IPSEC und AH / ESP

[Godfather_d]

Hallo Leute,

ich habe da ein paar Fragen zum Protokoll IPSEC und die im eingesetzten/verwendete Protokolle AH und ESP.

Was ich erst ein mal verstanden habe:

IPSEC ist ein Protokoll mit dem man ein VPN bzw. eine sichere Verbindung über das Medium aufbauen kann.

Alles geschieht auf Layer 3. Andere Protokolle wie zum Beispiel: PPTP oder L2TP bauen bis auf Layer 2 auf.

Die Hauptaufgabe eines VPN ist:

• Authentizität
  
• Integrität
  
• Datenvertraulichkeit
  

Dies wird mit IPSEC und in diesem vorkommenden Protokollen bzw. verwende Protokollen: AS, ESP und IKE erreicht.

AH - Authentication Header:

Dient nur zur Authentizität und Integrität. Datenvertraulichkeit wird mit diesem Protokoll nicht gewährleistet (Datenteil unverschlüsselt).

ESP- Encapsulation Security Payload:

Dient nur zur Authentizität, Integrität und der Datenvertraulichkeit. Die Authentizität der Pakete wird im Tunnelmodus nicht komplett gewährleistet, da nur ein Hash vom kompletten ursprünglichen IP-Paket gemacht wird, aber nicht vom neuen IP-Header.

IKE - Internet Key Exchange:

Wird vor dem VPN-Aufbau für den Schlüsselaustausch verwendet bzw. dient der Schlüsselverwaltung.

Architekturen:

Transportmodus

Wird Verwendet um zwei Endgeräte zu verbinden ==> Da hier das Routing zu den zwei Endgeräten benötigt wird.

Tunnelmodus

Wird verwendet um LAN zu LAN verbinden oder LAN zu Endgerät.

Habe ich das erst einmal so richtig verstanden?

Zu meinen Fragen:

Wie wird die Authentizität und Integrität der Daten in den beiden Protokollen AH / ESP gewährleistet? Wieso kann der Tunnelmodus auch nicht zwischen zwei Endgeräten funktionieren?

Wie ich mir Authentizität vorstelle:

Zertifikat, der zertifiziert ist oder ein Schlüssel, der bereits bei der Gegenstelle bekannt ist (wie bei SSH) und im Header beim Versand bei den jeweiligen Protokolle enthalten ist.

Nur wie wird die Authentizität des kompletten Paket gewährleistet? Bsp.: AH im Tunnelmodus.

Ist das ein Zusammenspiel von einem Zertifikat oder einem Schlüssel + Hash (siehe: Wie ich mir Integrität vorstelle)?

Wieso kann dann ESP im Tunnelmodus auch nicht die komplette Authentizität eines Pakets gewährleisten?

Also muss der Algorithmus für die Authentizitätsgewährleistung irgendwie anders funktionieren. :eek

Wie ich mir Integrität vorstelle:

Damit die Daten vor der Verfälschung sicher sind, wird ein Hash kurz vorm dem Versenden generiert und im Header der jeweiligen Protokolle (AH / ESP) abgelegt.

Damit der Header bzw. der Hash nicht verfälscht wird, muss doch der Header verschlüsselt werden. Den Header kann dann nur die Gegenstelle wieder aufmachen (mit dem privat Key) um den Hash zu vergleichen. Oder?

Tunnelmodus bei zwei Endgeräten

Wenn die Endgeräte auch eine VPN-Gateway besitzen bzw. diesen auf ihrem Rechner zu laufen haben, dann geht auch hier der Tunnelmodus oder?

Ich bereite mich gerade auf die Prüfung vor, daher wäre ich euch sehr dankbar, wenn ihr meine offenen Fragen beantworten könntet bzw. mich bei falsch Interpretationen korrigieren könntet.

Vielen Dank im Voraus!

Grüße

Godfather_d

Bearbeitet 1. April 2011 von Godfather_d