slider

Kapitel 10: „IPSec-Verschlüsselung“ - Prof. Dr. Norbert Pohlmann

Kapitel 10: „IPSec-Verschlüsselung“


Übungsaufgabe 1

Bitte kreuzen Sie die folgenden Aspekte an.

 Cyber-Sicherheitsmechanismen
IPSec
Gewährleistung von Cyber-SicherheitsbedürfnissenVertraulichkeit
Authentifikation
Authentizität
Integrität
Verbindlichkeit
Verfügbarkeit
Anonymisierung / Pseudomisierung
Cyber-SicherheitsstrategienVermeiden von Angriffen
Entgegenwirken von Angriffen
Erkennen von Angriffen
Reaktion auf Angriffe
Diese Tabele ist auf Ihrem Gerät nicht anzeigbar.

Lösung:

 Cyber-Sicherheitsmechanismen
IPSec
Gewährleistung von Cyber-SicherheitsbedürfnissenVertraulichkeitX
AuthentifikationX
AuthentizitätX
IntegritätX
Verbindlichkeit
Verfügbarkeit
Anonymisierung / Pseudomisierung
Cyber-SicherheitsstrategienVermeiden von Angriffen
Entgegenwirken von AngriffenX
Erkennen von Angriffen
Reaktion auf Angriffe

Übungsaufgabe 2

Nennen Sie die Cyber-Sicherheitsdienste, die bei dem AH und ESP Header angeboten werden!

Lösung:

AH:

  • Datenunversehrtheit
  • Authentifikation
  • Anti-Replay Service (optional, ist aber standardmäßig aktiv)
ESP:
  • Datenunversehrtheit und Authentifikation (optional, ist aber standardmäßig aktiv)
  • Anti-Replay Service (optional, ist aber standardmäßig aktiv)
  • Verschlüsselung (optional, ist aber standardmäßig aktiv)

Übungsaufgabe 3

Beschreiben Sie die Vorteile der Realisierungsformen IPSec-Gateway und IP-Sec-Client!

Lösung:

Vorteile eine IPSec-Gateway-Lösung

  • Die IPSec-Gateway-Lösung ist unabhängig von IT-Systemen (Server, PC, Notebook, Tablets, Smartphone, Wearable, …) und deren Betriebssystemen (Android, iOS, LINUX, Windows, …).
  • Die IPSec-Gateway-Lösung erlaubt die Einrichtung von Cyber-Sicherheitsfunktionen zwischen IT-Systemen, in die ansonsten keine Cyber-Sicherheitsfunktionen integriert werden könnten (z.B. Terminals).
  • Bei heterogenen IT-Systemen (unterschiedliche Hardware, Software, Betriebssysteme, …) kann immer das gleiche IPSec-Gateway verwendet werden, wodurch sich der notwendige Aufwand verringert.
  • IPSec-Gateways sind leichter „sicher“ zu realisieren als spezielle Software-Lösungen in IT-Systemen
  • IPSec-Gateways sind immer ansprechbar, und damit einfacher zu managen.
  • Die IPSec-Gateways sind hinsichtlich der Sicherheitsqualität unabhängig von anderen Systemkomponenten.
  • Die Cyber-Sicherheit ist anwendungsunabhängig.

Vorteile einer IPSec-Client-Lösung

  • Der IPSec-Client ist kostengünstiger als die IPSec-Gateway-Lösung.
  • Der IPSec-Client bietet End-to-End-Sicherheit.
  • Der IPSec-Client kann mobil und flexibel verwendet werden.
  • Bei der IPSec-Client kann eine Person, ein Nutzer, authentisiert werden.

Übungsaufgabe 4

Erläutern Sie die zwei unterschiedlichen Modi bei IPSec und deren Anwendungsfelder und zeigen Sie den prinzipiellen Aufbau der IP-Pakete (Original/New-IP-Header, IPSec-Header, Data)!

Name des 1. Modus: ________________

 IP-Paket

Anwendungsfelder: ?

Name des 2. Modus:________________

 IP-Paket

Anwendungsfelder: ?

Lösung:

Name des 1. Modus: Tunnel Mode

 IP-Paket

Anwendungsfelder:
Bei 1:1-Verschlüsslung, die beispielsweise zwischen zwei Firewall-Systemen oder sonstigen Security-Gateways eingerichtet werden, wird immer der Tunnelmodus genutzt.

Name des 2. Modus: Transport Mode

 IP-Paket


Anwendungsfelder:
Bei 1:n- oder m:n-Verschlüsselung mit IPSec-Client kommt nur der Transportmodus zum Einsatz.

Übungsaufgabe 5

Nennen Sie unterschiedliche Security Associations (SA), Modi in den SAs und deren Aufgaben!

SA:___________________
Modi:___________________
Aufgaben:


___________________
SA:___________________
Modi:___________________
Aufgaben:


___________________

Lösung:

SA:ISAKMP Security Association
Modi:Main Mode oder Aggressive Mode
Aufgaben:IKE-Parameter (ISAKMP) ausgehandelt:
– Authentifikationsmethode (PKI oder PSK)
– Algorithmen für Authentifikation und Verschlüsselung
– Schlüsselaustausch (für die SAs)
Nutzer-Authentifikation

SA:IPSec Security Assoziation
Modi:Basic Quick Mode oder Perfect Forward Secrecy Mode
Aufgaben:Aushandeln der IPSec-Parameter:
– Security Protocol (AH, ESP)
– Algorithmen (One-Way-Hashfunktion und das Verschlüsselungsverfahren, falls ESP) und Schlüssel,
die für die Authentisierung und Verschlüsselung der Daten (IP-Pakete) genutzt werden.
– Modus (Transport oder Tunnel)

Übungsaufgabe 6

Diskutieren Sie die Vor- und Nachteile des Main- und Aggressive-Modes!

Lösung:

Die Inhalte der ausgetauschten Elemente sind beim Main- und Aggressive-Modes die gleichen, nur werden sie im „Aggressive Mode“ mit nur drei Nachrichten ausgetauscht. Daher ist der „Aggressive Mode“ schneller, da er mit nur 3 Nachrichten-Paketen auskommt, aber dafür sind die IDs nicht verschlüsselt!

Übungsaufgabe 7

Sie wollen die Kommunikation zwischen einigen Mitarbeitern zwischen zwei unterschiedlichen Arbeitsorten mit Hilfe von IPSec schützen. Die Verschlüsselung soll von End-to-End sein. Welchen Mode wählen Sie dafür?

Lösung:

Transportmode, weil dort die IP-Pakete von einem bis zum anderen IT-System verschlüsselt übertragen werden und nur ein IPSec-Client für jeden Mitarbeiter notwendig ist.

Übungsaufgabe 8

Sie wollen die Kommunikation zwischen einigen Mitarbeitern zwischen zwei Standorten mit Hilfe von IPSec schützen. Es soll auch verhindert werden, dass ein Angreifer erkennen kann, wer die Kommunikation in den Niederlassungen durchführt. Welchen Mode wählen Sie dafür?

Lösung:

Tunnelmode, weil dort die Original-IP-Header Informationen verschlüsselt werden.

Übungsaufgabe 9

Welche Felder im Header des originalen IP-Pakets können beim Authentication Header (AH) nicht für die Integritäts- und Authentizitätsprüfung berücksichtigt werden und warum?

Lösung:

Die Felder “Time to Live (TTL)”, “TOS”, “Flags” und “Header Checksum” können nicht berücksichtigt werden, weil diese während der Übertragung von den Routern modifiziert werden.

Übungsaufgabe 10

Nennen und beschreiben Sie kurz die drei Phasen des Main Modes innerhalb des Internet-Key-Exchange-Protokolls. Welcher zentrale Unterschied besteht zwischen dem Main Mode und dem Aggressive Mode?

