IP-Pakete, die Grund­ele­men­te der Internet-Da­ten­kom­mu­ni­ka­ti­on, bestehen aus zwei Teilen: den Nutzdaten wie Sprache, Text oder Bildern und den Kopfdaten, zu denen u. a. die Adressen des Senders und des Emp­fän­gers zählen. Das große Problem dieser Da­ten­pa­ke­te, die auf ihrem Weg zum Adres­sa­ten ver­schie­de­ne Router passieren, ist die Tatsache, dass das In­ter­net­pro­to­koll von sich aus keinerlei Ver­schlüs­se­lungs- und Au­then­ti­fi­zie­rungs­me­cha­nis­men besitzt. Somit werden die Daten un­ver­schlüs­selt von Router zu Router über­tra­gen und können jederzeit gelesen oder ma­ni­pu­liert werden, wodurch die drei Säulen der In­for­ma­ti­ons­si­cher­heit – Ver­trau­lich­keit, Au­then­ti­zi­tät und In­te­gri­tät – nicht ga­ran­tiert sind.

Aus diesem Grund wurde die Pro­to­koll­suite Internet Protocol Security, kurz IPsec, ent­wi­ckelt, die das In­ter­net­pro­to­koll um zahl­rei­che Si­cher­heits­funk­tio­nen erweitert. Mit­ein­an­der kom­bi­niert sorgen sie für eine zu­ver­läs­si­ge Si­cher­heit bei der Über­tra­gung von Da­ten­pa­ke­ten über öf­fent­li­che Netzwerke, weshalb IPsec ein wichtiger Baustein vieler VPN-Ver­bin­dun­gen (Virtual Private Network) ist.

Was ist IPsec?

IPsec ist eine Pro­to­koll­fa­mi­lie, deren Ar­chi­tek­tur von der Internet En­gi­nee­ring Task Force (IETF) als Standard vor­ge­schla­gen wurde. Die IETF ist eine Or­ga­ni­sa­ti­on, die sich mit der tech­ni­schen Wei­ter­ent­wick­lung des Internets be­schäf­tigt. IPsec wurde für die neueste Version des In­ter­net­pro­to­kolls (IPv6) und nach­träg­lich auch für IPv4 ent­wi­ckelt und kann im We­sent­li­chen in die drei folgenden Funk­ti­ons­grup­pen un­ter­teilt werden:

  • Über­tra­gungs­pro­to­kol­le: Au­then­ti­ca­ti­on Header (AH), En­cap­su­la­ting Security Payload (ESP)
  • Schlüs­sel­ma­nage­ment: Internet Security As­so­cia­ti­on and Key Ma­nage­ment Protocol (ISAKMP), Internet Key Exchange (IKE)
  • Da­ten­ban­ken: Security As­so­cia­ti­on Database (SAD), Security Policy Database (SPD)

Mithilfe der beiden Über­tra­gungs­pro­to­kol­le AH und ESP ga­ran­tiert IPsec die Au­then­ti­zi­tät und In­te­gri­tät der ver­schick­ten Daten, stellt also sicher, dass ihr Inhalt vom an­ge­ge­be­nen Sender stammt und un­ver­än­dert beim Empfänger ankommt. AH bietet zu diesem Zweck durch Er­wei­te­rung des Paket-Headers ei­ner­seits eine Au­then­ti­fi­zie­rung der Da­ten­quel­le, um deren Echtheit zu be­stä­ti­gen, und an­de­rer­seits einen Schutz gegen die Ver­än­de­rung der Pakete auf dem Trans­port­weg. Außerdem fügt das AH-Protokoll dem Header eine Se­quenz­num­mer hinzu, wodurch das wie­der­hol­te Senden von Paketen ver­hin­dert wird.

Das ESP-Protokoll gewährt neben der Iden­ti­täts- und In­te­gri­täts­prü­fung auch eine Ver­schlüs­se­lung der ver­sen­de­ten Daten. Al­ler­dings un­ter­schei­det sich die ESP-Au­then­ti­fi­zie­rung insofern von der des AH-Pro­to­kolls, dass sie den äußeren IP-Header nicht be­rück­sich­tigt und somit nicht voll­stän­dig ist. Mithilfe einer zu­sätz­li­chen Ver­kap­se­lung können die ESP-Inhalte dadurch jedoch in Netz­wer­ken mit Adress­über­set­zung (NAT), wie sie etwa bei privaten DSL-Zugängen üblich sind, richtig zu­ge­stellt werden.

Für die Ver­wal­tung der ESP-Ver­schlüs­se­lung ist haupt­säch­lich das IKE-Protokoll ver­ant­wort­lich. Es handelt die Si­cher­heits­ver­ein­ba­run­gen (Security As­so­cia­ti­ons) zwischen Sender und Empfänger aus, nutzt das Diffie-Hellman-Verfahren für den sicheren Schlüs­sel­aus­tausch und setzt dadurch die De­fi­ni­tio­nen des ISAKMP-Frame­works technisch um.

Die not­wen­di­gen In­for­ma­tio­nen für den Pa­ket­ver­sand auf Basis von IPsec sind in den zwei lokalen Da­ten­ban­ken SPD und SAD hin­ter­legt. Die Einträge in der Security Policy Database bestimmen bei­spiels­wei­se, welche Über­tra­gungs­pro­to­kol­le – AH, ESP oder beide – für die sichere Ver­bin­dung verwendet werden sollen. Die SAD verwaltet die spe­zi­fi­schen Security-As­so­cia­ti­on-Einträge, die vom IKE-Protokoll angelegt werden, und gibt damit dem Sender Ver­schlüs­se­lungs­ver­fah­ren inklusive Schlüssel und dem Empfänger das ent­spre­chen­de Ent­schlüs­se­lungs­ver­fah­ren vor.

Die zwei Modi von IPsec: Tunnel- vs. Trans­port­mo­dus

Für sichere Ver­bin­dun­gen mit IPsec exis­tie­ren zwei un­ter­schied­li­che Über­tra­gungs­mo­di: Der Trans­port­mo­dus, in dem zwei Endpunkte direkt mit­ein­an­der verbunden werden, und der Tun­nel­mo­dus, der eine Ver­bin­dung zwischen zwei IP-Netzen erstellt.

Bild: Abbildung des Tunnel- und Transportmodus für Verbindungen mit IPSec
So sehen die zwei Über­tra­gungs­mög­lich­kei­ten in Ver­bin­dun­gen mit IPSec aus: Der Tunnel- und Trans­port­mo­dus im Überblick

Trans­port­mo­dus

Bei der Nutzung von IPsec im Trans­port­mo­dus geschieht Folgendes: Zwischen dem IP-Header des Da­ten­pa­kets, der un­ver­än­dert bleibt, und den Nutzdaten wird der Header des je­wei­li­gen Über­tra­gungs­pro­to­kolls eingefügt. Der Schutz beginnt auf dem Aus­gangs­com­pu­ter und bleibt während der gesamten Über­tra­gung bis zum Ziel­com­pu­ter bestehen. Erst nach dem Empfang des Pakets werden die ur­sprüng­li­chen Nutzdaten aus­ge­packt und dem Empfänger zur Verfügung gestellt. Somit sind kryp­to­gra­fi­scher und kom­mu­ni­ka­ti­ver Endpunkt identisch. Der Trans­port­mo­dus hat den Vorteil einer sehr geringen Ver­ar­bei­tungs­zeit, gewährt al­ler­dings nur die Si­cher­heit der Nutzdaten, während Quell- und Ziel­adres­sen un­ge­schützt bleiben. Üb­li­cher­wei­se wird dieser Modus für Host-zu-Host- oder Host-zu-Router-Ver­bin­dun­gen verwendet, z. B. zur Netz­werk­ver­wal­tung.

Tun­nel­mo­dus

Im Tun­nel­mo­dus erhalten die Da­ten­pa­ke­te einen komplett neuen IP-Header, in dem Quell- und Ziel­adres­se sowie die Nutzdaten versteckt sind. Zu­sätz­lich wird auch der Header des je­wei­li­gen Über­tra­gungs­pro­to­kolls im­ple­men­tiert – wie auch beim Trans­port­mo­dus. Man spricht aus diesem Grund auch davon, dass das ur­sprüng­li­che Paket gekapselt bzw. verpackt wird. Der neue, äußere IP-Header definiert die kryp­to­gra­fi­schen Endpunkte, die nicht mit den ei­gent­li­chen, im inneren IP-Header fest­ge­hal­te­nen Kom­mu­ni­ka­ti­ons­punk­ten identisch sind. Erst wenn das Paket an den kryp­to­gra­fi­schen End­punk­ten, den so­ge­nann­ten Si­cher­heits­gate­ways, entpackt worden ist, wird es an den ei­gent­li­chen Empfänger wei­ter­ge­lei­tet. Stan­dard­mä­ßig findet die Da­ten­über­tra­gung im Tun­nel­mo­dus von Gateway zu Gateway statt; ebenso möglich sind al­ler­dings auch Host-zu-Gateway- sowie Host-zu-Host-Ver­bin­dun­gen.

IPsec: Stärken und Schwächen

Bei der Rea­li­sie­rung von VPNs, die das größte Ein­satz­ge­biet der Pro­to­koll­fa­mi­lie ausmachen, hat IPsec einen ent­schei­den­den Vorteil gegenüber Al­ter­na­ti­ven wie SSL: Als Standard auf Netz­wer­kebe­ne kann IPsec ap­pli­ka­ti­ons­un­ab­hän­gig ein­ge­setzt werden. Ist die Ver­bin­dung aufgebaut, können die ver­schie­dens­ten Formen des Da­ten­ver­kehrs, ob E-Mail, Da­tei­en­über­tra­gung oder IP-Telefonie, ab­ge­wi­ckelt werden, ohne dass pro­gramm­spe­zi­fi­sche Tools in­stal­liert werden müssen. Das macht den Pro­to­koll­sta­pel zur kos­ten­güns­tigs­ten Lösung für VPN-Ver­bin­dun­gen. Im Gegenzug erfordert der Einsatz von IPsec eine besondere Software für Fern­zu­grif­fe, die auf dem je­wei­li­gen Client in­stal­liert, ein­ge­rich­tet und gepflegt werden muss. Und auch die Ap­pli­ka­ti­ons­un­ab­hän­gig­keit kann sich bei un­be­fug­ten Zugriffen schnell zum Problem ent­wi­ckeln, wenn diese nicht von einer zentralen Firewall blockiert werden, da eben nicht nur eine, sondern alle An­wen­dun­gen gefährdet wären.

Un­be­strit­ten sind die Vorteile von IPsec in Sachen Aus­fall­si­cher­heit und Per­for­mance: Auf einem ge­clus­ter­ten System kann pro­blem­los ein anderes Gateway ein­sprin­gen, wenn Probleme auf­tau­chen, während Tausende Nutzer gleich­zei­tig mit Da­ten­pa­ke­ten versorgt werden. Zuletzt gilt IPsec vor allem auch dank der hohen Si­cher­heit als die optimale Lösung für alle sensiblen Daten und für fir­men­in­ter­nen Da­ten­ver­kehr, der keine anonymen Nutzer einbindet.

Zum Hauptmenü