Beschreibung:
Quanten-Computer stellen für aktuelle kryptographische Verfahren, wie sie auch in IKEv2-Verbindungen verwendet werden, eine große Herausforderung dar. Zum aktuellen Stand gelten diese Algorithmen zwar noch als sehr robust gegenüber Angriffen, es ist allerdings denkbar, dass Angreifer verschlüsselten Datenverkehr jetzt aufzeichnen und zu einem späteren Zeitpunkt mit einem Quanten-Computer entschlüsseln.
Um Datenverkehr von IKEv2-Verbindungen auch durch Angriffe durch Quanten-Computer abzusichern, wurde im RFC 8784 "Mixing Preshared Keys in the Internet Key Exchange Protocol Version 2 (IKEv2) for Post-quantum Security" eine Erweiterung vorgestellt, mit der IKEv2-Verbindungen mit Prehared-Key (PSK) zusätzlich mit einem Post-quantum Preshared-Key (PPK) abgesichert werden können.
In diesem Artikel wird beschrieben, wie eine bestehende IKEv2-Verbindung zwischen zwei LANCOM Routern mit Post-quantum Preshared-Keys erweitert wird.
Voraussetzungen:
- LCOS ab Version 10.90 Rel RC1 (download aktuelle Version)
- LANtools ab Version 10.90 RC1(download aktuelle Version)
- Bereits eingerichtete und funktionsfähige IKEv2-Verbindung zwischen zwei LANCOM Routern mit Preshared-Key:
- Manuelle Konfiguration: Manuelle Einrichtung einer IKEv2 Site-To-Site VPN-Verbindung mit dynamischer IP-Adresse der Filiale (IPv4)
- Konfiguration per Setup-Assistent: Konfiguration einer IKEv2 VPN-Verbindung zwischen zwei LANCOM-Routern mit dem Setup-Assistenten (IPv4)
Vorgehensweise:
1. Konfiguration der Post-quantum Preshared-Keys in der Zentrale:
1.1 Verbinden Sie sich mit dem Router in der Zentrale und wechseln in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.
1.2 Wechseln Sie in das Menü PPKs.
1.3 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- PPK-ID: Vergeben Sie einen eindeutigen Namen für den PPK (in diesem Beispiel PPK-1).
- PPK: Vergeben Sie ein Passwort als PPK.
- Erforderlich: Wählen Sie im Dropdown-Menü die Option Ja aus. Dadurch wird die VPN-Verbindung nur dann aufgebaut, wenn auf der Gegenseite auch ein PPK verwendet wird. Mit der Einstellung Nein ist die Verwendung von PPKs optional.
Die PPK-ID sowie der PPK müssen auf den beiden VPN-Routern übereinstimmen, damit die VPN-Verbindung aufgebaut wird.
1.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.
1.5 Wählen Sie die VPN-Verbindung aus, die abgesichert werden soll und klicken auf Bearbeiten.
1.6 Wählen Sie im Dropdown-Menü bei PPK-ID die in Schritt 1.3 erstellte PPK-ID aus.
1.7 Die Konfigurationsschritte in der Zentrale sind damit abgeschlossen.
2. Konfiguration der Post-quantum Preshared-Keys in der Filiale:
2.1 Verbinden Sie sich mit dem Router in der Filiale und wechseln in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.
2.2 Wechseln Sie in das Menü PPKs.
2.3 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- PPK-ID: Vergeben Sie einen eindeutigen Namen für den PPK (in diesem Beispiel PPK-1).
- PPK: Vergeben Sie ein Passwort als PPK.
- Erforderlich: Wählen Sie im Dropdown-Menü die Option Ja aus. Dadurch wird die VPN-Verbindung nur dann aufgebaut, wenn auf der Gegenseite auch ein PPK verwendet wird. Mit der Einstellung Nein ist die Verwendung von PPKs optional.
Die PPK-ID sowie der PPK müssen auf den beiden VPN-Routern übereinstimmen, damit die VPN-Verbindung aufgebaut wird.
2.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.
2.5 Wählen Sie die VPN-Verbindung aus, die abgesichert werden soll und klicken auf Bearbeiten.
2.6 Wählen Sie im Dropdown-Menü bei PPK-ID die in Schritt 2.3 erstellte PPK-ID aus.
2.7 Die Konfigurationsschritte in der Filiale sind damit abgeschlossen.
3. Neustart der VPN-Verbindung: