slider

IPSec Verschlüsselung - Prof. Dr. Norbert Pohlmann

IPSec Verschlüsselung

IPSec Verschlüsselung als Einbindung in die kommunikationsarchtitektur

Was ist IPSec oder IPSec Verschlüsselung?


IPSec Verschlüsselung
IPSec ist der Internet-Sicherheitsstandards der Internet Engineering Task Force (IETF) für die Cyber-Sicherheit von IP-Paketen auf der Netzwerk-Ebene. Die grundsätzliche Idee von IPSec ist, eine offene, kostengünstige und weltweit verfügbare Kommunikationsinfrastruktur, wie das Internet zu nutzen und allen Bedrohungen und Risiken möglichst sinnvoll entgegenzuwirken.

Die Cyber-Sicherheitsfunktionen von IPSec

Verschlüsselung schützt die Vertraulichkeit der übertragenen Daten (jedes Paket kann verschlüsselt werden).

HMAC-Funktion sorgt für die Authentizität, Unversehrtheit der übertragenen Daten (jedes Paket kann gegen Manipulation geschützt und auf die Echtheit überprüft werden).

Anti-Replay Mechanismus schützt vor unberechtigter Wiedereinspielung von übertragenen Daten (jedes Paket kann vor Wiedereinspielung geschützt werden).

Authentifikation gewährleistet die Eindeutigkeit und Echtheit der Kommunikationspartner (die Kommunikationspartner können authentifiziert werden).

Tunneling verschleiert den Datentransfer für definierte Aspekte (die IP-Kommunikation kann gegen einen gewissen Grad der Verkehrsflussanalyse geschützt werden).

IPSec Verschlüsselung als Einbindung in die kommunikationsarchtitektur
Abbildung: IPSec Verschlüsselung Kommunikationseinbindung – © Copyright-Vermerk


Verschiedene Header der IPSec Verschlüsselung

IPSec realisiert die zusätzliche Cyber-Sicherheit durch das Einfügen von Erweiterungs-Header in die IP-Pakete. In den IPSec-Headern sind nur minimal notwendige Informationen untergebracht, die auf spezielle Datenbanken verweisen und mit Security Associations das Security-Management zwischen den Kommunikationsendpunkten umsetzen.

Diese zusätzlichen Header sind:

Authentication Header
(AH, RFC 2402)

Cyber-Sicherheitsdienste, die mit den Authentication Header erbracht werden, sind:

  • Datenunversehrtheit
  • Authentifikation
  • Anti-Replay Service (optional, ist aber standardmäßig aktiv)

Encapsulated Security Payload
(ESP, RFC 2406)

Cyber-Sicherheitsdienste, die mit den Encapsulated Security Payload Header erbracht werden, sind:

  • Datenunversehrtheit und Authentifikation (optional, ist aber standardmäßig aktiv)
  • Anti-Replay Service (optional, ist aber standardmäßig aktiv)
  • Verschlüsselung (optional, ist aber standardmäßig aktiv)

Verschiedenen Modi bei IPSec

IPSec kann im Transport- oder im Tunnelmodus betrieben werden. Im Transportmodus wird der IP-Header des ungesicherten IP-Pakets beibehalten und nur sein Datenteil wird gesichert. Bis auf das Feld „Länge des IP-Paketes“ und die „Prüfsumme“ bleibt der alte IP-Header unverändert. Im Tunnelmodus hingegen wird das gesamte IP-Paket in die Nutzdaten des IPSec-Pakets übernommen, sodass die alte IP-Adresse bei der Verschlüsselung nicht mehr sichtbar ist.

IPSec Verschlüsselung Transport- und Tunnelmodus
Abbildung: Transport- und Tunnelmodus der IPSec Verschlüsselung – © Copyright-Vermerk



Realisierungsformen von IPSec-Systeme

IPSec kann in verschiedenen Realisierungsformen umgesetzt werden.

