Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
ein Paket von Protokollen, deren Implementierung<br />
entweder direkt in den IP-<br />
Stack oder auch zwischen IP-Stack <strong>und</strong><br />
Netzwerktreiber erfolgt. Für den Benutzer<br />
ist der Transfer transparent – er erkennt<br />
nicht, ob der <strong>Daten</strong>transfer über ein<br />
VPN oder eine normale IP-Verbindung<br />
erfolgt.<br />
Im Zusammenhang mit VPNs wird IP-<br />
Sec vermutlich immer im Tunnelmodus<br />
betrieben, aber auch eine normale Transportverbindung<br />
ist möglich. Der Unterschied<br />
besteht darin, dass die Datagramme<br />
bei Ersterem komplett verschlüsselt<br />
<strong>und</strong> in ein neues Paket gepackt werden.<br />
Der zweite Weg verschlüsselt nur den<br />
<strong>Daten</strong>teil, also die Nutzlast. Der originäre<br />
IP-Header bleibt erhalten, es kommt<br />
nur ein zweiter IPSec-Header hinzu. Die<br />
Unterschiede liegen in der Praxis im<br />
Bandbreitenbedarf, da im Transportmodus<br />
wesentlich weniger Overhead über<br />
die Leitung geht.<br />
www.lanline.de<br />
SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS<br />
Die Sicherheit von IPSec beruht auf<br />
den Sicherheitsprotokollen Authentication<br />
Header (AH) <strong>und</strong> Encapsulating Security<br />
Payload (ESP), die innerhalb des<br />
IP-Datagramms untergebracht sind. AH<br />
umfasst Integritäts- <strong>und</strong> Anti-Replay-<br />
Möglichkeiten. Die Basis da<strong>für</strong> bilden<br />
Prüfsummen, etwa mit MD5-Hash-Algorithmen<br />
beziehungsweise dem stärkeren<br />
SHA-1. Sie berechnen sich zum einen<br />
über die <strong>Daten</strong> des Pakets, zum anderen<br />
über die Quell- <strong>und</strong> Zieladresse <strong>und</strong> sorgen<br />
so da<strong>für</strong>, dass sich die Adressen auf<br />
dem Transport nicht mehr unbemerkt<br />
verändern lassen. Damit wird vor allem<br />
dem gefährlichen IP-Spoofing, also dem<br />
Vortäuschen falscher Adressen beziehungsweise<br />
Identitäten ein Riegel vorgeschoben.<br />
Hauptsächlich zur Verschlüsselung der<br />
Paketinhalte, also der Nutzdaten, dient<br />
ESP. Es bietet in der aktuellen Implementierung<br />
auch Anti-Replay-Dienste<br />
Security Association Database<br />
Einträge bestehen aus:<br />
Sequence Number Counter<br />
Sequence Counter Overflow<br />
Anti-Replay-Window<br />
AH Information<br />
ESP Information<br />
Gültigkeitsangabe der SA<br />
IPSec Protocol Mode<br />
MTU Pfad<br />
Einträge sind indiziert mit:<br />
Security Parameter Index (SPI)<br />
Ziel-IP-Adresse des äußeren Headers<br />
IPSec Protokoll (AH oder ESP) sowie<br />
den Selektoren aus der Security Policy<br />
Database<br />
<strong>und</strong> Integritätssicherheit. Aus diesem<br />
Gr<strong>und</strong> empfehlen manche wie Bruce<br />
Schneider in dem Beitrag “Cryptographic<br />
evaluation of IPSec” (Bruce Schnei-<br />
LANline 12/2000 219