Sicherheitsarchitektur für das Internet
| Security Architecture for the Internet Protocol
(RFC 2401) IPsec
| Sicherheitsarchitektur für das Internet |
| IPsec genügt hochwertigen Sicherheitsanforderungen
| in offener
Umgebung |
| auf der Vermittlungsschicht für IPv4 und IPv6. |
| U.a. folgende Sicherheitsdienste angeboten
| Zugangskontrolle (access control), |
| Datenintegrität (connectionless integrity), |
| Authentisierung (data origin authentication), |
| Schutz vor Wiederholung (protection against replays, a form of partial sequence
integrity), |
| Vertraulichkeit durch Verschlüsselung (confidentiality by encryption), |
| Verkehrflußvertraulichkeit (limited traffic flow confidentiality), |
| IP-Kompression (IP compression). |
|
|
|
| IPsec bietet diese Dienste an
| der Vermittlungsschicht (z.B. ICMP) |
| allen Protokollen
auf höheren Schichten wie TCP, UDP, ICMP, BGP, usw. |
| System kann auswählen
| benötigtes Sicherheitsprotokoll |
| Algorithmen für die jeweiligen Dienste |
|
sämtliche benötigten kryptographischen Schlüssel erzeugen |
|
| ein oder mehrere Verbindungen sicher aufgebaut und unterhalten
|
zwischen Endsystemen (Hosts) bzw. |
| Transitsystemen (Security
Gateways) |
|
| Datenkompression auf Vermittlungsschicht
| verschlüsselte Daten wesentlich schlechter komprimierbar als
unverschlüsselte, |
| Kompression auf der Bitsicherungsschicht ineffektiver |
|
|
| Zwei Erweiterungsheader in IPsec für Übertragungssicherheit
| Authentisierungsheader (Authentication Header, )
| Datenintegrität, |
| Authentisierung |
| Schutz vor Wiederholung |
|
| Encapsulating Security Payload-Header (ESP-Header)
| Vertraulichkeit durch Verschlüsselung |
| Verkehrflussvertraulichkeit |
| Datenintegrität, |
| Authentisierung |
| Schutz
vor Wiederholung |
|
| Beide Header
| Austausch kryptographischer Schlüssel |
| dienen auch der Zugangskontrolle |
|
|
| Erweiterungsheader
| in IPv6 standardmäßig zur Übertragung von
Zusatzinformation |
| in IPv4 nicht vorgesehen |
| werden
hinter IP-Header angehängt, |
| ähnlich wie normale Payload, |
| jedoch um zusätzliche Header erweitert |
| bei Verschlüsselung nicht im
Klartext übertragens |
|
| gewünschte Sicherheitsanforderungen durch
| Kombination entsprechender Verfahren |
| im Transportmodus
|
Dienst für Protokolle der höheren Schichten |
|
| im Tunnelmodus
| Dienst
für getunnelte IP-Datagramme |
|
|
| Anwender legt fest bei IPsec
| ob zwischen zwei Knoten jede einzelne
Verbindung verschlüsselt oder |
| ob alle Verbindungen über gemeinsamen
Tunnel laufen. |
| Dazu muss jeweils spezifiziert werden:
| welche Dienste werden benutzt und
in welcher Kombination werden sie
eingesetzt; |
| auf welche Verbindungen bzw. Gruppen von Verbindungen (Granularität)
werden Sicherheitsdienste eingesetzt; |
| welche Algorithmen werden verwendet. |
|
|
| kryptographische Schlüssel verteilen,
| manuelle Verteilungsverfahren und |
|
automatische Verteilungsverfahren |
| IPsec
| spezifiziert
eigenes Public-Key-Verfahren, |
| unterstützt aber auch andere Verfahren zur
Schlüsselverteilung wie Kerberos. |
|
|
| IPsec kann implementiert werden in
| Endgeräten oder |
| Transitgeräten wie Routern oder Firewalls. |
| an verschiedenen Stellen im Protokollstapel integrierbar: |
|
- IPSec in die IP-Implementierung.
- IPSec im Protokollstapel unterhalb der Vermittlungsschicht (IP),
Bump-in-the-stack (BITS)
- IPSec in die Übertragungsleitung (Link),
Bump-in-the-wire
(BITW)
|