IPSec-Gateway

Mit einer IPSec-Sicherheitsschicht im Kommunikations-Stack eines Gateways kann aus einem unsicheren Netzdienst ein sicherer Netzdienst umgesetzt werden.
Hierzu wird in einen IPSec-Gateway eine IPSec-Sicherheitsschicht in die Kommunikationsarchitektur eingeführt, die dann transparent für die IT-Systeme die IPSec-Sicherheitsdienste umsetzt.

IPSec Verschlüsselung als Gateway-Lösung
Abbildung: IPSec Gateway-Lösung – © Copyright-Vermerk


Vorteile einer IPSec-Gateway-Lösung

  • Die IPSec-Gateway-Lösung ist unabhängig von IT-Systemen (Server, PC, Notebook, Tablets, Smartphone, Wearable, …) und deren Betriebssystemen (Android, iOS, LINUX, Windows, …).
  • Die IPSec-Gateway-Lösung erlaubt die Einrichtung von Cyber-Sicherheitsfunktionen zwischen IT-Systemen, in die ansonsten keine Cyber-Sicherheitsfunktionen integriert werden könnten (zum Beispiel Terminals).
  • Bei heterogenen IT-Systemen (unterschiedliche Hardware, Software, Betriebssysteme, …) kann immer das gleiche IPSec-Gateway verwendet werden, wodurch sich der notwendige Aufwand verringert.
  • IPSec-Gateways sind leichter „sicher“ zu realisieren als spezielle Software-Lösungen in IT-Systemen und sie sind immer ansprechbar, und damit einfacher zu managen.
  • Die IPSec-Gateways sind hinsichtlich der Sicherheitsqualität unabhängig von anderen Systemkomponenten. Die Cyber-Sicherheit ist anwendungsunabhängig.

IPSec-Client

Eine weitere IPSec-Realisierungsform, die IPSec-Sicherheitsfunktionen bereitzustellen, ist die Integration einer IPSec-Sicherheitsschicht in das IT-System, wie Notebook, Smartphone oder PC. In der Praxis wird eine IPSec-Sicherheitsschicht softwaremäßig als transparenter Netzwerktreiber in das IT-System installiert.

IPSec Verschlüsselung als Client-Lösung
Abbildung: IPSec Client-Lösung – © Copyright-Vermerk


Vorteile einer IPSec-Client-Lösung
• Der IPSec-Client ist kostengünstiger als die IPSec-Gateway-Lösung.
• Der IPSec-Client bietet End-to-End-Sicherheit.
• Der IPSec-Client kann mobil und flexibel verwendet werden.
• Bei der IPSec-Client kann eine Person, ein Nutzer, authentisiert werden.


Internet-Key-Exchange-Protocol (IKE)

Das Internet-Key-Exchange-Protokoll (IKE) ist das Schlüsseltransferprotokoll für IPSec. Für IKE brauchen zum Beispiel beide Seiten eine identische Passphrase (Pre-Shared Seced). Darauf basierend wird unter dem Einsatz des Diffie-Hellman-Protokolls ausgehandelt, welche Algorithmen zur Verschlüsselung eingesetzt werden.

IPSec Verschlüsselung mit Übersicht Internet-Key-Exchange-Protocol (IKE)
Abbildung: Zusammenhang – Internet-Key-Exchange-Protocol (IKE) – © Copyright-Vermerk

Übersicht und Zusammenhang zwischen dem Internet-Key-Exchange-Protocol (IKE) und IPSec:

  • Main Mode/Aggressive Mode: Aufbau der ISAKMP SA sowie Policy-Absprachen und Authentifikation des Kommunikationspartners
  • Quick Mode: Aufbau der IPSec SA sowie Mode/IPSec-Header (AH, ESP) Absprache und Key-Management. Der Quick Mode ist geschützt durch die vorher erstellte ISAKMP SA.
  • Transfer Mode: Sicherung der IP-Pakete mit AH/ESP und Anti-Replay Service

In den IPSec-Headern sind nur minimal notwendige Informationen untergebracht, die auf Datenbanken verweisen und mit weiteren Security Associations das Security-Management umsetzen. Bei der Aushandlung der entsprechenden Policy können mit den Security Associations, für jede Kommunikationsrichtung zwischen den Kommunikationspartnern, unterschiedliche Aspekte ausgehandelt werden.

