IPSec-Protokolltypen

IPSec-Protokolle stellen für jedes IP-Paket Daten- und Identitätschutz bereit, indem sie zu jedem Paket den eigenen Sicherheitsprotokollheader hinzufügen.

Transportmodus

Transportmodus ist der Standardmodus für IPSec, und dieser wird für den Ende-zu-Ende-Datenaustausch (zum Beispiel für den Datenaustausch zwischen einem Client und einem Server) verwendet. Wenn der Transportmodus verwendet wird, verschlüsselt IPSec nur das IP-Aufkommen. Im Transportmodus kann das IP-Aufkommen über einen AH- oder einen ESP-Header geschützt werden. In der Regel enthält das IP-Aufkommen TCP-Segmente (mit einem TCP-Header und TCP-Segmentdaten), eine UDP-Nachricht (mit einem UDP-Header und UDP-Nachrichtendaten) und eine ICMP-Nachricht (mit einem ICMP-Header und ICMP-Nachrichtendaten).

  • Authentication Header im Transportmodus
    Authentication Header (AH) bietet Authentifizierung, Integrität und Anti-Replay-Schutz für das gesamte Paket (d. h. sowohl für den IP-Header als auch für die im Paket enthaltenen Daten). Es wird jedoch keine Vertraulichkeit gewährleistet, d. h., die Daten werden nicht verschlüsselt. Die Daten sind lesbar, können jedoch nicht geändert werden. AH verwendet Hashalgorithmen mit Schlüsseln, um durch Signieren die Integrität des Pakets sicherstellen zu können. Weitere Informationen finden Sie unter Datenintegrität mit Hashfunktionen.
    Anja an Computer A möchte beispielsweise Daten an Bert an Computer B senden. Die Integrität des IP-Headers, des AH-Headers und der Daten ist geschützt. Bert kann also sicher sein, dass die Daten wirklich von Anja gesendet und nicht geändert wurden.
    Integrität und Authentifizierung werden durch die Platzierung des AH-Headers zwischen dem IP-Header und dem IP-Aufkommen bereitgestellt.

  • Paketsignatur mit dem AH-Header
    AH signiert zum Schutz der Integrität das gesamte Paket, mit Ausnahme einiger Felder im IP-Header, die während der Übertragung geändert werden könnten (z. B. die Felder Gültigkeitsdauer und Diensttyp). Wenn zusätzlich zu AH ein weiterer IPSec-Header verwendet wird, wird der AH-Header vor möglichen anderen IPSec-Headern eingefügt.

  • Encapsulating Security Payload im Transportmodus
    Encapsulating Security Payload (ESP) bietet neben Authentifizierung, Integrität und Anti-Replay-Schutz zusätzlich auch Vertraulichkeit für das IP-Aufkommen. Bei ESP im Transportmodus wird nicht das gesamte Paket signiert. Nur das IP-Aufkommen (nicht der IP-Header) ist geschützt. ESP kann einzeln oder in Kombination mit AH verwendet werden.
    Anja an Computer A sendet beispielsweise Daten an Bert an Computer B. Die Integrität des IP-Aufkommens wird durch Verschlüsselung und Signatur sichergestellt. Bei Empfang wird nach Ablauf der Integritätsüberprüfung das Datenaufkommen im Paket entschlüsselt. Bert kann sicher sein, dass die Daten tatsächlich von Anja gesendet wurden und dass sie nicht geändert wurden und von keinen weiteren Personen gelesen werden konnten.
    ESP wird im IP-Header mit der IP-Protokoll-ID 50 angegeben. Wie in der folgenden Abbildung dargestellt, wird der ESP-Header vor dem IP-Aufkommen positioniert, und ein ESP-Nachspann sowie ein ESP-Authentifizierungsnachspann werden hinter dem IP-Aufkommen positioniert.

  • Paketsignatur und Verschlüsselung
    Wie in der folgenden Abbildung dargestellt, bietet ESP Sicherheit für IP-Aufkommen. Der signierte Bereich des Pakets gibt an, wo das Paket zwecks Integrität und Authentifizierung signiert wurde. Der verschlüsselte Bereich des Pakets gibt an, welche Informationen als vertraulich geschützt sind.
    Der IP-Header wird nicht signiert und ist daher nicht unbedingt gegen Änderungen geschützt. Um Datenintegrität und Authentifizierung für den IP-Header sicherzustellen, verwenden Sie ESP und AH.

Tunnelmodus

Wenn der IPSec-Tunnelmodus verwendet wird, verschlüsselt IPSec IP-Header und -Aufkommen, während beim Transportmodus nur das IP-Aufkommen verschlüsselt wird. Im Tunnelmodus werden ganze IP-Pakete geschützt, indem sie als AH- oder ESP-Aufkommen behandelt werden. Beim Tunnelmodus wird ein ganzes IP-Paket mit einem AH- oder ESP-Header und einem zusätzlichen IP-Header eingekapselt. Die IP-Adressen des äußeren IP-Headers sind die Tunnelendpunkte, während die IP-Adressen des eingekapselten IP-Headers sind die eigentlichen Quell- und Zieladressen sind.

