IPSec Flashcards
RFC (Request for comments)
Sammlung durchnummerierter Dokumente. RFC’s behandeln Protokolle, Methoden, Programme und Konzepte. Sie beschreiben verschiedene tatsächliche + vorgeschlagene Gewohnheit
= Internet Standard (sind aber nicht alle!)
Standard Track RFC’s
BestCurrentPractices, Internet Standard, Proposed Standard
Ziele
- Architektur
- Schlüssel-Management
- Authentifizierung
- Verschlüsselung im OSI-Modell
Architektur (anschauen!)
Kommunikation über IP →Strom von Paketen
IP Pakete werden von Router unverschlüsselt übertragen
Gefahren
keine Garantie von Geheimhaltung (Vertraulichkeit), Datenursprung (Authentizität) und Datenmanipulation (Integrität)
Prinzip
Die Transformation übernimmt IPSec Stack des Betriebssystems. Dem Anwendungsprozess bleibt IPSec verborgen.
IPSec sichert Kommunikation zwischen Rechnersysteme
SSL sichert Komm. zw. Anwendungen
Verschlüsselung mit symmetrischen Verfahren oder signierte Hash-Werte
Security Association SA
= definiert Parameter für Transformation
- fasst IP Pakete anhand von SPI (Security Parameter Index), einer IP Ziel Adresse und dem Security Protocol Indentifier zusammen.
→Vereinbarung, wie Kommunikation verschlüsselt wird. (Bei 3 Anwender - 2 SA)
Mechanismen
Authentic Header (AH),
Encryption Security Payload (ESP)
→jeweils Transport und Tunnel Modus
AH
= identifiziert Sender und sichert Integrität der Pakete
- basiert auf zusätzlichem Header, folgt normalem IP Header
- Existenz des Headers wird durch Transport Protokoll Nummer im IP-Header
→zur Integritätssicherung wird ein Hash-Wert berechnet, in den das Kennwort der SA einfließt (HMAC)
AH Transport Modus
Das transformierte Paket enthält somit eine verschlüsselte Prüfsumme des IP-Headers und der Daten
→ AH im Transport Modus bezieht sich auf die Nutzdaten und den IP Header
AH Tunnel Modus
Es wird ein neues IP-Paket erzeugt, dass ein Authentication Header über das ursprüngliche Paket enthält
Encryption Security Payload (ESP)
= bietet Vertraulichkeit + bzw. Integrität der Daten
- enthalten Nutzdaten in Header, der den SPI enthält dient zur Verschlüsselung der Nutzdaten
ESP Transport Modus
Verschlüsselt Daten des Paketes, IP Header bleibt erhalten und sichtbar
ESP Tunnel Transport
- Verschlüsselt das komplette IP Paket und versendet dies in neuem Paket
- Pakete nur noch zwischen IPSec - Gateways sichtbar
Transport Modus allgemein
Verschlüsselung / Authentifizierung NUR der Nutzdaten