IPSec

Question 1

RFC (Request for comments)

Answer 1

Sammlung durchnummerierter Dokumente. RFC’s behandeln Protokolle, Methoden, Programme und Konzepte. Sie beschreiben verschiedene tatsächliche + vorgeschlagene Gewohnheit
= Internet Standard (sind aber nicht alle!)

Question 2

Standard Track RFC’s

Answer 2

BestCurrentPractices, Internet Standard, Proposed Standard

Question 3

Ziele

Answer 3

• Architektur
• Schlüssel-Management
• Authentifizierung
• Verschlüsselung im OSI-Modell

Question 4

Architektur (anschauen!)

Answer 4

Kommunikation über IP →Strom von Paketen

IP Pakete werden von Router unverschlüsselt übertragen

Question 5

Gefahren

Answer 5

keine Garantie von Geheimhaltung (Vertraulichkeit), Datenursprung (Authentizität) und Datenmanipulation (Integrität)

Question 6

Prinzip

Answer 6

Die Transformation übernimmt IPSec Stack des Betriebssystems. Dem Anwendungsprozess bleibt IPSec verborgen.
IPSec sichert Kommunikation zwischen Rechnersysteme
SSL sichert Komm. zw. Anwendungen
Verschlüsselung mit symmetrischen Verfahren oder signierte Hash-Werte

Question 7

Security Association SA

Answer 7

= definiert Parameter für Transformation
- fasst IP Pakete anhand von SPI (Security Parameter Index), einer IP Ziel Adresse und dem Security Protocol Indentifier zusammen.
→Vereinbarung, wie Kommunikation verschlüsselt wird. (Bei 3 Anwender - 2 SA)

Question 8

Mechanismen

Answer 8

Authentic Header (AH),
Encryption Security Payload (ESP)
→jeweils Transport und Tunnel Modus

Question 9

AH

Answer 9

= identifiziert Sender und sichert Integrität der Pakete
- basiert auf zusätzlichem Header, folgt normalem IP Header
- Existenz des Headers wird durch Transport Protokoll Nummer im IP-Header
→zur Integritätssicherung wird ein Hash-Wert berechnet, in den das Kennwort der SA einfließt (HMAC)

Question 10

AH Transport Modus

Answer 10

Das transformierte Paket enthält somit eine verschlüsselte Prüfsumme des IP-Headers und der Daten
→ AH im Transport Modus bezieht sich auf die Nutzdaten und den IP Header

Question 11

AH Tunnel Modus

Answer 11

Es wird ein neues IP-Paket erzeugt, dass ein Authentication Header über das ursprüngliche Paket enthält

Question 12

Encryption Security Payload (ESP)

Answer 12

= bietet Vertraulichkeit + bzw. Integrität der Daten

- enthalten Nutzdaten in Header, der den SPI enthält dient zur Verschlüsselung der Nutzdaten

Question 13

ESP Transport Modus

Answer 13

Verschlüsselt Daten des Paketes, IP Header bleibt erhalten und sichtbar

Question 14

ESP Tunnel Transport

Answer 14

• Verschlüsselt das komplette IP Paket und versendet dies in neuem Paket
• Pakete nur noch zwischen IPSec - Gateways sichtbar

Question 15

Transport Modus allgemein

Answer 15

Verschlüsselung / Authentifizierung NUR der Nutzdaten

Question 16

Tunnel Modus allgemein

Answer 16

• gesamten IP Paket wird geschützt

- neues Paket transportiert das geschützte IP Paket

Question 17

Diffie - Hellman Key Exchange

Answer 17

IPSec benötigt für AH + ESP geheime Schlüssel, die an beiden Endpunkten verfügbar sein müssen.
Mit diesem Schlüssel, können sie dann Nachrichten verschlüsseln

Question 18

Diffie - Hellman Formeln

Answer 18

A+B im Privaten: Primzahl p, natürliche Zahl q, q< p
jeweils für sich: Schlüssel a + b < p 
A = q^a mod p; B = q^b mod p
→A: K = B^a mod p
→B: K = A^b mod p