Sicherheitsarchitektur für das InternetRFC 2401 beschreibt unter dem Titel Security Architecture for the Internet Protocol eine Sicherheitsarchitektur für das Internet, die als IPsec bezeichnet wird. IPsec genügt hochwertigen Sicherheitsanforderungen in einer offenen Umgebung auf der Vermittlungsschicht für IPv4 und IPv6. U.a. werden die folgenden Sicherheitsdienste angeboten:
IPsec bietet diese Dienste sowohl der Vermittlungsschicht (z.B. ICMP) als auch allen Protokollen auf höheren Schichten wie TCP, UDP, ICMP, BGP, usw. an. Dazu kann ein System das benötigte Sicherheitsprotokoll auswählen, die Algorithmen für die jeweiligen Dienste festlegen sowie sämtliche benötigten kryptographischen Schlüssel erzeugen. Außerdem können zwischen Endsystemen (Hosts) bzw. Transitsystemen (Security Gateways) ein oder mehrere Verbindungen sicher aufgebaut und unterhalten werden. Zusätzlich wird auf der Vermittlungsschicht Datenkompression angeboten, da verschlüsselte Daten häufig wesentlich schlechter komprimierbar sind als unverschlüsselte, also Kompression auf der Bitsicherungsschicht ineffektiver wird. IPsec verwendet für die Übertragungssicherheit - sowohl in IPv6 als auch in IPv4 - zwei Erweiterungsheader.
Erweiterungsheader werden in IPv6 standardmäßig zur Übertragung von Zusatzinformation verwendet; in IPv4 sind sie nicht vorgesehen. Sie werden hinter den IP-Header angehängt, funktionieren also ähnlich wie normale Payload, die jedoch um zusätzliche Header erweitert ist und bei Verschlüsselung nicht im Klartext übertragen wird.
Durch die Kombination entsprechender Verfahren lässt sich den gewünschten Sicherheitsanforderungen genügen. Alle Verfahren können im Transportmodus als Dienst für Protokolle der höheren Schichten oder im Tunnelmodus als Dienst für getunnelte IP-Datagramme eingesetzt werden. Der Anwender kann bei IPsec festlegen, ob zwischen zwei Knoten jede einzelne Verbindung verschlüsselt wird oder ob alle Verbindungen über einen gemeinsamen Tunnel laufen. Dazu muss jeweils folgendes spezifiziert werden:
Um kryptographische Schlüssel zu verteilen, können manuelle und automatische Verteilungsverfahren eingesetzt werden. IPsec spezifiziert ein eigenes Public-Key-Verfahren, unterstützt aber auch andere Verfahren zur Schlüsselverteilung wie Kerberos. Implementiert werden kann IPsec in End- oder Transitgeräten wie Routern oder Firewalls. Außerdem kann es an verschiedenen Stellen im Protokollstapel eingebaut werden. Beispiele hierfür sind
|