Lösung:

Beschreibung drei der Phasen:
– Aushandeln der Basis-Algorithmen
– Umsetzung des Diffie-Hellman-Verfahrens zum Austausch Shared Secrets
– Authentifikation der Kommunikationspartner

Die Inhalte der ausgetauschten Elemente sind die gleichen, nur werden sie im „Aggressive Mode“ mit nur drei Nachrichten ausgetauscht. Daher ist der „Aggressive Mode“ schneller, da er mit nur 3 Nachrichten-Paketen auskommt, aber dafür sind die IDs bei der Authentifikation der Kommunikationspartner nicht verschlüsselt!

Übungsaufgabe 11

Beschreiben Sie kurz wofür der Quick Mode innerhalb des Internet-Key-Exchange-Protokolls verwendet wird. Wovon hängt die Sicherheit des Quick Modes ab und durch welche Funktionalität innerhalb des Quick Modes kann die Cyber-Sicherheit des gesamten Protokolls theoretisch erhöht werden?

Lösung:

Beschreibung Quick Mode
Der Quick-Mode dient zur Aushandlung der IPSec Security Assoziation.
Es werden das Security Protocol (AH, ESP), die kryptographischen Algorithmen (One-Way-Hashverfahren, Verschlüsselungsalgorithmus) und der Modus (Transport, Tunnel) sowie die Schlüssel für die Authentizität und Verschlüsselung für den Transfer-Mode ausgehandelt.

Die Pakete des Quick-Modes werden durch die Algorithmen und Schlüssel, die im Main Mode ausgehandelt worden sind, geschützt.

Mit Hilfe von Perfect Forward Secrecy (PFS) kann dafür gesorgt werden, dass Schlüssel nicht voneinander abhängen. Dadurch wird die Angriffsfläche reduziert. Dieses kann durch die zusätzliche Verwendung des Diffie-Hellman-Verfahrens, der Aushandlung des Diffie-Hellman Shared Secret, erreicht werden!

Übungsaufgabe 12

Sie wollen die Kommunikation der Mitarbeiter zwischen mehreren entfernten Standorten mit Hilfe von IPSec schützen. Sie haben sich bereits dazu entschlossen an jedem Standort mindestens ein IPSec Gateway einzurichten. Mit welcher Methode würden Sie die Authentifikation der Kommunikationspartner innerhalb des Internet-Key-Exchange-Protokolls realisieren? Begründen Sie Ihre Auswahl!

Lösung:

PKI gestützte Authentifikation anstatt Pre-Shared Keys, weil dadurch nicht nur die Zugehörigkeit zur Organisation, sondern das konkrete IPSec-Gateway verifiziert werden kann.

Übungsaufgabe 13

Warum ergibt es Sinn, beide IPSec-Header gleichzeitig zu nutzen?

Lösung:

Bei ESP wird nicht die Integrität und Authentizität des „Outer IP-Headers“ überprüft.

Übungsaufgabe 14

Welche Unterschiede bestehen beim Transport- und Tunnelmodus?

Lösung:

Beim Transportmode werden nur die Nutzdaten verschlüsselt.
Beim Tunnelmode wird der IP-Header und die Nutzdaten verschlüsselt.

Übungsaufgabe 15

Wozu dient der Anti-Replay-Service und wie funktioniert er?

Lösung:

Schutz vor unberechtigter Wiedereinspielung von alten IP-Paketen.

Funktionsweise des Anti-Replay-Services

  • Initiator:
    • Bei der IPSec-Initialisierung wird von Initiator SN = 0 gesetzt
    • Das erste Paket wird mit SN = 1 gesendet
    • Das Feld wird vor dem Versand jedes weiteren Paketes um 1 erhöht
  • Receiver:
    • Überprüft, ob die SN in der richtigen Reihenfolge ist.
    • Mit Hilfe eines „Sliding Window“ wird entschieden, ob ein Paket mit einer bestimmten Sequenznummer angenommen oder verworfen wird. Die Größe eines Sliding Windows ist z.B. 32.
    • Damit wird das unberechtigte Wiedereinspielen von alten Paketen in einer Security Association (AS) unterbunden.

Kapitel 10: „IPSec-Verschlüsselung“ Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten