6.2. IPsec

Red Hat Enterprise Linux unterstützt ein Protokoll zur gemeinsamen Verbindung von Remote-Hosts und Netzwerken, das einen sicheren Tunnel auf einem öffentlichen Netzwerk, wie dem Internet, verwendet. Das Protokoll, IPsec genannt, kann unter Verwendung einer Host-zu-Host (eine Workstation zu einer anderen) oder Netzwerk-zu-Netzwerk (eine LAN/WAN zu einem anderen) Verbindung implementiert werden. Die IPsec-Implementation in Red Hat Enterprise Linux benutzt Internet Key Exchange (IKE), das ein von Internet Engineering Task Force (IETF) implementiertes Protokoll darstellt. Es ist für beiderseitige Authentifizierung und sichere Verbindungen zwischen Systemen bestimmt.

Eine IPsec-Verbindung wird in zwei logische Phasen unterteilt. In Phase 1 initialisiert ein IPsec-Knoten die Verbindung mit dem Remote-Knoten oder -Netzwerk. Der Remote-Knoten oder das Remote-Netzwerk überprüft die Attribute (Credentials) des anfragenden Knotens und beide Parteien entscheiden über die Authentifizierungsmethode für die Verbindung. Auf Red Hat Enterprise Linux-Systemen benutzt eine IPsec-Verbindung die Pre-shared Key-Methode der IPsec Knoten-Authentifizierung. In dieser Art von Verbindung müssen beide Hosts den selben Schlüssel verwenden, um in die 2. Phase des IPsec-Verbindungsprozesses zu gelangen.

Phase 2 der IPsec-Verbindung ist diejenige, in der Security Association (SA) zwischen den IPsec-Knoten geschaffen wird. Diese Phase errichtet eine SA-Datenbank mit Konfigurationsinformationen, wie z.B. die Verschlüsselungsmethode, Secret-Session-Key (temporärer Schlüssel, den nur 2 Instanzen kennen) Austauschparameter und vieles mehr. In dieser Phase findet die eigentliche IPsec-Verbindung zwischen den entfernten Knoten und Netzwerken statt.

Die Red Hat Enterprise Linux Implementierung von IPsec verwendet IKE, damit die Schlüssel von den Hosts im ganzen Internet gemeinsam verwendet werden können. Der racoon Schlüssel-Deamon übernimmt die IKE-Schlüsselvergabe und den Austausch.