Rechnernetze
Home Nach oben

Sicherheitsarchitektur für das Internet

Security Architecture for the Internet Protocol (RFC 2401) IPsec  
Sicherheitsarchitektur für das Internet
IPsec genügt hochwertigen Sicherheitsanforderungen 
in offener Umgebung 
auf der Vermittlungsschicht für IPv4 und IPv6.
U.a. folgende Sicherheitsdienste angeboten
Zugangskontrolle (access control),
Datenintegrität (connectionless integrity),
Authentisierung (data origin authentication),
Schutz vor Wiederholung (protection against replays, a form of partial sequence integrity),
Vertraulichkeit durch Verschlüsselung (confidentiality by encryption),
Verkehrflußvertraulichkeit (limited traffic flow confidentiality),
IP-Kompression (IP compression).
IPsec bietet diese Dienste an
der Vermittlungsschicht (z.B. ICMP) 
allen Protokollen auf höheren Schichten wie TCP, UDP, ICMP, BGP, usw. 
System kann auswählen 
benötigtes Sicherheitsprotokoll 
Algorithmen für die jeweiligen Dienste 
sämtliche benötigten kryptographischen Schlüssel erzeugen
ein oder mehrere Verbindungen sicher aufgebaut und unterhalten 
zwischen Endsystemen (Hosts) bzw. 
Transitsystemen (Security Gateways
Datenkompression auf Vermittlungsschicht 
verschlüsselte Daten wesentlich schlechter komprimierbar als unverschlüsselte, 
Kompression auf der Bitsicherungsschicht ineffektiver
Zwei Erweiterungsheader in IPsec für Übertragungssicherheit
Authentisierungsheader (Authentication Header,
Datenintegrität, 
Authentisierung 
Schutz vor Wiederholung 
Encapsulating Security Payload-Header (ESP-Header
Vertraulichkeit durch Verschlüsselung 
Verkehrflussvertraulichkeit
Datenintegrität, 
Authentisierung 
Schutz vor Wiederholung
Beide Header 
Austausch kryptographischer Schlüssel 
dienen auch der Zugangskontrolle
Erweiterungsheader 
in IPv6 standardmäßig zur Übertragung von Zusatzinformation 
in IPv4 nicht vorgesehen
werden hinter IP-Header angehängt, 
ähnlich wie normale Payload, 
jedoch um zusätzliche Header erweitert 
bei Verschlüsselung nicht im Klartext übertragens

 

gewünschte Sicherheitsanforderungen durch 
Kombination entsprechender Verfahren 
im Transportmodus 
Dienst für Protokolle der höheren Schichten
im Tunnelmodus 
Dienst für getunnelte IP-Datagramme
Anwender legt fest bei IPsec 
ob zwischen zwei Knoten jede einzelne Verbindung verschlüsselt oder 
ob alle Verbindungen über gemeinsamen Tunnel laufen. 
Dazu muss jeweils spezifiziert werden:
welche Dienste werden benutzt und 
in welcher Kombination werden sie eingesetzt;
auf welche Verbindungen bzw. Gruppen von Verbindungen (Granularität) werden Sicherheitsdienste eingesetzt;
welche Algorithmen werden verwendet.
kryptographische Schlüssel verteilen, 
manuelle Verteilungsverfahren und 
automatische Verteilungsverfahren 
IPsec 
spezifiziert eigenes Public-Key-Verfahren, 
unterstützt aber auch andere Verfahren zur Schlüsselverteilung wie Kerberos.
IPsec kann implementiert werden in 
Endgeräten oder 
Transitgeräten wie Routern oder Firewalls. 
an verschiedenen Stellen im Protokollstapel integrierbar:
  1. IPSec in die IP-Implementierung.
  2. IPSec im Protokollstapel unterhalb der Vermittlungsschicht (IP), 
    Bump-in-the-stack (BITS)
  3. IPSec in die Übertragungsleitung (Link), 
    Bump-in-the-wire (BITW)