logo

TechCodeview

IP-Sicherheit (IPSec)

Voraussetzung: Arten von Internetprotokollen

IP Sec (Internet Protocol Security) ist eine Standard-Protokollsuite der Internet Engineering Task Force (IETF) zwischen zwei Kommunikationspunkten im IP-Netzwerk, die Datenauthentifizierung, Integrität und Vertraulichkeit gewährleistet. Außerdem werden die verschlüsselten, entschlüsselten und authentifizierten Pakete definiert. Darin sind die für den sicheren Schlüsselaustausch und die Schlüsselverwaltung notwendigen Protokolle definiert.



Einsatzmöglichkeiten von IP-Sicherheit

IPsec kann für folgende Zwecke verwendet werden:

  • Zum Verschlüsseln von Daten auf Anwendungsebene.
  • Um Sicherheit für Router zu gewährleisten, die Routing-Daten über das öffentliche Internet senden.
  • Um eine Authentifizierung ohne Verschlüsselung bereitzustellen, möchten Sie beispielsweise authentifizieren, dass die Daten von einem bekannten Absender stammen.
  • Zum Schutz von Netzwerkdaten durch den Aufbau von Verbindungen mithilfe von IPsec-Tunneling, bei dem alle Daten, die zwischen den beiden Endpunkten gesendet werden, verschlüsselt werden, wie bei einer VPN-Verbindung (Virtual Private Network).

Komponenten der IP-Sicherheit

Es besteht aus folgenden Komponenten:

  1. Kapselung der Sicherheitsnutzlast (ESP)
  2. Authentifizierungsheader (AH)
  3. Internet-Schlüsselaustausch (IKE)

1. Kapselung der Sicherheitsnutzlast (ESP): Es bietet Datenintegrität, Verschlüsselung, Authentifizierung und Anti-Replay. Es bietet auch eine Authentifizierung für die Nutzlast.



2. Authentifizierungsheader (AH): Es bietet außerdem Datenintegrität, Authentifizierung und Anti-Replay, bietet jedoch keine Verschlüsselung. Der Anti-Replay-Schutz schützt vor der unbefugten Übertragung von Paketen. Die Vertraulichkeit der Daten wird dadurch nicht geschützt.

IP-Header

IP-Header

3. Internet-Schlüsselaustausch (IKE): Es handelt sich um ein Netzwerksicherheitsprotokoll, das für den dynamischen Austausch von Verschlüsselungsschlüsseln und die Suche nach einem Weg über die Security Association (SA) zwischen zwei Geräten entwickelt wurde. Die Security Association (SA) richtet gemeinsame Sicherheitsattribute zwischen zwei Netzwerkeinheiten ein, um eine sichere Kommunikation zu unterstützen. Das Key Management Protocol (ISAKMP) und die Internet Security Association bieten einen Rahmen für die Authentifizierung und den Schlüsselaustausch. ISAKMP teilt mit, wie die Security Associations (SAs) eingerichtet werden und wie direkte Verbindungen zwischen zwei Hosts IPsec verwenden. Internet Key Exchange (IKE) bietet Schutz für Nachrichteninhalte und einen offenen Rahmen für die Implementierung von Standardalgorithmen wie SHA und MD5. Die IP-Sec-Benutzer des Algorithmus erstellen für jedes Paket eine eindeutige Kennung. Anhand dieser Kennung kann ein Gerät dann feststellen, ob ein Paket korrekt war oder nicht. Nicht autorisierte Pakete werden verworfen und nicht an den Empfänger weitergeleitet.



Paket im Internetprotokoll

Pakete im Internetprotokoll

IP-Sicherheitsarchitektur

Die IPSec-Architektur (IP Security) verwendet zwei Protokolle, um den Datenverkehr oder Datenfluss zu sichern. Diese Protokolle sind ESP (Encapsulation Security Payload) und AH (Authentication Header). Die IPSec-Architektur umfasst Protokolle, Algorithmen, DOI und Schlüsselverwaltung. Alle diese Komponenten sind sehr wichtig, um die drei Hauptdienste bereitzustellen:

