IPsec (IP security protocol)

IP Security Protocol (IPsec) ist ein Standardisierungsvorschlag der Internet Engineering Task Force (IETF), in dem Verfahren und Protokolle für einen herstellerübergreifenden sicheren und geschützten Datenaustausch mittels des IP-Protokolls festgelegt werden. Die Normungsaktivitäten laufen seit 1995. Der Normenrahmen von IPSec definiert die Vorgehensweise für die Datenintegrität, die Vertraulichkeit der Inhalte sowie die Verwaltung der kryptografischen Schlüssel. Die Bestandteile von IPSec sind der Authentication Header (AH), die Encapsulating-Security-Payload (ESP), die Security Association (SA), der Security-Parameter-Index (SPI) und der Internet Key Exchange (IKE).


Zu Beginn der Kommunikation wird zwischen den an der Kommunikation beteiligten Rechnern das benutzte Verfahren geklärt und ob die Datenübertragung im Tunneling erfolgen soll oder nicht. Daher unterscheidet das IPSec-Framework je nach Art der Verschlüsselung zwischen dem Authentication Header-basierten Transportmodus und dem ESP-basierten Tunnelmodus. Im ersten Fall, dem verschlüsselten Authentication Header (AH), bleibt der ursprüngliche IP-Header erhalten, die Quell- und Zieladressen bleiben ungeschützt. Der AH-Header liegt zwischen den IP-Headern und den Headern der Transportprotokolle. Die Authentisierung erfolgt entweder mittels des MD5-Algorithmus oder mit dem Secure Hash Algorithm (SHA), wobei die Authentisierung nur die Datenfelder des AH-Headers umfasst, die während der Übertragung unverändert bleibt. Dazu gehört der Nachrichteninhalt des AH-Headers, wodurch Veränderungen bemerkt werden können.

Transportmodus 
   von IPsec mit AH- und ESP-Header

Transportmodus von IPsec mit AH- und ESP-Header

Im Gegensatz dazu bietet der Tunnelmodus, basierend auf der verschlüsselten ESP-Payload, eine höhere Sicherheit für das übertragene Datenpaket, da ja der gesamte Rahmen verschlüsselt wird. Das Datenpaket bekommt einen neuen Header in dem die Quell- und Zieladresse versteckt sind und nur die Tunnelendpunkte erkennbar.

IPSec im Transport- und Tunnelmodus

IPSec im Transport- und Tunnelmodus

IPsec für LAN-LAN-Verbindungen

Das IPsec-Protokoll wurde speziell für die Verbindung zwischen zwei LANs entwickelt. Dabei schützt IPsec die Datenpakete des IP-Protokolls vor möglichen Modifikationen und vor Ausspähungen. IPsec beeinflusst weder die Kommunikationsprotokolle noch die Anwendungsprogramme, sodass das Internetworking über Router nicht beeinträchtigt wird. Authentisierungsverfahren, die mittels IPsec erstellt wurden, können zwischen den Daten von zugelassenen und nicht zugelassenen Kommunikationspartnern unterscheiden. Die Autorisierungsverfahren basieren auf den MD5-Hash-Algorithmen mit 128 Bits, die Verschlüsselung auf dem DES-Algorithmus mit 56 Bits in Cipher Block Chain (CBC).

Mit IPSec kann jeglicher IP-Datenverkehr geschützt werden: Transmission Control Protocol (TCP), User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP), Hypertext Transfer Protocol (HTTP), File Transfer Protocol (FTP), Simple Network Management Protocol (SNMP), Telnet, usw. IPsec ist in den RFCs 1825 bis 1829 und 2401 beschrieben und standardisiert.

Informationen zum Artikel
Deutsch: IPsec-Protokoll
Englisch: IP security protocol - IPsec
Veröffentlicht: 30.08.2018
Wörter: 408
Tags: #IP-Protokolle #Sicherheitsprotokolle
Links: AH (authentication header), Anwendungsprogramm, Bit (binary digit), Daten, Datenfeld