Sicherheitsprotokolle

IPSec stehen verschiedene Sicherheitsprotokolle für eine gesicherte Übertragung zur Verfügung. Diese Sicherheitsprotokolle werden nachfolgend näher beleuchtet.

Authentication Header (AH)
Der AH besitzt die Aufgabe die Authentizität eines übertragenen Datenpaketes zu gewährleisten. Somit überprüft der AH das übertragene Datenpaket dahingehend, ob dieses während der Übertragung verändern bzw. entsprechend manipuliert wurde. Diese Arbeitsweise wird mittels einer kryptographischen Prüfsumme durchgeführt. Der AH beinhaltet dabei alle für die Authentifikation benötigten Informationen und wird entsprechend den Nutzdaten vorangestellt.

Für die Sicherstellung der Datenintegrität werden Prüfsummen erzeugt und entsprechend berechnet. Diese Berechnung wird mittels Hash-Algorithmen, wie HMAC-MD5 oder HMAC-SHA-1, realisiert.

Die Verarbeitung mit dem AH kann für die Übertragung in den verschiedenen Übertragungsmodi erfolgen.

AH im Transportmodus

AH im Tunnelmodu

Der AH kann jedoch nicht verhindern, dass die übertragenen Nutzdaten durch unbefugte Dritte ausgelesen werden können. Der AH kann lediglich Veränderungen bzw. Modifikationen der Daten erkennen. Wenn die Nutzdaten vor unbefugtem Auslesen durch Dritte geschützt werden sollen, ist eine Verschlüsselung zwingend erforderlich. Diese Verschlüsselung wird mittels des ESP realisiert.

Encapsulation-Security-Payload (ESP)
Der Zuständigkeitsbereich von ESP ist die Verschlüsselung der Datenpakete. ESP enthält dabei alle Sicherheitsmerkmale des AH und zusätzlich die Funktionalität der Verschlüsselung und somit gewährleisteten Datenvertraulichkeit

Mit der Verschlüsselung wird eine Veränderung des Datenpaketes vorgenommen. Für die Verschlüsselung der Daten verwendet IPSec standardmäßig DES. Zudem ist der Einsatz weiterer Verfahren, wie IDEA, 3DES und Blowfish möglich.

Die Verarbeitung mit dem ESP kann für die Übertragung in den verschiedenen Übertragungsmodi erfolgen.

Im Transportmodus

Im Tunnelmodus

Ein Unterschied zur Authentifizierung mittels AH liegt darin, dass der IP-Header des zu übertragenen Datenpaketes bei ESP nicht mit authentifiziert wird. Entsprechend wird ESP nur bei internen und sicheren Netzwerken eingesetzt. Damit die Vorteile beider Sicherheitsmechanismen angewendet werden, ist eine Kombination beider für eine Sicherheitserhöhung sinnvoll.

Kombinationen von AH und ESP
In der Praxis werden verschiedenste Anforderungen an ein VPN-System gestellt. Aus diesem Grund gibt es verschiedene Kombinationen von AH und ESP im Transport- bzw. Tunnelmodus, welche zum Einsatz kommen können.

Bei einer netzinternen Kommunikationsverbindung ist der Tunnelmodus nicht sinnvoll, denn der IP-Haeder würde sich ja nicht verändern. Entsprechend wird eine Kombination von AH und ESP im Transportmodus verwendet, was mittels der folgenden Darstellung illustriert wird.

Eine Kombination von AH und ESP kann natürlich auch für eine Kommunikationsverbindung im Tunnelmodus sinnvoll sein. Eine solche Kombination ist meist bei Verbindungen zwischen VPN-Gateways (über das Internet) aufzufinden. Somit werden dabei die IP-Adressen vor einem Zugriff unbefugter Dritter geschützt und nur die Adressen der Gateways ersichtlich.

Internet Key Exchange (IKE)
IKE ist ein Protokoll zur Authentifizierung und zum Schlüsselaustausch. Es handelt sich dabei um eine dynamische Methode, welche den Austausch von Sicherheitsassoziationen definiert.

Sicherheitsassoziationen (SA) spezifizieren gemeinsame Parameter, wie verwendete Schlüssel, deren Schlüssellänge, Verarbeitungsweise etc. Damit der Datenaustausch erfolgreich verarbeitet wird, erfolgt eine Vereinbarung dieser SAs zwischen den Kommunikationsteilnehmern. Die derzeit aktiven SAs werden in der SAD (Security Association Database) abgelegt und gespeichert.

Die Schlüsselvergabe kann neben der automatisierten Variante mittels IKE auch manuell durch einen Administrator vorgenommen werden. Dies ist jedoch aus administrativer Sicht nicht sinnvoll und zu zeitaufwendig. Aus diesem Grund wird die Vergabe mittels IKE favorisiert.

Aufgaben des IKE
Der Aufgabenschwerpunkt des IKE liegt im automatisierten Schlüsselmanagement und der entsprechenden Schlüsselvergabe.

Die Realisierung des Schlüsselmanagements enthält die 3 nachfolgenden Komponenten:

Authentifizierung der Kommunikationsteilnehmer
IKR besitz 4 verschiedene Methoden für die Authentifizierung
Pre-Shared-Key
Puplic-Key-Verschlüsselung
Public-Key-Verschlüsselung mittels verbesserter Methode
digitale Signatur

Erzeugen der SA
- Hierbei erfolgt die Abstimmung der einzelnen Parameter für die sichere
Kommunikation.

Erzeugung der Schlüssel
- In einem IKE Vorgang werden mehrere Schlüssel erzeugt, welche mittels folgender Parameter erzeugt werden.

Auslesen einiger Parameter aus den ersten übertragenen Datenpaketen
Die Methode der Authentifizierung ist von den Parametern abhängig.
Schlüssel mittels Diffie-Hellman erzeugt

- Der zu verwendete Schlüssel für die Verschlüsselung und der
Authentifizierung werden entsprechend aus den Parametern abgeleitet.

vorheriger Punkt	nächster Punkt
Übertragungsmodi	VPN-Varianten

[ Zurück zum Anfang ]