Linux Schulungen: http://www.opensource-training.de  
 
Foren > VPN mit Linux > split modus auch bei IKEv1
Navigation
Schulungen
Foren
  Allgemeines Forum
  Intrusion Detection
  VPN mit Linux
  Firewalling mit Linux
  SELinux/AppArmor
SELinux/AppArmor Buch
IDS-Buch
VPN-Buch
Firewall-Buch
Nachrichten
Vorträge/Tutorials
Artikel
Linux-Magazin Artikel
Anmelden / Daten ändern
Messen
Impressum
Serverspiegel
Zertifizierungen
GPG Public Key

Flavours
English
German

Search

Visitors
Besucher 746264
Ansichten 396
Online 0

split modus auch bei IKEv1

Springe zu
Thema Verfasser Letzte Antwort
split modus auch bei IKEv1 tobias ( ---.emea.daimlerchrysler.com) 14 Oct 2008 12:04
Hallo,

in StrongSwan gibt es einen Modus wo der Server sich per Zertifikat und der Client per PSK authentifiziert (split Modus)

Ist das IKEv2 spezifisch oder gibt es das auch bei IKEv1.

Oder ist das eine spezielle Implementierung von StrongSwan?


edit:
Ist in IKEv1 auch die Möglichkeit einer Zuteilung einer virtuellen IP adresse aus einem IP-Pool oder über DHCP möglich.
Im RFC finde ich dazu nichts.
Im IKEv2 RFC ist dies jedoch extra erwähnt.

edit2:
Wissen Sie ob StrongSwan eine Bump-in-the-Stack oder eine IPsec Stack Lösung darstellt? in dem Buch It-Sicherheit von claudia eckert hört es sich so an als ob Strongswan den IP-Stack mit einem IPsec Stack ersetzt. Das wäre natürlich die effizientere Methode, da z.b. die Netzwerkschicht nicht 2 mal durchlaufen wird.

Grüsse

RE: split modus auch bei IKEv1Ralf ( ---.dip.t-dialin.net)14 Oct 2008 12:04
Hallo,

On 25 Sep 2008 13:39 'tobias' wrote:
> Ist das IKEv2 spezifisch oder gibt es das auch bei IKEv1.
Bei IKEv1 ist das nicht im RFC spezifiziert. Cisco hat jedoch mit Xauth und IKE-Config-Mode ähnliche Funktionen proprietär implementiert, die von vielen Systemen kopiert wurden.
Bei IKEv2 ist dies nun Bestandteil des Protokolls.
>
> Oder ist das eine spezielle Implementierung von StrongSwan?
Nein.
>
>
> edit:
> Ist in IKEv1 auch die Möglichkeit einer Zuteilung einer virtuellen IP adresse aus einem IP-Pool oder über DHCP möglich.
> Im RFC finde ich dazu nichts.
IKE kann es nicht. Es gibt unterschiedliche Ansätze:
Cisco, etc.: IKE-Config-Mode
MS: L2TP over IPsec
Sentinel/Freeswan: DHCP over IPsec.

Das wird bei den letzteren beiden jedoch nicht von IKEv1 selbst gemacht.

> edit2:
> Wissen Sie ob StrongSwan eine Bump-in-the-Stack oder eine IPsec Stack Lösung darstellt? in dem Buch It-Sicherheit von claudia eckert hört es sich so an als ob Strongswan den IP-Stack mit einem IPsec Stack ersetzt.
Das war früher so (Kernel 2.4 mit KLIPS).
Das wäre natürlich die effizientere Methode, da z.b. die Netzwerkschicht nicht 2 mal durchlaufen wird.
Nicht direkt. Heute ist es direkt ein IPsec Stack.

Gruß,

Ralf

[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
Umfrage

Welche Distribution verwenden Sie?

 A) Fedora Core
 B) SuSE
 C) Debian
 D) Mandriva
 E) Red Hat Enterprise Linux
 F) SuSE Enterprise Linux
 G) Slackware
 H) Ubuntu
 I) Gentoo
 J) Andere


Latest News
17 Oct 2008: Neue Schulung: Netzwerküberwachung mit Nagio...
17 Oct 2008: Neue Schulung: Virtualisierung mit KVM
24 Sep 2008: Business-Online Messe in Münster
24 Sep 2008: Eröffnungskonferenz am 25. September 2008
28 Aug 2008: Zertifizierung nach LPIC-3
Weitere News...

Login
eMail


Passwort
© 2002-2005 Ralf Spenneberg, OpenSource Security, Germany