| PageIdMakro |
|---|
| Seiteneigenschaften |
|---|
Description:
Quanten-Computer stellen für aktuelle kryptographische Verfahren, wie sie auch in IKEv2-Verbindungen verwendet werden, eine große Herausforderung dar. Zum aktuellen Stand gelten diese Algorithmen zwar noch als sehr robust gegenüber Angriffen, es ist allerdings denkbar, dass Angreifer verschlüsselten Datenverkehr jetzt aufzeichnen und zu einem späteren Zeitpunkt mit einem Quanten-Computer entschlüsseln.
Quantum computers pose a major challenge for current cryptographic methods, including those used in IKEv2 connections. Although these algorithms are currently considered to be very robust against attacks, it is conceivable that attackers could record encrypted data traffic now and decrypt it at a later date using a quantum computer.
In order to protect data traffic on IKEv2 connections against attacks by quantum computers, the extension RFC 8784 “Mixing Um Datenverkehr von IKEv2-Verbindungen auch durch Angriffe durch Quanten-Computer abzusichern, wurde im RFC 8784 "Mixing Preshared Keys in the Internet Key Exchange Protocol Version 2 (IKEv2) for Post-quantum Security" eine Erweiterung vorgestellt, mit der IKEv2-Verbindungen mit Prehared-Key (PSK) zusätzlich mit einem Post-quantum Preshared-Key (PPK) abgesichert werden können.
In diesem Artikel wird beschrieben, wie eine bestehende IKEv2-Verbindung zwischen zwei LANCOM Routern mit Post-quantum Preshared-Keys erweitert wird.
Security” was introduced that allows IKEv2 connections with preshared key (PSK) to be additionally secured with a post-quantum preshared key (PPK).
This article describes how to extend an existing IKEv2 connection between two LANCOM routers with post-quantum preshared keys.
| Info |
|---|
In the LMC, this feature is accessed and configured via the detail configuration of the router |
| Info |
Über die LMC kann das Feature über die Detail-Konfiguration der Router konfiguriert werden. |
Requirements:
- LCOS ab Version as of version 10.90 RC1 (download aktuelle Versionlatest version)
- LANtools ab Version as of version 10.90 RC1 (download aktuelle Versionlatest version)
- Previously set up and functional IKEv2 connection between two LANCOM routers with preshared key:
- Manual configuration
- Manuelle Konfiguration: Manually set up an IKEv2 site-to-site VPN connection with a dynamic IP address on the branch office site (IPv4)
- Konfiguration per Setup-AssistentConfiguration by Setup Wizard: Configuring an IKEv2 VPN connection between two LANCOM routers using the Setup Wizard (IPv4)
Procedure:
1. Konfiguration der Post-quantum Preshared-Keys in der Zentrale) Configuring the post-quantum preshared keys at the Headquarters:
1.1 Verbinden Sie sich mit dem Router in der Headquarter und wechseln in das Menü ) Connect to the router at the Headquarters and navigate to the menu VPN → IKEv2/IPSec → Extended settings.
1.2 Wechseln Sie in das Menü PPKs) Go to the PPKs menu.
1.3 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an) Create a new entry and adjust the following parameters:
- PPK-ID: Vergeben Sie einen eindeutigen Namen für den PPK (in diesem Beispiel Enter a unique name for the PPK (in this example PPK-1).
- PPK: Vergeben Sie ein Passwort als Assign a password as PPK.
- Mandatory: Wählen Sie im Dropdown-Menü die Option Yes aus. Dadurch wird die VPN-Verbindung nur dann aufgebaut, wenn auf der Gegenseite auch ein PPK verwendet wird. Mit der Einstellung No ist die Verwendung von PPKs From the drop-down menu, select the option Yes. This means that the VPN connection will only be established if the remote site also uses a PPK. The setting No means that the use of PPKs is optional.
| Hinweis |
|---|
Die The PPK-ID sowie der PPK müssen auf den beiden VPN-Routern übereinstimmen, damit die VPN-Verbindung aufgebaut wird and the PPK itself must match on both VPN routers in order for the VPN to connect. |
1.4 Wechseln Sie in das Menü ) Switch to the menu VPN → IKEv2/IPSec IPsec → Authentication.
1.5 Wählen Sie die VPN-Verbindung aus, die abgesichert werden soll und klicken auf ) Select the VPN connection to be secured and click Edit.
