PDF - Chaosradio - CCC
PDF - Chaosradio - CCC
PDF - Chaosradio - CCC
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
THESE PRETZELS ARE MAKING ME VERY THIRSTY!<br />
Dig your tunnel!<br />
von Cryx <br />
Dieser Artikel erhebt nicht den Anspruch IPSec vollständig zu erklären, noch gibt<br />
er konkrete Anleitungen wie man sein OS zu patchen hat oder wie man es genau<br />
konfiguriert.<br />
Wer sich tiefer mit der Materie auseinandersetzen will,<br />
sollte sich die dicken Bücher kaufen, die es inzwischen<br />
mehrfach gibt oder nach "ipsec howto" googeln und<br />
sich selber ein Setup aufsetzen.<br />
What, what, what, what, what,<br />
what, what, what?<br />
IPSec ist eine IP Erweiterung, die einem Verschlüsselung,<br />
Authentifizierung, Integrität und Transparenz bietet.<br />
Es gibt einem also die Möglichkeit, auf Netzwerkebene<br />
IP-Verbindungen zu Verschlüsseln und/oder zu<br />
signieren und das völlig transparent für jegliche Applikationen<br />
und IP Protokolle.<br />
Die beiden dazu verwendeten IPSec Protokoll sind AH<br />
und ESP. Beide IPSec Protokoll können in zwei verschiedenen<br />
Arten angewandt werden, die letztlich nur<br />
vom Einsatz Zweck abhängen.<br />
Transport Mode (zB. Host-to-Host)<br />
Dieser Mode ist dazu gedacht, in Situationen eingesetzt<br />
zu werden, bei denen ein Tunnel nur zwischen<br />
zwei kryptographischen Endpunkten bestehen soll. In<br />
diesem Mode wird der IPSec Header zwischen IP Header<br />
und TCP bzw. UDP Header platziert.<br />
Tunnel Mode (Host-to-Net oder Net-to-Net)<br />
Dieser Mode kann in der gleichen Situation eingesetzt<br />
werden, wie der Transport Mode, gibt einem<br />
aber noch die weitere Möglichkeit, durch zwei kryptographische<br />
Endpunkte, zwei nicht kryptographische<br />
Endpunkte zu verbinden, die klassische Implementation<br />
eines VPN. Dazu wird das ursprüngliche IP Paket<br />
von einem IPSec Header umschlossen und ein weiter<br />
IP Header voran gestellt. Die kryptographischen Endpunkte<br />
werden im äusseren IP Header referenziert, die<br />
22 22<br />
#80 / viertes quartal 2002<br />
nicht kryptographischen Endpunkte im inneren.<br />
ESP (Encapsulating Security Payload)<br />
ESP ist ein Protokoll Header, der in ein IP Paket eingefügt<br />
wird und Authentifizierung, Integrität, Verschlüsselung<br />
und antireplay protection (die sequence number<br />
ist teil der checksum) bietet. Bsp. für Transport-Mode:<br />
die datenschleuder