Hallo ihr Lieben,
nachdem ich nun erfolgreich die Verbindungen (VPN) hinbekomme, frage ich mich, warum bei LANcom IKE und PFS Gruppen zu finden und zu benutzen sind. In sämtlichen Dokus, welche ich in letzter Zeit studierte, fand ich keine Erklärung und Rechtfertigungen dieser Gruppen. Der Wizzard von LANcom gibt leider auch keinen Aufschluss darüber, warum es diese Gruppen gibt.
Wisst Ihr was?
Liebe Grüße,
Guybrush
Warum und welche Bedeutung hat Einteilung der IKE/PFS Gruppe
Moderator: Lancom-Systems Moderatoren
Hi guybrush
grob gesagt geben IKE und PFS-Gruppen an, welche Funktionen zur Bestimmung des Schlüssels beim Diffie-Hellman Key-Exchange verwendet werden. Dabei gilt, je höher die Gruppe, desto länger ist resultierende Schlüssel. Es sind folgenden Gruppen definiert:
1: 768 Bit
2: 1024 Bit
5: 2048 Bit (kann auch sein, daß es 3072 Bit sind, daß weiß ich momentan nicht genau)
Je Länger der Schlüssel, desto aufwändiger ist dessen Bestimmung und desto länger dauert der Verbindungsaufbau.
Zusätzlich ist für PFS (im LANCOM) noch die Gruppe 0 definiert. Das Einstellen der Gruppe 0 bedeutet, daß kein PFS gemacht wird (bei anderen VPN-Gateways kann auch ein expliziter Schalter zum Zu- oder Abschalten von PFS existieren).
PFS bedeutet übrigends, daß vor jeder Phase-2 Verhandlung (in der der Session-Key für die Nutzdatenverschlüsselung verhandelt wird) ein erneuter IKE-Key-Exchange durchgeführt, d.h. es wird ein neuer Schlüssel für den "Kontroll-Kanal" (also für die Verschlüsselung der Steuerkommandos) bestimmt.
Gruß
Backlsash
grob gesagt geben IKE und PFS-Gruppen an, welche Funktionen zur Bestimmung des Schlüssels beim Diffie-Hellman Key-Exchange verwendet werden. Dabei gilt, je höher die Gruppe, desto länger ist resultierende Schlüssel. Es sind folgenden Gruppen definiert:
1: 768 Bit
2: 1024 Bit
5: 2048 Bit (kann auch sein, daß es 3072 Bit sind, daß weiß ich momentan nicht genau)
Je Länger der Schlüssel, desto aufwändiger ist dessen Bestimmung und desto länger dauert der Verbindungsaufbau.
Zusätzlich ist für PFS (im LANCOM) noch die Gruppe 0 definiert. Das Einstellen der Gruppe 0 bedeutet, daß kein PFS gemacht wird (bei anderen VPN-Gateways kann auch ein expliziter Schalter zum Zu- oder Abschalten von PFS existieren).
PFS bedeutet übrigends, daß vor jeder Phase-2 Verhandlung (in der der Session-Key für die Nutzdatenverschlüsselung verhandelt wird) ein erneuter IKE-Key-Exchange durchgeführt, d.h. es wird ein neuer Schlüssel für den "Kontroll-Kanal" (also für die Verschlüsselung der Steuerkommandos) bestimmt.
Gruß
Backlsash