Version ab. Mit der Version 2 ist das Einrichten von VPNs einfacher, flexibler und weniger fehleranfällig. Darüber hinaus ist die Unterstützung mobiler Anwendungen in IPsec-Tunneln stark verbessert. Beschrieben ist das Internet Key Exchange Protocol Version 2 im RFC 5996. Die Version eins und die Version zwei des Internet Key Exchange Protocols nutzen den gleichen UDP-port.

Sicherheitslücken in „IPsec“ identifiziert

Bleichenbacher-Angriff auf IKEv1

Sicherheitslücken in „IPsec“ identifiziert

22.08.18 - Forscher der Ruhr-Universität Bochum (RUB) und der polnischen Opole-Universität konnten nachweisen, dass das Internetprotokoll „IPsec“ angreifbar ist. Das in der Protokollfamilie enthaltene Internet-Key-Exchange-Protokoll „IKEv1“ birgt Sicherheitslücken, die es Angreifern potenziell ermöglichen, sich in einen Kommunikationsprozess zwischenzuschalten und gezielt Informationen abzugreifen. lesen

Die Grundfunktionalität des Internet Key Exchange Protocols

Um die Unterschiede und Verbesserungen von IKEv2 zu erläutern, ist es zunächst notwendig, die Grundfunktion von IKE im Zusammenhang mit IPsec zu verstehen. IPsec gestattet es, Schlüssel manuell zu konfigurieren oder sich über die Nutzung der Schlüssel per Internet Key Exchange Protocol (IKE) auszutauschen.

Für das automatische Schlüsselmanagement mit IKE haben sich die Kommunikationspartner über die verwendeten Verschlüsselungsverfahren und Schlüssel zu einigen. IKE beziehungsweise IKEv2 übernimmt diese Aufgabe. Die Protokolle verwenden das Diffie-Hellman-Verfahren für eine sichere Erzeugung von Schlüsseln und für die Übertragung von kryptografischen Managementinformationen über die Netzwerkverbindung. IKE basiert auf dem sogenannten ISAKMP (Internet Security Association and Key Management Protocol). Im Rahmen der Kommunikation mit IKE erfolgt die Authentifizierung der Kommunikationspartner und die Erzeugung eines gemeinsamen Schlüssels.

Die Abwicklung dieser Aufgaben erfolgt in zwei Phasen. In der ersten relativ schwach gesicherten Phase werden die Authentisierung abgesichert und Managementvorgänge initialisiert. In der zweiten Phase tauschen sich die Partner über das zu verwendende Sicherheitsprotokoll aus und generieren die hierfür erforderlichen Schlüssel. Symmetrische Schlüssel werden beispielsweise per DES- oder RC4-Algorithmus erzeugt.

Abgrenzung zwischen IKE und IKEv2

IKE gilt als sehr schwierig und führt zu einer hohen Fehleranfälligkeit bei der Konfiguration. Schon aufgrund minimaler Unterschiede in der Konfiguration der Kommunikationspartner scheitert der Verbindungsaufbau. Oftmals sind die Implementierungen verschiedener Hersteller nicht vollständig miteinander kompatibel.

IKEv2 beseitigt diese Unzulänglichkeiten. Im Gegensatz zu IKE sind alle wichtigen Informationen in einem einzigen RFC beschrieben und nicht auf mehrere verteilt. Auf die herkömmlichen Modi Main/Aggressive Mode oder Quick Mode wurde zugunsten eines beschleunigten Verbindungsaufbaus verzichtet. Die Anzahl notwendiger Meldungen beim IPsec-Verbindungsaufbau ist stark reduziert. Nach Störungen lassen sich Tunnel schneller wieder herstellen.

Bei IKEv2 ist die Verantwortlichkeit im Fall von Paketverlusten klar geregelt. Dies verhindert, dass beide Kommunikationspartner gleichzeitig verlorene Pakete wiederholen. Dank differenzierter Fehlermeldungen ist die Fehlersuche erleichtert. Um die Probleme beim Verbindungsaufbau über NAT-Grenzen hinweg zu beseitigen, ist NAT-Traversal ein fester Bestandteil von IKEv2. Darüber hinaus werden Probleme mit dynamischen IP-Adressen und IPsec behoben.

Die wesentlichen Merkmale von IKEv2

Kurz zusammengefasst sind dies die wesentlichen Merkmale von IKEv2:

  • Verringerte Komplexität
  • Einfachere und weniger fehleranfällige Konfiguration
  • Schnellerer Verbindungsaufbau
  • Schnellerer Wiederaufbau von Tunneln nach Netzstörungen
  • Beseitigung typischer NAT-Probleme
  • Weniger Probleme mit dynamischen IP-Adressen
  • In einem einzigen RFC standardisiert
  • Unterstützung mobiler Anwendungen in IPsec-VPNs
  • Nicht abwärtskompatibel mit IKE
  • Verwendung des gleichen UDP-Ports wie IKE

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist PPTP?

