Godfather_d Geschrieben 1. April 2011 Geschrieben 1. April 2011 (bearbeitet) Hallo Leute, ich habe da ein paar Fragen zum Protokoll IPSEC und die im eingesetzten/verwendete Protokolle AH und ESP. Was ich erst ein mal verstanden habe: IPSEC ist ein Protokoll mit dem man ein VPN bzw. eine sichere Verbindung über das Medium aufbauen kann. Alles geschieht auf Layer 3. Andere Protokolle wie zum Beispiel: PPTP oder L2TP bauen bis auf Layer 2 auf. Die Hauptaufgabe eines VPN ist: AuthentizitätIntegritätDatenvertraulichkeit Dies wird mit IPSEC und in diesem vorkommenden Protokollen bzw. verwende Protokollen: AS, ESP und IKE erreicht. AH - Authentication Header: Dient nur zur Authentizität und Integrität. Datenvertraulichkeit wird mit diesem Protokoll nicht gewährleistet (Datenteil unverschlüsselt). ESP- Encapsulation Security Payload: Dient nur zur Authentizität, Integrität und der Datenvertraulichkeit. Die Authentizität der Pakete wird im Tunnelmodus nicht komplett gewährleistet, da nur ein Hash vom kompletten ursprünglichen IP-Paket gemacht wird, aber nicht vom neuen IP-Header. IKE - Internet Key Exchange: Wird vor dem VPN-Aufbau für den Schlüsselaustausch verwendet bzw. dient der Schlüsselverwaltung. Architekturen: Transportmodus Wird Verwendet um zwei Endgeräte zu verbinden ==> Da hier das Routing zu den zwei Endgeräten benötigt wird. Tunnelmodus Wird verwendet um LAN zu LAN verbinden oder LAN zu Endgerät. Habe ich das erst einmal so richtig verstanden? Zu meinen Fragen: Wie wird die Authentizität und Integrität der Daten in den beiden Protokollen AH / ESP gewährleistet? Wieso kann der Tunnelmodus auch nicht zwischen zwei Endgeräten funktionieren? Wie ich mir Authentizität vorstelle: Zertifikat, der zertifiziert ist oder ein Schlüssel, der bereits bei der Gegenstelle bekannt ist (wie bei SSH) und im Header beim Versand bei den jeweiligen Protokolle enthalten ist. Nur wie wird die Authentizität des kompletten Paket gewährleistet? Bsp.: AH im Tunnelmodus. Ist das ein Zusammenspiel von einem Zertifikat oder einem Schlüssel + Hash (siehe: Wie ich mir Integrität vorstelle)? Wieso kann dann ESP im Tunnelmodus auch nicht die komplette Authentizität eines Pakets gewährleisten? Also muss der Algorithmus für die Authentizitätsgewährleistung irgendwie anders funktionieren. :eek Wie ich mir Integrität vorstelle: Damit die Daten vor der Verfälschung sicher sind, wird ein Hash kurz vorm dem Versenden generiert und im Header der jeweiligen Protokolle (AH / ESP) abgelegt. Damit der Header bzw. der Hash nicht verfälscht wird, muss doch der Header verschlüsselt werden. Den Header kann dann nur die Gegenstelle wieder aufmachen (mit dem privat Key) um den Hash zu vergleichen. Oder? Tunnelmodus bei zwei Endgeräten Wenn die Endgeräte auch eine VPN-Gateway besitzen bzw. diesen auf ihrem Rechner zu laufen haben, dann geht auch hier der Tunnelmodus oder? Ich bereite mich gerade auf die Prüfung vor, daher wäre ich euch sehr dankbar, wenn ihr meine offenen Fragen beantworten könntet bzw. mich bei falsch Interpretationen korrigieren könntet. Vielen Dank im Voraus! Grüße Godfather_d Bearbeitet 1. April 2011 von Godfather_d Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.