Authentication Header (AH)

Aus xinux.net
Zur Navigation springen Zur Suche springen
  • AH, oder IP-Protokoll 51, dient dazu die Integrität eines Paketes sicherzustellen.
  • Hierzu berechnet es auf Basis eines Secret-Keys für jedes Paket, inklusive Header eine Signatur;
  • den sog. hash message authentication code (HMAC).
  • Dieser HMAC stellt den größten und wichtigsten Teil des insgesamt 24Byte großen Authentication Header dar.
  • Da in den HMAC auch die Adress-Felder des IP-Kopfes einbezogen werden können Pakete bei AH-Verbindungen nicht ohne weiteres mit NAT behandelt werden.
  • Hierbei würde die Signatur ungültig. Durch AH werden die Pakete nicht verschlüsselt!

AH.gif

Der AH wird eingesetzt um folgendes zu gewährleisten:

  • Datenintegrität: Dies wird ermöglicht durch Berechnen eines Hash-Wertes für das gesamte Paket einschließlich des ursprünglichen IP-Headers, des Datenteils des Pakets und des Authentifizierungs-Headers. Zu den Hash-Algorithmen zählen MD5 und SHA-1.
  • Datenursprungs-Authentifizierung: Die Quell-IP ist in den Daten enthalten und kann mit den in IPsec eingebenen Werten verglichen werden. Somit kann die Integrität gewährleistet werden.
  • Replay-Schutz: AH enthält außerdem eine IPsec-Sequenznummer, die in den authentifizierten Daten enthalten ist und vom Empfänger überprüft werden kann.
Abgerufen von „https://xinux.net/index.php?title=Authentication_Header_(AH)&oldid=34166