Beschreibung:

Quanten-Computer stellen für aktuelle kryptographische Verfahren, wie sie auch in IKEv2-Verbindungen verwendet werden, eine große Herausforderung dar. Zum aktuellen Stand gelten diese Algorithmen zwar noch als sehr robust gegenüber Angriffen, es ist allerdings denkbar, dass Angreifer verschlüsselten Datenverkehr jetzt aufzeichnen und zu einem späteren Zeitpunkt mit einem Quanten-Computer entschlüsseln. 

Um Datenverkehr von IKEv2-Verbindungen auch durch Angriffe durch Quanten-Computer abzusichern, wurde im RFC 8784 "Mixing Preshared Keys in the Internet Key Exchange Protocol Version 2 (IKEv2) for Post-quantum Security" eine Erweiterung vorgestellt, mit der IKEv2-Verbindungen mit Prehared-Key (PSK) zusätzlich mit einem Post-quantum Preshared-Key (PPK) abgesichert werden können.

In diesem Artikel wird beschrieben, wie eine bestehende IKEv2-Verbindung zwischen zwei LANCOM Routern mit Post-quantum Preshared-Keys erweitert wird.

Über die LMC kann das Feature über die Detail-Konfiguration der Router konfiguriert werden. 

Voraussetzungen:

Vorgehensweise:

1. Konfiguration der Post-quantum Preshared-Keys in der Zentrale:

1.1 Verbinden Sie sich mit dem Router in der Zentrale und wechseln in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.

Bild einer technischen Benutzeroberfläche, die eine Vielzahl von VPN-Verbindungsoptionen und Netzwerkeinstellungen zeigt, einschließlich Sektionen für IKE-VPN-Konfigurationen, DNS-Profile, Zertifikate, Routing-Protokolle und Verschlüsselungseinstellungen.

1.2 Wechseln Sie in das Menü PPKs.

Das Bild zeigt eine technische Benutzeroberfläche mit erweiterten Einstellungen, die verschiedene Netzwerkkonfigurationsoptionen wie Preshared Key Regeln, IKEv Rekeying Parameter und RADIUS Accounting umfasst.

1.3 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:

  • PPK-ID: Vergeben Sie einen eindeutigen Namen für den PPK (in diesem Beispiel PPK-1).
  • PPK: Vergeben Sie ein Passwort als PPK.
  • Erforderlich: Wählen Sie im Dropdown-Menü die Option Ja aus. Dadurch wird die VPN-Verbindung nur dann aufgebaut, wenn auf der Gegenseite auch ein PPK verwendet wird. Mit der Einstellung Nein ist die Verwendung von PPKs optional.

Die PPK-ID sowie der PPK müssen auf den beiden VPN-Routern übereinstimmen, damit die VPN-Verbindung aufgebaut wird.

Screenshot eines technischen Konfigurationsmenüs mit den Begriffen pr, erforderlich IV und Raechen.

1.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von VPN-Verbindungen mit verschiedenen Einstellungsoptionen wie Verschlüsselungsparametern, Routing-Protokollen und Firewall-Einstellungen.

1.5 Wählen Sie die VPN-Verbindung aus, die abgesichert werden soll und klicken auf Bearbeiten.

Screenshot einer technischen Konfigurationsseite zur Authentifizierung, einschließlich Einstellungen für lokale und entfernte Authentifizierungsprofile, digitale Signaturen und Identitätstypen, sowie E-Mail-Adressfelder für die Kommunikation.

1.6 Wählen Sie im Dropdown-Menü bei PPK-ID die in Schritt 1.3 erstellte PPK-ID aus.

Bildschirmansicht einer Benutzeroberfläche zur Auswahl und Konfiguration von digitalen Signaturen und Identitätstypen, einschließlich Optionen für E-Mail-Adressen und Passworterzeugung.

1.7 Die Konfigurationsschritte in der Zentrale sind damit abgeschlossen.



2. Konfiguration der Post-quantum Preshared-Keys in der Filiale:

2.1 Verbinden Sie sich mit dem Router in der Filiale und wechseln in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.

Bildschirmfoto einer technischen Benutzeroberfläche für die Konfiguration von VPN-Verbindungen, einschließlich Menüoptionen für allgemeine VPN-Einstellungen, IKE-Konfiguration, Verbindungsparameter, Monitoring, DNS-Profile, IP-Adresszuweisungen und Verschlüsselungsoptionen.

2.2 Wechseln Sie in das Menü PPKs.

Die Abbildung zeigt eine technische Benutzeroberfläche mit verschiedenen Einstellungsoptionen und Netzwerkkonfigurationsparametern, darunter Preshared Key Regeln, IKEv Rekeying Parameter, RADIUS Accounting, und dynamisches Routing für Tunnelgruppen.

2.3 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:

  • PPK-ID: Tragen Sie die in Schritt 1.3 vergebene PPK-ID ein (in diesem Beispiel PPK-1).
  • PPK: Tragen Sie das in Schritt 1.3 vergebene Passwort ein.
  • Erforderlich: Wählen Sie im Dropdown-Menü die Option Ja aus. Dadurch wird die VPN-Verbindung nur dann aufgebaut, wenn auf der Gegenseite auch ein PPK verwendet wird. Mit der Einstellung Nein ist die Verwendung von PPKs optional.

Die PPK-ID sowie der PPK müssen auf den beiden VPN-Routern übereinstimmen, damit die VPN-Verbindung aufgebaut wird.

Ansicht eines technischen Benutzeroberfläche oder Konfigurationsmenüs mit unvollständigen Beschriftungen, einschließlich der Worte pr forderlich IV Raechen.

2.4 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung

Ansicht einer technischen Benutzeroberfläche für die Konfiguration von VPN-Verbindungen, Verschlüsselungsparametern und Netzwerkmanagement-Optionen, inklusive Schnittstellen, Datum und Uhrzeit sowie Monitoring-Meldungen.

2.5 Wählen Sie die VPN-Verbindung aus, die abgesichert werden soll und klicken auf Bearbeiten.

Ein Bildschirmfoto eines technischen Konfigurationsmenüs mit Optionen zur Authentifizierung und digitalen Signatur, inklusive verschiedener Profile und Identitätstypen.

2.6 Wählen Sie im Dropdown-Menü bei PPK-ID die in Schritt 2.3 erstellte PPK-ID aus.

Bildschirmansicht einer technischen Benutzeroberfläche zur Konfiguration von digitalen Signaturen und E-Mail-Identität, einschließlich Optionen für Passworterzeugung und OCSP-Überprüfung.

2.7 Die Konfigurationsschritte in der Filiale sind damit abgeschlossen.



3. Neustart der VPN-Verbindung:

Damit die vorgenommenen Änderungen umgesetzt werden, muss die VPN-Verbindung neugestartet werden. Dabei spielt es keine Rolle, ob die Trennung in der Filiale oder in der Zentrale initiiert wird.

3.1 Neustart der VPN-Verbindung per LANmonitor:

Markieren Sie die VPN-Verbindung, führen einen Rechtsklick aus und wählen im Kontextmenü die Option Verbindung trennen aus.

Screenshot einer technischen Benutzeroberfläche, die VPN-Verbindungen anzeigt, mit Optionen für Aktualisierung und Kopieren sowie Details zu Verbindungsfehlern, Gateway-Information und Datenverschlüsselung.


3.2 Neustart der VPN-Verbindung per Konsole:

Geben Sie den Befehl zum Trennen der VPN-Verbindung im folgenden Format ein:

do Other/Manual-Dialing/Disconnect <Name der VPN-Verbindung> 

In diesem Beispiel muss der Befehl also wie folgt lauten: 

do Other/Manual-Dialing/Disconnect ZENTRALE

Screenshot einer technischen Benutzeroberfläche mit der Option doOtherManualDialingDisconnect in der Sektion ZENTRALE und der Meldung OKActionDisconnectstarted.



4. Prüfung der Quanten-Resistenz der VPN-Verbindung im VPN-Status:

Mit dem Konsolen-Befehl ls Status/VPN/Connections können Sie prüfen, ob der konfigurierte PPK in der VPN-Verbindung verwendet wird. Wenn für das Feld PPK die Option Yes ausgegeben wird, verwendet die Verbindung den PPK.

Bild einer komplexen technischen Benutzeroberfläche mit verschiedenen unleserlichen Textelementen und möglicherweise Konfigurationsoptionen oder Verbindungsstatusanzeigen.

Weitere Artikel zu diesem Thema:

 

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH