Internet Protocol Security (IPSec)

IPSEC

Copyright ┬ę Shutterstock / Funtap

Was ist Internet Protocol Security?

Bei der Datenverarbeitung ist Internet Protocol Security (IPsec) eine sichere Netzwerk-Protokoll-Suite, die Datenpakete authentifiziert und verschl├╝sselt, die ├╝ber ein Internetprokoll-Netzwerk versendet wurden. Es wird in virtuellen privaten Netzwerken (VPNs) verwendet.

Die IPsec umfasst Protokolle zum Einrichten einer gegenseitigen Authentifizierung zwischen Agenten zu Beginn einer Sitzung und zum Aushandeln der w├Ąhrend der Sitzung zu verwendenden kryptographischen Schl├╝ssel. Internet Protocol Security (IPsec) kann Datenstr├Âme zwischen einem Host-Host-Paar (Host-to-Host), einem Sicherheits-Gateway-Paar (Network-to-Network) oder zwischen einem Sicherheits-Gateway und einem Host (Network-to-Host) sch├╝tzen. Internet Protocol Security (IPsec) verwendet kryptographische Sicherheitsdienste, um die Kommunikation ├╝ber IP-Netzwerke (Internet Protocol) zu sch├╝tzen. Es unterst├╝tzt Peer-Authentifizierung auf Netzwerkebene, Authentifizierung ├╝ber Datenherkunft, Datenintegrit├Ąt, Datenvertraulichkeit und Wiedergabeschutz.

Die erste IPv4-Suite wurde mit wenigen Sicherheitsvorkehrungen entwickelt. Als Teil der IPv4-Erweiterung ist Internet Protocol Security (IPsec) ein Schicht-3-OSI-Modell oder ein End-to-End-Sicherheitsschema f├╝r Internet-Layer, w├Ąhrend einige andere weit verbreitete Internetsicherheitssysteme ├╝ber Schicht-3 liegen, wie etwa Transport Layer Security (TLS) und Secure Shell (SSH), die beide auf der Anwendungsebene arbeiten.

Internet Protocol Security (IPsec) kann Anwendungen auf der IP-Ebene automatisch sch├╝tzen.

Sicherheits-Architektur

Internet Protocol Security (IPsec) ist ein offener Standard als Teil der IPv4-Suite und verwendet folgende Protokolle, um verschiedene Funktionen auszuf├╝hren:
(AH) bieten verbindungslose Datenintegrit├Ąt und Datenursprungs-Authentifizierung f├╝r IP-Datagramme und Schutz vor Wiedergabeangriffen.
Encapsulating Security Payloads bietet Vertraulichkeit, verbindungslose Integrit├Ąt, Datenquellen-Authentifizierung, einen Anti-Replay-Dienst (eine Form der Teilsequenz-Integrit├Ąt) und ein eingeschr├Ąnktes Datenverkehrsgeheimnis.
Security Associations (ESP) bietet Vertraulichkeit, verbindungslose Integrit├Ąt, Datenquellen-Authentifizierung, einen Anti-Replay-Dienst (eine Form der Teilsequenz-Integrit├Ąt) und ein eingeschr├Ąnktes Datenverkehrsgeheimnis.

Betriebsarten

Die Internet Protocol Security (IPsec) AH und ESP k├Ânnen in einem Host-zu-Host-Transportmodus sowie in einem Netzwerk-Tunneling-Modus implementiert werden.

Transportmodus

Im Transportmodus wird normalerweise nur die Nutzlast des IP-Pakets verschl├╝sselt oder authentifiziert. Das Routing ist intakt, da der IP-Header weder modifiziert noch verschl├╝sselt wird. Wenn der Authentifizierungs-Header verwendet wird, k├Ânnen die IP-Adressen jedoch nicht durch Netzwerkadressen-├ťbersetzung ge├Ąndert werden, da der Hash-Wert dadurch immer ung├╝ltig wird. Die Transport- und Anwendungsebenen sind immer durch einen Hash gespeichert, sodass sie in keiner Weise ge├Ąndert werden k├Ânnen, zum Beispiel durch ├ťbersetzen der Portnummern.

Wenn Sie noch weiter Informationen bez├╝glich des Themas┬áAuthentifizierung┬áben├Âtigen, k├Ânnen Sie sich gerne auf unserem Glossar dar├╝ber oder auch ├╝ber andere Themen weiterbilden.

In RFC-Dokumenten, die den NAT-T-Mechanismus beschreiben, wurde ein Mittel zum Einkapseln von IPsec-Nachrichten f├╝r die NAT-Durchquerung definiert.

Tunnelmodus

Im sogenannten Tunnelmodus wird das gesamte IP-Paket verschl├╝sselt und authentifiziert. Es wird dann in ein neues IP-Paket mit einem neuen IP-Header eingekapselt. Im Tunnelmodus werden virtuelle private Netzwerke f├╝r die Netzwerk-zu-Netzwerk-Kommunikation (zum Beispiel zwischen Routern zum Verkn├╝pfen von Standorten) und Host-zu-Host-Kommunikation (zum Beispiel privater Chat) erstellt.

Der Tunnelmodus unterst├╝tzt NAT-Traversal.

Implementierung

Das Internet Protocol Security (IPsec) kann im IP-Stack eines Betriebssystems implementiert werden, was eine ├änderung des Quellcodes erfordert. Diese Implementierungsmethode wird f├╝r Hosts und Sicherheits-Gateways durchgef├╝hrt. Verschiedene IPsec-f├Ąhige IP-Stacks sind von Unternehmen wie HP oder IBM erh├Ąltlich. Eine Alternative ist die sogenannte Bump-in-the-Stack-Implementierung (BITS-Implementierung), bei der der Quellcode des Betriebssystems nicht ge├Ąndert werden muss. Hier wird IPsec zwischen dem IP-Stack und den Netzwerktreibern installiert. Auf diese Weise k├Ânnen Betriebssysteme mit IPsec nachger├╝stet werden. Diese Implementierungsmethode wird auch f├╝r Hosts und Gateways verwendet. Wenn IPsec nachger├╝stet wird, kann die Kapselung von IP-Paketen jedoch Probleme bei der automatischen Erkennung der Pfad-MTU verursachen, bei der die maximale Gr├Â├če der ├ťbertragungseinheit (MTU) im Netzwerkpfad zwischen zwei IP-Hosts festgelegt wird. Wenn ein Host oder Gateway ├╝ber einen separaten Krypto-Prozessor verf├╝gt, der im Milit├Ąr ├╝blich ist und auch in kommerziellen Systemen zu finden ist, ist eine sogenannte Bump-in-the-Wire-Implementierung (BITW) von IPsec m├Âglich.

Standards

Internet Protocol Security (IPsec) wurde in Verbindung mit IPv6 entwickelt und musste urspr├╝nglich von allen standardkonformen Implementierungen von IPv6 unterst├╝tzt werden, bevor RFC 6434 nur eine Empfehlung darstellte. IPsec ist auch f├╝r die IPv4-Implementierung optional. IPsec wird am h├Ąufigsten zur Sicherung des IPv4-Datenverkehrs verwendet.

 

Hinweis

Wenn Sie noch Fragen haben zu dem Them IP Adressen haben, k├Ânnen Sie gerne unseren Glossar der OSG zu diesem Thema lesen.

Zum Artikel

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte