VPN, IP-Tunnel & IPsec Flashcards
Was sind VPNs/Tunnel?
- virtuelle Leitung simuliert eine Layer-2-Verbindung über ein Layer-3-Netz (z.B. Internet)
- Realisierung über virutelle Leitungen: Tunnel
- Carrier-Protokoll kann ggf. auch fehlen
- -Aufgaben u.a. Mulitplexing, Auth., Ordering
Wann werden Tunnel eingesetzt?
- spezielle Fähigkeiten von R1, R2 (z.B. Multicast)
- Kopplung von nicht IP-Netzen über das Internet
- VPNs: Verschlüsselung und Authentifizierung im Tunnel
Welche Arten von VPNs gibt es?
Site-to-site VPN: zwei Standorte verbinden
Remote-access VPN
Welches Ziel hat IPsec?
sichere Übertragung von IP-Paketen
sicher=Authentifizierung, Integrität, Vertraulichkeit, aber keine Verbindlichkeit
Welche zwei Sicherheitsprotokolle implementiert IPsec?
Authentication Header (AH) Protokoll
Encapsulating Security Payload (ESP) Protokoll
Kombination aus AH + ESP möglich
Welche zwei Betriebsarten gibt es bei IPsec?
Transport-Modus: Sicherheit für Protokolle über IP
-keine Vertraulichkeit des IP-Headers
Tunnel-Modus: Sichere Verbindung zwischen zwei Routern
Was ist der Tunnel-Modus (mit ESP)?
- ermöglicht Realisierung sicherer VPNs
- im Tunnel: gesamtet IP-Paket verschlüsselt und authentifiziert
- -Daten können nicht gelesen oder verändert werden
- -Quelle und Ziel önnennicht ermittelt werden (Schutzu vor Verkehrsflußanalyse)
Worin unterscheiden sich die IP-Pakete bei IPsec im Aufbau (Bezug auf Tunnel und Transport Modus) ?
Transport-Modus:
IP-Header | IPsec-Header | Daten
IP-Paket im Tunnel Modus
IP-Header (R1-R2) | IPsec-Header | ursprüngliche Daten
-sicherer Tunnel zwischen Router R1-R2
-Teilnehmer A und B müssen IPsec nicht implementieren
Was ist die Security Association (SA)?
Unidirektionale “Verbindung”
Fasst Parameter für AH oder ESP zusammen:
-Betriebsart (Tunnel/Transport)
-krytographische Parameter (Chiffren,Schlüssel,…)
-Sequenznummern (Replay Schutz)
-Lebensdauer der SA
Was macht das AH-Protokoll?
AH=Authentication Header
Authentifiziert gesamtes IP-Paket
- IP-Header und Erweiterungsheader
- AH-Header (außer Authentifizieungsdatenfeld)
- Nutzdaten des IP-Pakets
Sequenznummer
Hashfunktionen
Was macht das ESP-Protokoll?
Encapsulating Security Payload
- Verschlüsselung und Authentifizierung (optional) des Datenteils eines IP-Pakets
- verschiedene Verschlüsselungsverfahren möglich
- IPsec Implementierung muss AES und Hash unterstützen
Beschreibe verschiedene IPsec Paketformate mit IPv6!
Vergleichen Sie die verschiedenen Betriebsarten und Protokolle von IPsec
Kombinationen (Verschachtelung) möglich
z.B. AH im Transport-Modus über ESP-Tunnel
Wie wird IPsec Konfiguriert?
jeder IPsec Knoten enthält Strategie-Datenbank (SPD)
SPD legt für jede ein- und ausgehende Verbindung fest, wie Pakete zu behandeln sind
-unverschlüsselt
-verwerfen
-Anwendung von IPsec
–Verschlüsselung und/oder Authentifizierung
–Sicherheitsparameter
–Erzeugung/Nutzung der Security Associaion (SA)
wie Filtertabelle in Firewall
Wie ist IPsec zu bewerten?
- keine Verbindlichkeit (digitale Unterschrift)
- schwierige Konfiguration (SPD)
- Zusatzmechanismen wie Sequenznummer nötig
- IPsec derzeit für sichere Tunnel (VPN) eingesetzt