Security Policy Database (SPD)

In der Security Policy Database (SPD) ist beispielsweise hinterlegt, wie die Verbindung zwischen den Kommunikationsendpunkten, die durch ihre IP-Adressen identifiziert sind, gesichert werden soll. Als Security Protocol werden dann die IPSec-Header AH, ESP oder beide gleichzeitig eingesetzt. Zur Aushandlung der Schlüssel wird meist IKE verwendet. Die SPD ist im Vergleich zur SAD (siehe folgender Abschnitt) eher statisch, da ein Eintrag in der SPD „zustandslos“ ist.

Die Security Policy Database definiert den Sicherheitsstandard für ein bestimmtes IPSec-System einer Organisation:

  • Quell- & Ziel-IP-Adressen
  • Quell- & Zielportnummer
  • Protokoll (UDP, TCP, …)
  • eine Liste mit den zugelassenen Algorithmen für das System einer Organisation
  • falls notwendig: Beschreibung des Tunnelendpunkts
  • Informationen über die Nutzung der Anti-Replay Windows und der maximalen Lebensdauer der SAs

Security Association Database (SAD)

In der Security Association Database (SAD) werden Security Associations (SAs) zwischen den Kommunikationsendpunkten der IPSec-Verbindung verwaltet. Die Einträge in der SAD verändern sich öfter, anders als bei der SPD. Die Einträge der Security Association enthalten die Schlüssel mit der entsprechenden Lebensdauer. AH und ESP haben eigene Einträge in der Security Association der SAD. Eine Security Association wird über das IKE-Protokoll angelegt und für nur eine Kommunikationsrichtung genutzt: Sender und Empfänger haben darin die entsprechenden Schlüssel und Verfahren. Wenn AH und ESP gleichzeitig verwendet werden, sind vier Einträge in der entsprechenden Security Association vorhanden.

Der Security Parameter Index (SPI) identifiziert zusammen mit der IP-Adresse des Kommunikationsendpunkts die entsprechende Security Association. Diese Informationen stehen im IP- und IPSec-Header.

Für jede SA werden folgende Parameter festgelegt:

  • Identifier:
  • Ziel-IP-Adressen oder Ranges
  • IPSec-Header (AH oder ESP)
  • Security Parameter Index (SPI)
  • Parameter:
  • Algorithmen für die Authentifikation und Verschlüsselung
  • Lebensdauer der Security Association (SA)
  • Tunnel- oder Transport-Mode
  • Anti-Replay Service
  • Link mit der Policy in der SPDSA


Weitere Informationen zum Begriff “IPSec Verschlüsselung”

Vorlesung: „IPSec Verschlüsselung (Lehrbuch Cyber-Sicherheit)“

Artikel: „Sprachbarriere – VoIP-Sicherheit versus Sprachqualität”

Glossar: siehe auch SSL-Verschlüsselung

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit


Zurück zur Übersicht




Summary
IPSec Verschlüsselung
Article Name
IPSec Verschlüsselung
Description
IPSec ist der Internet-Sicherheitsstandards (IETF) für die Cyber-Sicherheit von IP-Paketen auf der Netzwerk-Ebene. Die grundsätzliche Idee von IPSec ist, das kostengünstige, offene und weltweit verfügbare Internet zu nutzen und gleichzeitig allen Bedrohungen und Risiken wirkungsvoll entgegenzuwirken.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
IPSec Verschlüsselung als Einbindung in die kommunikationsarchtitektur
IPSec Verschlüsselung Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten