Internet Protocol Security (IPSec)

Internet Protocol Security

Copyright © Shutterstock/Funtap

Was ist Internet Protocol Security?

Bei der Datenverarbeitung ist Internet Protocol Security (IPsec) eine sichere Netzwerk-Protokoll-Suite, die Datenpakete authentifiziert und verschlüsselt, die über ein Internetprokoll-Netzwerk versendet wurden. Es wird in virtuellen privaten Netzwerken (VPNs) verwendet.

Die IPsec umfasst Protokolle zum Einrichten einer gegenseitigen Authentifizierung zwischen Agenten zu Beginn einer Sitzung und zum Aushandeln der während der Sitzung zu verwendenden kryptographischen Schlüssel. Internet Protocol Security (IPsec) kann Datenströme zwischen einem Host-Host-Paar (Host-to-Host), einem Sicherheits-Gateway-Paar (Network-to-Network) oder zwischen einem Sicherheits-Gateway und einem Host (Network-to-Host) schützen.

Internet Protocol Security (IPsec) verwendet kryptographische Sicherheitsdienste, um die Kommunikation über IP-Netzwerke (Internet Protocol) zu schützen. Es unterstützt Peer-Authentifizierung auf Netzwerkebene, Authentifizierung über Datenherkunft, Datenintegrität, Datenvertraulichkeit und Wiedergabeschutz. Die erste IPv4-Suite wurde mit wenigen Sicherheitsvorkehrungen entwickelt. Als Teil der IPv4-Erweiterung ist Internet Protocol Security (IPsec) ein Schicht-3-OSI-Modell oder ein End-to-End-Sicherheitsschema für Internet-Layer, während einige andere weit verbreitete Internetsicherheitssysteme über Schicht-3 liegen, wie etwa Transport Layer Security (TLS) und Secure Shell (SSH), die beide auf der Anwendungsebene arbeiten. Internet Protocol Security (IPsec) kann Anwendungen auf der IP-Ebene automatisch schützen.

Sicherheits-Architektur

Internet Protocol Security (IPsec) ist ein offener Standard als Teil der IPv4-Suite und verwendet folgende Protokolle, um verschiedene Funktionen auszuführen:
(AH) bieten verbindungslose Datenintegrität und Datenursprungs-Authentifizierung für IP-Datagramme und Schutz vor Wiedergabeangriffen.
Encapsulating Security Payloads bietet Vertraulichkeit, verbindungslose Integrität, Datenquellen-Authentifizierung, einen Anti-Replay-Dienst (eine Form der Teilsequenz-Integrität) und ein eingeschränktes Datenverkehrsgeheimnis.
Security Associations (ESP) bietet Vertraulichkeit, verbindungslose Integrität, Datenquellen-Authentifizierung, einen Anti-Replay-Dienst (eine Form der Teilsequenz-Integrität) und ein eingeschränktes Datenverkehrsgeheimnis.

Betriebsarten

Die Internet Protocol Security (IPsec) AH und ESP können in einem Host-zu-Host-Transportmodus sowie in einem Netzwerk-Tunneling-Modus implementiert werden.

Transportmodus

Im Transportmodus wird normalerweise nur die Nutzlast des IP-Pakets verschlüsselt oder authentifiziert. Das Routing ist intakt, da der IP-Header weder modifiziert noch verschlüsselt wird. Wenn der Authentifizierungs-Header verwendet wird, können die IP-Adressen jedoch nicht durch Netzwerkadressen-Übersetzung geändert werden, da der Hash-Wert dadurch immer ungültig wird. Die Transport- und Anwendungsebenen sind immer durch einen Hash gespeichert, sodass sie in keiner Weise geändert werden können, zum Beispiel durch Übersetzen der Portnummern.

Wenn Sie noch weiter Informationen bezüglich des Themas Authentifizierung benötigen, können Sie sich gerne auf unserem Glossar darüber oder auch über andere Themen weiterbilden.

In RFC-Dokumenten, die den NAT-T-Mechanismus beschreiben, wurde ein Mittel zum Einkapseln von IPsec-Nachrichten für die NAT-Durchquerung definiert.

Tunnelmodus

Im sogenannten Tunnelmodus wird das gesamte IP-Paket verschlüsselt und authentifiziert. Es wird dann in ein neues IP-Paket mit einem neuen IP-Header eingekapselt. Im Tunnelmodus werden virtuelle private Netzwerke für die Netzwerk-zu-Netzwerk-Kommunikation (zum Beispiel zwischen Routern zum Verknüpfen von Standorten) und Host-zu-Host-Kommunikation (zum Beispiel privater Chat) erstellt.

Der Tunnelmodus unterstützt NAT-Traversal.

Implementierung

Das Internet Protocol Security (IPsec) kann im IP-Stack eines Betriebssystems implementiert werden, was eine Änderung des Quellcodes erfordert. Diese Implementierungsmethode wird für Hosts und Sicherheits-Gateways durchgeführt. Verschiedene IPsec-fähige IP-Stacks sind von Unternehmen wie HP oder IBM erhältlich. Eine Alternative ist die sogenannte Bump-in-the-Stack-Implementierung (BITS-Implementierung), bei der der Quellcode des Betriebssystems nicht geändert werden muss. Hier wird IPsec zwischen dem IP-Stack und den Netzwerktreibern installiert.

Auf diese Weise können Betriebssysteme mit IPsec nachgerüstet werden. Diese Implementierungsmethode wird auch für Hosts und Gateways verwendet. Wenn IPsec nachgerüstet wird, kann die Kapselung von IP-Paketen jedoch Probleme bei der automatischen Erkennung der Pfad-MTU verursachen, bei der die maximale Größe der Übertragungseinheit (MTU) im Netzwerkpfad zwischen zwei IP-Hosts festgelegt wird. Wenn ein Host oder Gateway über einen separaten Krypto-Prozessor verfügt, der im Militär üblich ist und auch in kommerziellen Systemen zu finden ist, ist eine sogenannte Bump-in-the-Wire-Implementierung (BITW) von IPsec möglich.

Standards

Internet Protocol Security (IPsec) wurde in Verbindung mit IPv6 entwickelt und musste ursprünglich von allen standardkonformen Implementierungen von IPv6 unterstützt werden, bevor RFC 6434 nur eine Empfehlung darstellte. IPsec ist auch für die IPv4-Implementierung optional. IPsec wird am häufigsten zur Sicherung des IPv4-Datenverkehrs verwendet.

 

Hinweis

Wenn Sie noch Fragen haben zu dem Them IP Adressen haben, können Sie gerne unseren Glossar der OSG zu diesem Thema lesen.

Zum Artikel

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte