slider

IPSec Verschlüsselung - Prof. Dr. Norbert Pohlmann

IPSec Verschlüsselung

IPSec Verschlüsselung – Glossar Cyber-Sicherheit – Prof. Norbert Pohlmann

IPSec Verschlüsselung
IPSec ist der Internet-Sicherheitsstandards der Internet Engineering Task Force (IETF) für die Cyber-Sicherheit von IP-Paketen auf der Netzwerk-Ebene. Die grundsätzliche Idee von IPSec ist, eine offene, kostengünstige und weltweit verfügbare Kommunikationsinfrastruktur, wie das Internet zu nutzen und allen Bedrohungen und Risiken möglichst sinnvoll entgegenzuwirken.

IPSec bietet die folgenden Cyber-Sicherheitsfunktionen:

  • Verschlüsselung schützt die Vertraulichkeit der übertragenen Daten (jedes Paket kann verschlüsselt werden).
  • HMAC-Funktion sorgt für die Authentizität, Unversehrtheit der übertragenen Daten (jedes Paket kann gegen Manipulation geschützt und auf die Echtheit überprüft werden).
  • Anti-Replay Mechanismus schützt vor unberechtigter Wiedereinspielung von übertragenen Daten (jedes Paket kann vor Wiedereinspielung geschützt werden).
  • Authentifikation gewährleistet die Eindeutigkeit und Echtheit der Kommunikationspartner (die Kommunikationspartner können authentifiziert werden).
  • Tunneling verschleiert den Datentransfer für definierte Aspekte (die IP-Kommunikation kann gegen einen gewissen Grad der Verkehrsflussanalyse geschützt werden).


IPSec Header
IPSec realisiert die zusätzliche Cyber-Sicherheit durch das Einfügen von Erweiterungs-Header in die IP-Pakete. In den IPSec-Headern sind nur minimal notwendige Informationen untergebracht, die auf spezielle Datenbanken verweisen und mit Security Associations das Security-Management zwischen den Kommunikationsendpunkten umsetzen.

Diese zusätzlichen Header sind:
Authentication Header (AH, RFC 2402)
Cyber-Sicherheitsdienste, die mit den Authentication Header erbracht werden, sind:
• Datenunversehrtheit
• Authentifikation
• Anti-Replay Service (optional)

Encapsulated Security Payload (ESP, RFC 2406)
Cyber-Sicherheitsdienste, die mit den Encapsulated Security Payload Header erbracht werden, sind:
• Datenunversehrtheit und Authentifikation (optional)
• Anti-Replay Service (optional)
• Verschlüsselung (optional)

Verschiedenen Modi bei IPSec
IPSec kann im Transport- oder im Tunnelmodus betrieben werden. Im Transportmodus wird der IP-Header des ungesicherten IP-Pakets beibehalten und nur sein Datenteil wird gesichert. Bis auf das Feld „Länge des IP-Paketes“ und die „Prüfsumme“ bleibt der alte IP-Header unverändert. Im Tunnelmodus hingegen wird das gesamte IP-Paket in die Nutzdaten des IPSec-Pakets übernommen, sodass die alte IP-Adresse bei der Verschlüsselung nicht mehr sichtbar ist.

PSec Transport- und Tunnelmodus - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann


Realisierungsformen von IPSec-Systeme
IPSec kann in verschiedenen Realisierungsformen umgesetzt werden.

1. IPSec-Gateway
Mit einer IPSec-Sicherheitsschicht im Kommunikations-Stack eines Gateways kann aus einem unsicheren Netzdienst ein sicherer Netzdienst umgesetzt werden.
Hierzu wird in einen IPSec-Gateway eine IPSec-Sicherheitsschicht in die Kommunikationsarchitektur eingeführt, die dann transparent für die IT-Systeme die IPSec-Sicherheitsdienste umsetzt.

IPSec-Gateway - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann


Vorteile einer IPSec-Gateway-Lösung

  • Die IPSec-Gateway-Lösung ist unabhängig von IT-Systemen (Server, PC, Notebook, Tablets, Smartphone, Wearable, …) und deren Betriebssystemen (Android, iOS, LINUX, Windows, …).
  • Die IPSec-Gateway-Lösung erlaubt die Einrichtung von Cyber-Sicherheitsfunktionen zwischen IT-Systemen, in die ansonsten keine Cyber-Sicherheitsfunktionen integriert werden könnten (zum Beispiel Terminals).
  • Bei heterogenen IT-Systemen (unterschiedliche Hardware, Software, Betriebssysteme, …) kann immer das gleiche IPSec-Gateway verwendet werden, wodurch sich der notwendige Aufwand verringert.
  • IPSec-Gateways sind leichter „sicher“ zu realisieren als spezielle Software-Lösungen in IT-Systemen und sie sind immer ansprechbar, und damit einfacher zu managen.
  • Die IPSec-Gateways sind hinsichtlich der Sicherheitsqualität unabhängig von anderen Systemkomponenten. Die Cyber-Sicherheit ist anwendungsunabhängig.


2. IPSec-Client
Eine weitere IPSec-Realisierungsform, die IPSec-Sicherheitsfunktionen bereitzustellen, ist die Integration einer IPSec-Sicherheitsschicht in das IT-System, wie Notebook, Smartphone oder PC. In der Praxis wird eine IPSec-Sicherheitsschicht softwaremäßig als transparenter Netzwerktreiber in das IT-System installiert.

IPSec-Client - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann


Vorteile einer IPSec-Client-Lösung
• Der IPSec-Client ist kostengünstiger als die IPSec-Gateway-Lösung.
• Der IPSec-Client bietet End-to-End-Sicherheit.
• Der IPSec-Client kann mobil und flexibel verwendet werden.
• Bei der IPSec-Client kann eine Person, ein Nutzer, authentisiert werden.


Internet-Key-Exchange-Protocol (IKE)
Das Internet-Key-Exchange-Protokoll (IKE) ist das Schlüsseltransferprotokoll für IPSec. Für IKE brauchen zum Beispiel beide Seiten eine identische Passphrase (Pre-Shared Seced). Darauf basierend wird unter dem Einsatz des Diffie-Hellman-Protokolls ausgehandelt, welche Algorithmen zur Verschlüsselung eingesetzt werden.

Zusammenhang Internet-Key-Exchange-Protocol (IKE) und IPSec - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Übersicht und Zusammenhang zwischen dem Internet-Key-Exchange-Protocol (IKE) und IPSec:

  • Main Mode/Aggressive Mode: Aufbau der ISAKMP SA sowie Policy-Absprachen und Authentifikation des Kommunikationspartners
  • Quick Mode: Aufbau der IPSec SA sowie Mode/IPSec-Header (AH, ESP) Absprache und Key-Management. Der Quick Mode ist geschützt durch die vorher erstellte ISAKMP SA.
  • Transfer Mode: Sicherung der IP-Pakete mit AH/ESP und Anti-Replay Service

In den IPSec-Headern sind nur minimal notwendige Informationen untergebracht, die auf Datenbanken verweisen und mit weiteren Security Associations das Security-Management umsetzen. Bei der Aushandlung der entsprechenden Policy können mit den Security Associations, für jede Kommunikationsrichtung zwischen den Kommunikationspartnern, unterschiedliche Aspekte ausgehandelt werden.


Weitere Informationen zum Begriff “IPSec Verschlüsselung”:

Vorlesung: „IPSec Verschlüsselung (Lehrbuch Cyber-Sicherheit)“

Artikel: „Sprachbarriere – VoIP-Sicherheit versus Sprachqualität”

Glossar: siehe auch SSL-Verschlüsselung

Bücher:
„Cyber-Sicherheit“

„Virtual Private Network (VPN)“

Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion Detection System, Personal Firewalls“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
IPSec Verschlüsselung – Glossar Cyber-Sicherheit – Prof. Norbert Pohlmann
IPSec Verschlüsselung Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten