IPsec innerhalb eines LANs?

[TheManWho]

Ich hab mal ne kleine Frage:

Setzt Ihr IPsec bei Euch im Betrieb innerhalb eines LANs ein?! Wenn ja, bei was für Anwendungen.

Wie sehr strapaziert IPsec die Netzauslastung? Kann man das allgemein sagen?

danke!

[gurkenpapst]

Hi,

IPSec auf Anwendungen zu redizieren macht wenig Sinn. Die Netzauslastung kann auch nicht beeinträchtigt werden, da das einzige was mehr Last gegenüber normalen Verbindungen existiert, die Authentifikation ist, die je nach Modus (Main - 6 Packete, Agressive - 3 Packete) auch nicht sehr belastet. Unterschied ist lediglich, das die Packete danach verschlüsselt übertragen werden, und somit Rechenlast auf den Verbindungspartnern erzeugt wird.

Allgemein kann man sonst recht wenig über Auslastung darüber sagen...

gruß gurkenpapst

[TheManWho]

OK - aber kann man sagen, dass es allgemein nicht üblich ist innerhalb eines (firmeninternen) LAN zu verschlüsseln (per IPsec)? Bei uns ist das nämlich so und unser Admin argumentiert mit einer erhöhten Netzauslastung. Nach außen ist unser Netz natürlich mit einer Firewall abgesichert und ausgehende Pakete werden auch verschlüsselt.

Stellt das also ein Sicherheitsrisiko dar, wenn man intern nicht verschlüsselt oder ist das üblich?

[nic_power]

@gurkenpapst:

Die Aussage ist etwas allgemein, da der Overhead davon abhängt, in welchem Modus IPSec verwendet wird (AH/ESP/Tunnel/Transport usw). Ausserdem wird der Overhead nicht allein durch die Authentifizierung erzeugt (worauf bezieht sich denn die von Dir genannte Paketanzahl?), sondern auch durch den zusätzlichen Header in den IP-Paketen. Die Größe des zusätzlichen Headers kann durchaus im Bereich 30-70 Bytes liegen, bei kleine Paketen (IP-Telefonie) bedeutet das fast eine Verdoppelung der Paketgröße! Auf der anderen Seite könne große Pakete ebenfalls ein Problem darstellen, da der zusätzliche Header dazu führen kann, das fragmentiert werden muss.

Im Tunnelmode kommt eine nicht unerhebliche Belastung für die Router hinzu (abhängig von der Anzahl der Tunnel), aus dem Grund gibt es für größere Router auch Hardwaremodule, die die Ver- und Entschlüsselung übernehmen.

Näheres bei der IPSec-WG der IETF: http://www.ietf.org/html.charters/ipsec-charter.html

@TheManWho:

Genaue Angaben sind schwer zu machen, da dies von Deine Erfordernissen (und den Anwendungen abhängt). Generell kommt aber ein Overhead dazu, allein durch den zusätzlichen Header. Innerhalb eines Firmenlans ist der Einsatz von IP-Sec eher unüblich, da hier Sicherheit auch durch andere Mechanismen erreicht werden kann (beispielsweise durch eine logische Trennung der betroffenen Netze).

Nic

[TheManWho]

...ich könnte also in meinem abschlussprojekt damit argumentieren, dass intern keine daten verschlüsselt werden? es geht um die übertragung von einem oracle-datenbankserver zu den einzelnen clients. nach außen sind sie natürlich abgesichert...

[nic_power]

Hallo,

Das hängt von Eurer Anwendung und den Anwendungsszenarien ab. Wenn Ihr beispielsweise nur ein gemeinsames Netz verwendet in dem alle Systeme hängen, kann es durchaus sinnvoll sein zu verschlüsseln (beispielsweise wenn die Personalabteilung personenbezogene Daten abfragt, in dem Fall muss die Vertraulichkeit gewährleistet sein). Sofern bei Euch die Datenbankabfragen verschlüsselt werden, wird es dafür auch einen guten Grund geben.

Nic

[Der Kleine]

Originally posted by TheManWho

...ich könnte also in meinem abschlussprojekt damit argumentieren,

In der Doku? Hängt von der entsprechenden Firma ab.

Ich würde deiner Argumentation zustimmen, sofern ale Clients und Server in der selben Unternehmung sind (also eventuell selbes Gebäude). Der Datenschutz wird hier bereits auf andere Art und Weise geregelt (Arbeitsverträge / Netzwerkrechte etc.).

Sofern aber der Server irgendwo im Süden von Deutschland steht, der Zugriff aber im Norden von Deutschland erfolgt (also mehrer Unternehmen bzw. Niederlassungen) und trotzdem alles intern (also Intranetmässig) ist, ist die Begründung wirklich stichhaltig nach aussen zu vertreten.

Zugriff kann dabei auch firmenintern von nicht autorisierten Personen (andere Niederlassung?) erfolgen.

Und siehe auch @nic_power.

[TheManWho]

nee!

der zugriff erfolgt nur innerhalb des hauses - quasi vom keller in die zweite etage!

von außerhalb gibts natürlich keinen zugriff und die daten, die an unsere fillialen übertragen werden, werden per vlan übertragen und damit natürlich verschlüsselt.

ich hoffe die ihk ist nicht zu streng... verschlüsselung im haus muss ja nun wirklich nicht sein.

[nic_power]

Originally posted by TheManWho

werden per vlan übertragen und damit natürlich verschlüsselt.

Verschlüsselt sind sie damit nicht, aber Du hast eine logische Trennung der Netze (siehe oben). Oder erfolgt die Anbindung über ein VPN?

Nic

[TheManWho]

...sorry, meinte vpn und nicht vlan.

[gurkenpapst]

Originally posted by nic_power

@gurkenpapst:

worauf bezieht sich denn die von Dir genannte Paketanzahl?

Beim Aushandeln mit ISAKMP gibt es verschiedene Modi für den Austausch. Beim Aggressive Mode werden beispielsweise SA-, Schlüsselaustausch- und Auth.-relevante Daten in einem Packet gesendet und somit die anzahl der Pakete von 6 auf drei reduziert (genau stehts hier drin http://www.ietf.org/rfc/rfc2408.txt ).

Main- und aggressive mode sind die für IPSec üblich verwendeten.

Zu dem Rest mit dem Overhead hast du natürlich Recht. Daran habe ich nicht gedacht.

gruß gurkenpapst