Internet Protocol Security (IPSec)

Was ist Internet Protocol Security?

Bei der Datenverarbeitung ist Internet Protocol Security (IPsec) eine sichere Netzwerk-Protokoll-Suite, die Datenpakete authentifiziert und verschlüsselt, die über ein Internetprokoll-Netzwerk versendet wurden. Es wird in virtuellen privaten Netzwerken (VPNs) verwendet.

Internet Protocol Security (IPsec) umfasst Protokolle zum Einrichten einer gegenseitigen Authentifizierung zwischen Agenten zu Beginn einer Sitzung und zum Aushandeln der während der Sitzung zu verwendenden kryptographischen Schlüssel. Internet Protocol Security (IPsec) kann Datenströme zwischen einem Host-Host-Paar (Host-to-Host), einem Sicherheits-Gateway-Paar (Network-to-Network) oder zwischen einem Sicherheits-Gateway und einem Host (Network-to-Host) schützen. Internet Protocol Security (IPsec) verwendet kryptographische Sicherheitsdienste, um die Kommunikation über IP-Netzwerke (Internet Protocol) zu schützen. Es unterstützt Peer-Authentifizierung auf Netzwerkebene, Authentifizierung über Datenherkunft, Datenintegrität, Datenvertraulichkeit und Wiedergabeschutz.

Die erste IPv4-Suite wurde mit wenigen Sicherheitsvorkehrungen entwickelt. Als Teil der IPv4-Erweiterung ist Internet Protocol Security (IPsec) ein Schicht-3-OSI-Modell oder ein End-to-End-Sicherheitsschema für Internet-Layer, während einige andere weit verbreitete Internetsicherheitssysteme über Schicht-3 liegen, wie etwas Transport Layer Security (TLS) und Secure Shell (SSH), die beide auf der Anwendungsebene arbeiten.

Internet Protocol Security (IPsec) kann Anwendungen auf der IP-Ebene automatisch schützen.

Sicherheits-Architektur

Internet Protocol Security (IPsec) ist ein offener Standard als Teil der IPv4-Suite und verwendet folgende Protokolle, um verschiedene Funktionen auszuführen:

Authentication Headers (AH) bieten verbindungslose Datenintegrität und Datenursprungs-Authentifizierung für IP-Datagramme und Schutz vor Wiedergabeangriffen.

Encapsulating Security Payloads (ESP) bietet Vertraulichkeit, verbindungslose Integrität, Datenquellen-Authentifizierung, einen Anti-Replay-Dienst (eine Form der Teilsequenz-Integrität) und ein eingeschränktes Datenverkehrsgeheimnis.

Security Associations (SA) bietet ein Bündel von Algorithmen und Daten, die die AH- und/oder ESP-Vorgänge erforderlichen Parameter bereitstellen. Das ISAKMP (Internet Security Association und Schlüsselverwaltungsprotokoll) bietet einen Rahmen für die Authentifizierung und den Schlüsselaustausch mit tatsächlich authentifiziertem Schlüsselmaterial, das entweder durch manuelle Konfiguration mit vorinstallierten Schlüsseln, Internet-Schlüsselaustausch (IKE und IKEv2) oder kerberisiertem Internet bereitgestellt wird.

Betriebsarten

Die Internet Protocol Security (IPsec) AH und ESP können in einem Host-zu-Host-Transportmodus sowie in einem Netzwerk-Tunneling-Modus implementiert werden.

Transportmodus

Im Transportmodus wird normalerweise nur die Nutzlast des IP-Pakets verschlüsselt oder authentifiziert. Das Routing ist intakt, da der IP-Header weder modifiziert noch verschlüsselt wird. Wenn der Authentifizierungs-Header verwendet wird, können die IP-Adressen jedoch nicht durch Netzwerkadressen-Übersetzung geändert werden, da der Hash-Wert dadurch immer ungültig wird. Die Transport- und Anwendungsebenen sind immer durch einen Hash gespeichert, sodass sie in keiner Weise geändert werden können, zum Beispiel durch Übersetzen der Portnummern.

In RFC-Dokumenten, die den NAT-T-Mechanismus beschreiben, wurde ein Mittel zum Einkapseln von IPsec-Nachrichten für die NAT-Durchquerung definiert.

Tunnelmodus

Im sogenannten Tunnelmodus wird das gesamte IP-Paket verschlüsselt und authentifiziert. Es wird dann in ein neues IP-Paket mit einem neuen IP-Header eingekapselt. Im Tunnelmodus werden virtuelle private Netzwerke für die Netzwerk-zu-Netzwerk-Kommunikation (zum Beispiel zwischen Routern zum Verknüpfen von Standorten) und Host-zu-Host-Kommunikation (zum Beispiel privater Chat) erstellt.

Der Tunnelmodus unterstützt NAT-Traversal.

Implementierung

Das Internet Protocol Security (IPsec) kann im IP-Stack eines Betriebssystems implementiert werden, was eine Änderung des Quellcodes erfordert. Diese Implementierungsmethode wird für Hosts und Sicherheits-Gateways durchgeführt. Verschiedene IPsec-fähige IP-Stacks sind von Unternehmen wie HP oder IBM erhältlich. Eine Alternative ist die sogenannte Bump-in-the-Stack-Implementierung (BITS-Implementierung), bei der der Quellcode des Betriebssystems nicht geändert werden muss. Hier wird IPsec zwischen dem IP-Stack und den Netzwerktreibern installiert. Auf diese Weise können Betriebssysteme mit IPsec nachgerüstet werden. Diese Implementierungsmethode wird auch für Hosts und Gateways verwendet. Wenn IPsec nachgerüstet wird, kann die Kapselung von IP-Paketen jedoch Probleme bei der automatischen Erkennung der Pfad-MTU verursachen, bei der die maximale Größe der Übertragungseinheit (MTU) im Netzwerkpfad zwischen zwei IP-Hosts festgelegt wird. Wenn ein Host oder Gateway über einen separaten Krypto-Prozessor verfügt, der im Militär üblich ist und auch in kommerziellen Systemen zu finden ist, ist eine sogenannte Bump-in-the-Wire-Implementierung (BITW) von IPsec möglich.

Standards

Internet Protocol Security (IPsec) wurde in Verbindung mit IPv6 entwickelt und musste ursprünglich von allen standardkonformen Implementierungen von IPv6 unterstützt werden, bevor RFC 6434 nur eine Empfehlung darstellte. IPsec ist auch für die IPv4-Implementierung optional. IPsec wird am häufigsten zur Sicherung des IPv4-Datenverkehrs verwendet.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte