Internet Protocol Security (IPsec)
Printserver Benutzerdokumentation 156
Die Darstellung erläutert die Zusammenarbeit zwischen SPD, SAD
und Kernel unter Verwendung von IPsec-SA mit Schlüsseln.
Abb. 50: IPsec Ablauf
(1) Der Administrator definiert über die ’setkey’ eine Policy in der SPD.
(2) Der Kernel referenziert auf die SPD, um festzustellen, ob IPsec für ein IP-Datenpaket
anzuwenden ist.
(3) Falls für die IPsec-SA ein Schlüssel erforderlich ist, erhält der Kernel diesen in der SAD.
(4) Falls die SAD keinen Schlüssel hat, stellt der Kernel eine Anfrage an ’racoon’.
(5) Über IKE veranlasst ’racoon’ den Schlüsselaustausch mit dem Remote-Server.
(6) ’racoon’ schreibt den Schlüssel in die SAD.
(7) Der Kernel ist in der Lage IPsec Datenpakete zu versenden.
Für die Authentifizierung können Sie manuelle Schlüssel oder einen
IKE-Daemon (z.B. racoon) verwenden. racoon stellt den automati-
schen Schlüsselaustausch zwischen zwei Hosts sicher. In beiden Fäl-
len ist die Einrichtung einer Policy in der SPD notwendig.
Bei der Verwendung manueller Schlüssel müssen Einträge in der SAD
vorgenommen werden, die den Verschlüsselungsalgorithmus und die
Schlüssel für die sichere Kommunikation mit anderen Hosts bereit-
halten. Bei der Verwendung eines IKE-Daemons werden die SAs
automatisch erstellt.
Comments to this Manuals