Zum Inhalt springen

IPSEC und AH / ESP


Empfohlene Beiträge

Hallo Leute,

ich habe da ein paar Fragen zum Protokoll IPSEC und die im eingesetzten/verwendete Protokolle AH und ESP.

Was ich erst ein mal verstanden habe:

IPSEC ist ein Protokoll mit dem man ein VPN bzw. eine sichere Verbindung über das Medium aufbauen kann.

Alles geschieht auf Layer 3. Andere Protokolle wie zum Beispiel: PPTP oder L2TP bauen bis auf Layer 2 auf.

Die Hauptaufgabe eines VPN ist:

  • Authentizität
  • Integrität
  • Datenvertraulichkeit

Dies wird mit IPSEC und in diesem vorkommenden Protokollen bzw. verwende Protokollen: AS, ESP und IKE erreicht.

AH - Authentication Header:

Dient nur zur Authentizität und Integrität. Datenvertraulichkeit wird mit diesem Protokoll nicht gewährleistet (Datenteil unverschlüsselt).

ESP- Encapsulation Security Payload:

Dient nur zur Authentizität, Integrität und der Datenvertraulichkeit. Die Authentizität der Pakete wird im Tunnelmodus nicht komplett gewährleistet, da nur ein Hash vom kompletten ursprünglichen IP-Paket gemacht wird, aber nicht vom neuen IP-Header.

09061914.gif

IKE - Internet Key Exchange:

Wird vor dem VPN-Aufbau für den Schlüsselaustausch verwendet bzw. dient der Schlüsselverwaltung.

Architekturen:

Transportmodus

Wird Verwendet um zwei Endgeräte zu verbinden ==> Da hier das Routing zu den zwei Endgeräten benötigt wird.

Tunnelmodus

Wird verwendet um LAN zu LAN verbinden oder LAN zu Endgerät.

Habe ich das erst einmal so richtig verstanden?

Zu meinen Fragen:

Wie wird die Authentizität und Integrität der Daten in den beiden Protokollen AH / ESP gewährleistet? Wieso kann der Tunnelmodus auch nicht zwischen zwei Endgeräten funktionieren?

Wie ich mir Authentizität vorstelle:

Zertifikat, der zertifiziert ist oder ein Schlüssel, der bereits bei der Gegenstelle bekannt ist (wie bei SSH) und im Header beim Versand bei den jeweiligen Protokolle enthalten ist.

Nur wie wird die Authentizität des kompletten Paket gewährleistet? Bsp.: AH im Tunnelmodus.

sicherheitsprotokolle-3.gif

Ist das ein Zusammenspiel von einem Zertifikat oder einem Schlüssel + Hash (siehe: Wie ich mir Integrität vorstelle)?

Wieso kann dann ESP im Tunnelmodus auch nicht die komplette Authentizität eines Pakets gewährleisten?

09061914.gif

Also muss der Algorithmus für die Authentizitätsgewährleistung irgendwie anders funktionieren. :eek

Wie ich mir Integrität vorstelle:

Damit die Daten vor der Verfälschung sicher sind, wird ein Hash kurz vorm dem Versenden generiert und im Header der jeweiligen Protokolle (AH / ESP) abgelegt.

Damit der Header bzw. der Hash nicht verfälscht wird, muss doch der Header verschlüsselt werden. Den Header kann dann nur die Gegenstelle wieder aufmachen (mit dem privat Key) um den Hash zu vergleichen. Oder?

Tunnelmodus bei zwei Endgeräten

Wenn die Endgeräte auch eine VPN-Gateway besitzen bzw. diesen auf ihrem Rechner zu laufen haben, dann geht auch hier der Tunnelmodus oder?

Ich bereite mich gerade auf die Prüfung vor, daher wäre ich euch sehr dankbar, wenn ihr meine offenen Fragen beantworten könntet bzw. mich bei falsch Interpretationen korrigieren könntet.

Vielen Dank im Voraus!

Grüße

Godfather_d

Bearbeitet von Godfather_d
Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...