IPSEC Begriffserklärung

IPsec (Kurzform für Internet Protocol Security) ist eine Protokoll-Suite, die eine gesicherte Kommunikation über potentiell unsichere IP-Netze wie dem Internet ermöglichen soll. IPSec kann lokale Netze oder auch einzelne Clients mit privaten Netzwerkadressen über das Internet verbinden. Dazu werden die ursprünglichen IP-Pakete verschlüsselt und in neue Pakete eingepackt. Beim Empfänger werden die Pakete wieder ausgepackt, entschlüsselt, geprüft und weitergeleitet.

IPsec soll folgende Funktionen bereit stellen:

• Datenvertraulichkeit: Die Daten werden vor der Übertragung verschlüsselt, so dass sie von keinem anderen außer den beteiligten Kommunikationspartnern gelesen werden können.

• Datenintegrität: Der einzellne Teilnehmer kann erkennen ob ein empfangenes Paket auch genauso angekommen ist wie es von der Quelle abgeschickt wurde.

• Datenursprungs-Authentifizierung: Der Teilnehmer der ein Paket empfangen hat kann erkennen, ob es sich bei dem Absender auch um denjenigen handelt, der dieser in dem Paket vorgibt zu sein.

• Antireplay: Der Empfänger kann wiederholt versendete Pakete erkennen und ablehnen

Dazu verwendet IPsec 2 wichtige Netzwerkprotokolle, nämlich ESP (Encapsulated Security Payload) und AH (Authentication Header)

Authentication Header (AH)

AH, oder IP-Protokoll 51, dient dazu die Integrität eines Paketes sicherzustellen. Hierzu berechnet es auf Basis eines Secret-Keys für jedes Paket, inklusive Header eine Signatur; den sog. hash message authentication code (HMAC). Dieser HMAC stellt den größten und wichtigsten Teil des insgesamt 24Byte großen Authentication Header dar. Da in den HMAC auch die Adress-Felder des IP-Kopfes einbezogen werden können Pakete bei AH-Verbindungen nicht ohne weiteres mit NAT behandelt werden. Hierbei würde die Signatur ungültig. Durch AH werden die Pakete nicht verschlüsselt!

Der AH wird eingesetzt um folgendes zu gewährleisten:

• Datenintegrität: Dies wird ermöglicht durch Berechnen eines Hash-Wertes für das gesamte Paket einschließlich des ursprünglichen IP-Headers, des Datenteils des Pakets und des Authentifizierungs-Headers. Zu den Hash-Algorithmen zählen MD5 und SHA-1.

• Datenursprungs-Authentifizierung: Die Quell-IP ist in den Daten enthalten und kann mit den in IPsec eingebenen Werten verglichen werden. Somit kann die Integrität gewährleistet werden.

• Replay-Schutz: AH enthält außerdem eine IPsec-Sequenznummer, die in den authentifizierten Daten enthalten ist und vom Empfänger überprüft werden kann.

Encapsulated Security Payload (ESP)

Im Gegensatz zu AH werden bei ESP (IP-Protokoll 50) die Pakete verschlüsselt übertragen. Hierbei wird das komplette IP-Paket inklusive der Headerdaten verschlüsselt und in einem neuen Paket verpackt (encapsulated). Zusätzlich wird wie beim AH die Integrität des Pakets durch einen HMAC sicher gestellt. Dieser bezieht sich jedoch anders als beim AH auf das verschlüsselte Paket, was dem ESP auch NAT ermöglicht. Einen weiteren positiven Aspekt dieses Protokolls stellt die Tatsache dar, daß nach außen nur die Kommunikation zwischen den VPN-Gateways sichtbar ist. Eine Kommunikationsbeziehung der LAN-Clients ist nicht erkennbar – somit können auch keine IP-Adressen für anderweitige Angriffe gewonnen werden.

Da ESP heutzutage die meisten der AH-Features auch ausführen kann wird AH kaum noch verwendet.

IPsec Kommunikations-Modi

IPsec verfügt über 2 Kommunikations-Modi. Den Transport-Modus und den Tunnel-Modus.

• Transport-Modus: Im Transport-Modus ist lediglich der Datenanteil eines Pakets betroffen. Der ursprüngliche IP-Header wird nicht verändert. Dieser Modus wird verwendet wenn Sender und Empfänger Endpunkte der Kommunikation sind. (Host-to-Host-VPN)

• Tunnel-Modus: Im Tunnel-Modus wird das komplette ursprüngliche Paket als Datenteil eines neuen Pakets betrachtet und ein neuer externer IP-Header erstellt. Dieser Modus ermöglicht Tunneling durch den Kanal zwischen zwei Gateways und ist daher besonders für Side-to-Side-VPN geeignet.