1.6 Wählen Sie im Dropdown-Menü bei ) From the drop-down menu for PPK-ID, select the PPK-ID die created in Schritt step 1.3erstellte PPK-ID aus.
1.7 Die Konfigurationsschritte in der Headquarter sind damit abgeschlossen.
2. Konfiguration der Post-quantum Preshared-Keys in der Filiale:
) This concludes the configuration steps at the headquarters.
2) Configuring the post-quantum preshared keys at the branch office:
2.1) Connect to the router at the office and navigate to the menu2.1 Verbinden Sie sich mit dem Router in der Office und wechseln in das Menü VPN → IKEv2/IPSec → Extended settings.
2.2 Wechseln Sie in das Menü PPKs) Go to the PPKs menu.
2.3 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an) Create a new entry and adjust the following parameters:
- PPK-ID: Tragen Sie die in Schritt Enter the PPK-ID created in step 1.3 vergebene PPK-ID ein (in diesem Beispiel this example PPK-1).
- PPK: Tragen Sie das in Schritt Enter the password set in step 1.3 vergebene Passwort ein.
- Mandatory: Wählen Sie im Dropdown-Menü die Option Yes aus. Dadurch wird die VPN-Verbindung nur dann aufgebaut, wenn auf der Gegenseite auch ein PPK verwendet wird. Mit der Einstellung No ist die Verwendung von PPKs From the drop-down menu, select the option Yes. This means that the VPN connection will only be established if the remote site also uses a PPK. The setting No means that the use of PPKs is optional.
| Hinweis |
|---|
Die The PPK-ID sowie der PPK müssen auf den beiden VPN-Routern übereinstimmen, damit die VPN-Verbindung aufgebaut wird and the PPK itself must match on both VPN routers in order for the VPN to connect. |
2.4 Wechseln Sie in das Menü ) Switch to the menu VPN → IKEv2/IPSec IPsec → Authentication.
2.5 Wählen Sie die VPN-Verbindung aus, die abgesichert werden soll und klicken auf ) Select the VPN connection to be secured and click Edit.
2.6 Wählen Sie im Dropdown-Menü bei ) From the drop-down menu for PPK-ID, select the PPK-ID die created in Schritt step 2.3erstellte PPK-ID aus.
2.7 Die Konfigurationsschritte in der Office sind damit abgeschlossen) This concludes the configuration steps at the branch office.
3. Neustart der VPN-Verbindung:Damit die vorgenommenen Änderungen umgesetzt werden, muss die VPN-Verbindung neugestartet werden. Dabei spielt es keine Rolle, ob die Trennung in der Filiale oder in der Zentrale initiiert wird) Restart the VPN connection:
These changes only come into effect after restarting the VPN connection. The disconnect can be initiated at the branch office or at the headquarters.
3.1 Neustart der VPN-Verbindung per ) Restart the VPN connection using LANmonitor:
Markieren Sie die VPN-Verbindung, führen einen Rechtsklick aus und wählen im Kontextmenü die Option Disconnect ausSelect the VPN connection, right-click, and select the context-menu option Disconnect.
3.2 Neustart der VPN-Verbindung per Konsole:Geben Sie den Befehl zum Trennen der VPN-Verbindung im folgenden Format ein) Restart the VPN connection from the command line:
Enter the command to disconnect the VPN connection in the following format:
do Other/Manual-Dialing/Disconnect <Name of the VPN connection>
In diesem Beispiel muss der Befehl also wie folgt lautenthis example, the command would appear as follows:
do Other/Manual-Dialing/Disconnect HEADQUARTER
4. Prüfung der Quanten-Resistenz der VPN-Verbindung im VPN-Status:) Checking the quantum resistance of the VPN connection in the VPN status:
With the CLI command Mit dem Konsolen-Befehl ls Status/VPN/Connections können Sie prüfen, ob der konfigurierte PPK in der VPN-Verbindung verwendet wird. Wenn für das Feld Quantum-Resistant die Option Yes ausgegeben wird, verwendet die Verbindung den you can check whether the configured PPK is used on the VPN connection. If the field Quantum-Resistant displays Yes, the connection uses the PPK.
...
| Inhalt nach Stichwort | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|