Authentication Header (AH)
Zur Navigation springen
Zur Suche springen
- AH, oder IP-Protokoll 51, dient dazu die Integrität eines Paketes sicherzustellen.
- Hierzu berechnet es auf Basis eines Secret-Keys für jedes Paket, inklusive Header eine Signatur;
- den sog. hash message authentication code (HMAC).
- Dieser HMAC stellt den größten und wichtigsten Teil des insgesamt 24Byte großen Authentication Header dar.
- Da in den HMAC auch die Adress-Felder des IP-Kopfes einbezogen werden können Pakete bei AH-Verbindungen nicht ohne weiteres mit NAT behandelt werden.
- Hierbei würde die Signatur ungültig. Durch AH werden die Pakete nicht verschlüsselt!
Der AH wird eingesetzt um folgendes zu gewährleisten:
- Datenintegrität: Dies wird ermöglicht durch Berechnen eines Hash-Wertes für das gesamte Paket einschließlich des ursprünglichen IP-Headers, des Datenteils des Pakets und des Authentifizierungs-Headers. Zu den Hash-Algorithmen zählen MD5 und SHA-1.
- Datenursprungs-Authentifizierung: Die Quell-IP ist in den Daten enthalten und kann mit den in IPsec eingebenen Werten verglichen werden. Somit kann die Integrität gewährleistet werden.
- Replay-Schutz: AH enthält außerdem eine IPsec-Sequenznummer, die in den authentifizierten Daten enthalten ist und vom Empfänger überprüft werden kann.