Erweiterungsheader
IPsec verwendet für die Übertragungssicherheit - sowohl in IPv6 als auch in
IPv4 - zwei Erweiterungsheader.
| Mit dem Authentisierungsheader (Authentication Header, )
werden Datenintegrität, Authentisierung und Schutz vor Wiederholung
erreicht. |
| Mit dem Encapsulating Security Payload-Header (ESP-Header)
können Vertraulichkeit durch Verschlüsselung und
Verkehrflußvertraulichkeit erreicht werden;
außerdem können gleichzeitig Datenintegrität, Authentisierung oder Schutz
vor Wiederholung realisiert werden. |
| Beide Header werden zum Austausch von kryptographischen Schlüsseln
verwendet und dienen somit auch der Zugangskontrolle. |
Durch die Kombination entsprechender Verfahren lässt sich den genannten
Sicherheitsanforderungen genügen. Alle Verfahren können im Transportmodus als
Dienst für Protokolle der höheren Schichten oder im Tunnelmodus als Dienst
für getunnelte IP-Datagramme eingesetzt werden.
Der Anwender kann bei IPsec festlegen, ob zwischen zwei Knoten jede einzelne
Verbindung verschlüsselt wird oder ob alle Verbindungen über einen gemeinsamen
Tunnel laufen. Dazu muss spezifiziert werden,
| welche Dienste werden benutzt und in welcher Kombination werden sie
eingesetzt; |
| auf welche Verbindungen bzw. Gruppen von Verbindungen (Granularität)
werden Sicherheitsdienste eingesetzt; |
| welche Algorithmen werden verwendet. |
Um kryptographische Schlüssel zu verteilen, können manuelle und
automatische Verteilungsverfahren eingesetzt werden. IPsec spezifiziert ein
eigenes Public-Key-Verfahren, unterstützt aber auch andere Verfahren zur
Schlüsselverteilung wie Kerberos.
Implementiert werden kann IPsec in End- oder Transitgeräten wie Routern oder
Firewalls. Beispiele hierfür sind
- Integration von IPSec in die IP-Implementierung.
- Integration von IPSec im Protokollstapel unterhalb der Vermittlungsschicht
(IP).
- Integration von IPSec in die Übertragungsleitung (Link), auch als Bump-in-the-wire
(BITW) bezeichnet.
|