  • Vertraulichkeit
  • Authentizität
  • Integrität
IP-Sicherheitsarchitektur

IP-Sicherheitsarchitektur

Arbeiten an IP-Sicherheit

  • Der Host prüft, ob das Paket per IPsec übertragen werden soll oder nicht. Dieser Paketverkehr löst die Sicherheitsrichtlinie für sich aus. Dies geschieht, wenn das System, das das Paket sendet, eine entsprechende Verschlüsselung anwendet. Auch die eingehenden Pakete werden vom Host darauf überprüft, ob sie richtig verschlüsselt sind oder nicht.
  • Dann beginnt die IKE-Phase 1, in der sich die beiden Hosts (unter Verwendung von IPsec) gegenseitig authentifizieren, um einen sicheren Kanal zu starten. Es verfügt über 2 Modi. Der Main-Modus bietet mehr Sicherheit und der Aggressive-Modus, der es dem Host ermöglicht, schneller eine IPsec-Verbindung aufzubauen.
  • Der im letzten Schritt erstellte Kanal wird dann verwendet, um sicher auszuhandeln, wie die IP-Verbindung Daten über die IP-Verbindung hinweg verschlüsselt.
  • Jetzt wird die IKE-Phase 2 über den sicheren Kanal durchgeführt, in dem die beiden Hosts die Art der kryptografischen Algorithmen aushandeln, die in der Sitzung verwendet werden sollen, und sich auf geheimes Schlüsselmaterial einigen, das mit diesen Algorithmen verwendet werden soll.
  • Anschließend werden die Daten über den neu erstellten IPsec-verschlüsselten Tunnel ausgetauscht. Diese Pakete werden von den Hosts mithilfe von IPsec-SAs verschlüsselt und entschlüsselt.
  • Wenn die Kommunikation zwischen den Hosts abgeschlossen ist oder die Sitzung abläuft, wird der IPsec-Tunnel beendet, indem beide Hosts die Schlüssel verwerfen.

Funktionen von IPSec

  1. Authentifizierung: IPSec ermöglicht die Authentifizierung von IP-Paketen mithilfe digitaler Signaturen oder gemeinsamer Geheimnisse. Dadurch wird sichergestellt, dass die Pakete nicht manipuliert oder gefälscht werden.
  2. Vertraulichkeit: IPSec sorgt für Vertraulichkeit durch die Verschlüsselung von IP-Paketen und verhindert so das Abhören des Netzwerkverkehrs.
  3. Integrität: IPSec sorgt für Integrität, indem es sicherstellt, dass IP-Pakete während der Übertragung nicht verändert oder beschädigt wurden.
  4. Schlüsselverwaltung: IPSec bietet Schlüsselverwaltungsdienste, einschließlich Schlüsselaustausch und Schlüsselwiderruf, um sicherzustellen, dass kryptografische Schlüssel sicher verwaltet werden.
  5. Tunnelbau: IPSec unterstützt Tunneling und ermöglicht die Kapselung von IP-Paketen in einem anderen Protokoll, beispielsweise GRE (Generic Routing Encapsulation) oder L2TP (Layer 2 Tunneling Protocol).
  6. Flexibilität: IPSec kann so konfiguriert werden, dass es Sicherheit für eine Vielzahl von Netzwerktopologien bietet, einschließlich Punkt-zu-Punkt-, Site-to-Site- und Fernzugriffsverbindungen.
  7. Interoperabilität: IPSec ist ein offenes Standardprotokoll, das heißt, es wird von einer Vielzahl von Anbietern unterstützt und kann in heterogenen Umgebungen eingesetzt werden.

Vorteile von IPSec

  1. Starke Sicherheit: IPSec bietet starke kryptografische Sicherheitsdienste, die zum Schutz sensibler Daten beitragen und den Datenschutz und die Integrität des Netzwerks gewährleisten.
  2. Breite Kompatibilität: IPSec ist ein offenes Standardprotokoll, das von Anbietern weitgehend unterstützt wird und in heterogenen Umgebungen verwendet werden kann.
  3. Flexibilität: IPSec kann so konfiguriert werden, dass es Sicherheit für eine Vielzahl von Netzwerktopologien bietet, einschließlich Punkt-zu-Punkt-, Site-to-Site- und Fernzugriffsverbindungen.
  4. Skalierbarkeit: IPSec kann zur Absicherung großer Netzwerke eingesetzt werden und kann je nach Bedarf vergrößert oder verkleinert werden.
  5. Verbesserte Netzwerkleistung: IPSec kann zur Verbesserung der Netzwerkleistung beitragen, indem es die Netzwerküberlastung reduziert und die Netzwerkeffizienz verbessert.

Nachteile von IPSec

  1. Konfigurationskomplexität: Die Konfiguration von IPSec kann komplex sein und erfordert spezielle Kenntnisse und Fähigkeiten.
  2. Kompatibilitätsprobleme: Bei IPSec können Kompatibilitätsprobleme mit einigen Netzwerkgeräten und -anwendungen auftreten, die zu Interoperabilitätsproblemen führen können.
  3. Auswirkungen auf die Leistung: IPSec kann sich aufgrund des Overheads der Ver- und Entschlüsselung von IP-Paketen auf die Netzwerkleistung auswirken.
  4. Schlüsselverwaltung: IPSec erfordert eine effektive Schlüsselverwaltung, um die Sicherheit der für die Verschlüsselung und Authentifizierung verwendeten kryptografischen Schlüssel zu gewährleisten.
  5. Eingeschränkter Schutz: IPSec bietet nur Schutz für den IP-Verkehr und andere Protokolle wie ICMP, DNS und Routing-Protokolle können dennoch anfällig für Angriffe sein.