Der IPSec-Tunnelmodus ist nützlich zum Schützen des Datenverkehrs zwischen verschiedenen Netzwerken, wenn der Datenverkehr durch ein temporäres, nicht vertrauenswürdiges Netzwerk geleitet werden muss. Der Tunnelmodus wird überwiegend für die Interoperabilität mit Gateways oder Endsystemen verwendet, die keine Unterstützung für L2TP/IPSec- oder PPTP-Verbindungen bieten. Sie können den Tunnelmodus in den folgenden Konfigurationen verwenden:

  • Gateway zu Gateway

  • Server zu Gateway
  • Server zu Server

  • AH-Tunnelmodus
    Wie in der folgenden Abbildung dargestellt, wird beim AH-Tunnelmodus ein IP-Paket mit einem AH- und IP-Header eingekapselt und das gesamte Paket signiert, um dessen Integrität und Authentifizierung sicherzustellen.

  • ESP-Tunnelmodus
    Wie in der folgenden Abbildung dargestellt, wird beim ESP-Tunnelmodus ein IP-Paket mit einem ESP- und einem IP-Header sowie einem ESP-Authentifizierungsnachspann eingekapselt.
    Der signierte Bereich des Pakets gibt an, wo das Paket zwecks Integrität und Authentifizierung signiert wurde. Der verschlüsselte Bereich des Pakets gibt an, welche Informationen als vertraulich geschützt sind.
    Da dem Paket für das Tunneling ein neuer Header hinzugefügt wird, werden alle Elemente, die auf den ESP-Header folgen, signiert (mit Ausnahme des ESP-Authentifizierungsnachspanns), da sie jetzt im getunnelten Paket eingekapselt sind. Der ursprüngliche Header wird hinter dem ESP-Header eingefügt. Das gesamte Paket wird vor dem Verschlüsseln mit einem ESP-Nachspann versehen. Alle Daten, die auf den ESP-Header folgen (mit Ausnahme des ESP-Authentifizierungsnachspanns), werden verschlüsselt. Dies betrifft auch den ursprünglichen Header, der jetzt als Teil des Datenbereichs des Pakets aufgefasst wird.
    Das gesamte ESP-Aufkommen wird dann in dem neuen, nicht verschlüsselten Tunnelheader gekapselt. Die Informationen im neuen Tunnelheader werden nur zum Weiterleiten des Pakets vom Quell- zum Tunnelendpunkt verwendet.
    Wenn das Paket über ein öffentliches Netzwerk gesendet wird, wird es an die IP-Adresse des Gateways für das empfangende Intranet weitergeleitet. Das Gateway entschlüsselt das Paket, entfernt den ESP-Header und verwendet den ursprünglichen IP-Header zum Weiterleiten des Pakets an den Intranetcomputer.
    ESP und AH können beim Tunneling kombiniert werden. Dadurch wird sowohl Vertraulichkeit für das getunnelte IP-Paket als auch Integrität und Authentifizierung für das gesamte Paket gewährleistet.

Verwenden von IPSec-Tunneln

Bei IPSec-Tunneln ist die Sicherheit lediglich für den IP-Datenverkehr gewährleistet. Dieser Tunnel ist so konfiguriert, dass der Datenverkehr zwischen zwei IP-Adressen oder der Datenverkehr zwischen zwei IP-Subnetzen geschützt wird. Wenn der Tunnel zwischen zwei Computern und nicht zwischen zwei Gateways verwendet wird, ist die IP-Adresse außerhalb und innerhalb des AH- oder ESP-Aufkommens gleich. Unter Windows XP und der Windows Server 2003-Produktfamilie bietet IPSec keine Unterstützung für protokollspezifische oder portspezifische Tunnel. Sie können Tunnel mithilfe der IP-Sicherheitsrichtlinienverwaltungs- und IP-Gruppenrichtlinienkonsolen konfigurieren, um zwei Regeln zu konfigurieren und zu aktivieren:

  1. Eine Regel für den ausgehenden Datenverkehr für den Tunnel.
    Die Regel für den ausgehenden Datenverkehr wird mit einer Filterliste konfiguriert. Diese beschreibt den Datenverkehr, der durch den Tunnel und einen Tunnelendpunkt einer IP-Adresse gesendet wird, die auf dem IPSec-Tunnel-Peer konfiguriert wird (der Computer oder Router auf der anderen Seite des Tunnels).

  2. Eine Regel für den eingehenden Datenverkehr für den Tunnel.
    Die Regel für den eingehenden Datenverkehr wird mit einer Filterliste konfiguriert, die den Datenverkehr beschreibt, der durch den Tunnel und einen Tunnelendpunkt einer lokalen IP-Adresse (der Computer oder Router auf der lokalen Seite des Tunnels) empfangen werden soll.

Zusätzlich müssen für jede Regel Filteraktionen, Authentifizierungsmethoden und andere Einstellungen festgelegt werden.