Definition Point-to-Point Tunneling Protocol (PPTP)

Was ist PPTP?

Mit dem Point-to-Point Tunneling Protocol (PPTP) lassen sich virtuelle private Netze über IP-basierte Netzwerke wie das Internet realisieren. Es handelt sich um eine Erweiterung des Point-to-Point Protocols und ist in vielen Betriebssystemen implementiert. Aufgrund bekannter Schwachstellen gilt PPTP heute als nicht mehr sicher. lesen

Die Auswahl des richtigen VPN-Dienstes

Kriterien für den Vergleich von VPN-Anbietern

Die Auswahl des richtigen VPN-Dienstes

VPNs sind im Geschäftsumfeld eine der wichtigsten Sicherheitslösungen, die ein mobiler Mitarbeiter nutzen kann. Ein VPN schützt die Online-Verbindungen der mobilen Mitarbeiter, speziell wenn öffentliche WLAN-Hotspots in Hotels, Flughäfen oder Bahnhöfen genutzt werden. Privatanwender können mit einem VPN ebenfalls ihre Online-Verbindung schützen und gleichzeitig ihre Online-Aktivitäten verstecken. lesen

Was ist IPsec?

Definition Internet Protocol Security (IPsec)

Was ist IPsec?

IPsec (Internet Protocol Security) ist eine Sammlung von Protokollerweiterungen für das Internet Protokoll (IP). Die Erweiterungen ermöglichen die Verschlüsselung und Authentifizierung der mit IP übertragenen Informationen und sorgen für eine sichere Kommunikation in IP-Netzwerken wie dem Internet. lesen

Sicherheitslücken in „IPsec“ identifiziert

Bleichenbacher-Angriff auf IKEv1

Sicherheitslücken in „IPsec“ identifiziert

Forscher der Ruhr-Universität Bochum (RUB) und der polnischen Opole-Universität konnten nachweisen, dass das Internetprotokoll „IPsec“ angreifbar ist. Das in der Protokollfamilie enthaltene Internet-Key-Exchange-Protokoll „IKEv1“ birgt Sicherheitslücken, die es Angreifern potenziell ermöglichen, sich in einen Kommunikationsprozess zwischenzuschalten und gezielt Informationen abzugreifen. lesen

Hacker nutzen Cisco ASA Schwachstelle aus

Schwachstellen-Management

Hacker nutzen Cisco ASA Schwachstelle aus

Hacker nutzen die Ende Januar veröffentlichte kritische Schwachstelle CVE-2018-0101 in der Cisco Adaptive Security Appliance (ASA) Software inzwischen aktiv aus. Unternehmen müssen reagieren, Security-Experten empfehlen den Einsatz von Lösungen zum Schwachstellen-Management. lesen

VPN-Client mit High-Sierra-Unterstützung

Fernzugriff auf Rechner mit aktuellem macOS

VPN-Client mit High-Sierra-Unterstützung

Die Version 3.0 des Lancom Advanced VPN Clients für macOS unterstützt das Betriebssystem macOS High Sierra (10.13). Mit dem Software-Client sei über hochsicheres IPsec-VPN der vollwertige Fernzugriff auf ein Firmennetz über jede Internetverbindung möglich. lesen

Was ist VPN?

Definition Virtual Private Network (VPN)

Was ist VPN?

Mit einem Virtual Private Network, kurz VPN, lassen sich Daten im öffentlichen Internet geschützt übertragen. Über das Transportmedium Internet wird ein virtuelles, in sich geschlossenes Netzwerk zwischen mehreren Kommunikationspartnern aufgebaut. lesen

iOS 9 wird für Unternehmen endlich besser

Enterprise Mobility Management

iOS 9 wird für Unternehmen endlich besser

Auch wenn Apple mit iOS 7 und iOS 8 viele Anforderungen von Unternehmen umgesetzt hatte, gab es nicht unerhebliche Hemmnisse bei der Inbetriebnahme von Geräten und Applikationen im Unternehmensumfeld. Mit iOS 9 wird hier vieles deutlich einfacher, und zwar besonders dann, wenn Firmen ein Enterprise Mobility Management (EMM-) System für die Absicherung und Verwaltung ihrer Mobilgeräte-Flotte einsetzen. lesen

Mehr Sicherheit und Always On für Tablets mit Windows 8.1

NCP Secure Enterprise Client 10

Mehr Sicherheit und Always On für Tablets mit Windows 8.1

Der aktualisierte Client von NCP engineerings Secure-Enterprise-Lösung bietet neue Sicherheitsfunktionen für das Secure Enterprise Management System (SEM), verbesserte Firewall sowie optimierten "Always On"-Betrieb für Tablets mit Windows 8.1. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45634900 / Definitionen)