Security Associations - Nummerierte Tunnel; Verschlüsselung Der Pakete - Das Esp-Protokoll; Arbeitsweise Von Esp; Transport- Und Tunnel-Modus - LANCOM LCOS 9.00 Referenzhandbuch

Referenzhandbuch
10 Virtual Private Networks - VPN
1 Sicherung der Authentizität der Pakete
1
Verschlüsselung der Pakete
1 Übermittlung und Management der Schlüssel
10.18.2 Security Associations – nummerierte Tunnel
Eine logische Verbindung (Tunnel) zwischen zwei IPSec-Geräten wird als SA (Security Association) bezeichnet. SAs werden
selbstständig vom IPSec-Gerät verwaltet. Eine SA besteht aus drei Werten:
1
Security Parameter Index (SPI)
Kennziffer zur Unterscheidung mehrerer logischer Verbindungen zum selben Zielgerät mit denselben Protokollen
1 IP-Ziel-Adresse
1 Verwendetes Sicherheitsprotokoll
Kennzeichnet das bei der Verbindung eingesetzte Sicherheitsprotokoll: AH oder ESP (zu diesen Protokollen in den
folgenden Abschnitten mehr).
Eine SA gilt dabei nur für eine Kommunikationsrichtung der Verbindung (simplex). Für eine vollwertige Sende- und
Empfangsverbindung werden zwei SAs benötigt. Außerdem gilt eine SA nur für ein eingesetztes Protokoll. Werden AH
und ESP verwendet, so sind ebenfalls zwei separate SAs notwendig, also jeweils zwei für jede Kommunikationsrichtung.
Die SAs werden im IPSec-Gerät in einer internen Datenbank verwaltet, in der auch die erweiterten Verbindungsparameter
abgelegt werden. Zu diesen Parametern gehören beispielsweise die verwendeten Algorithmen und Schlüssel.
10.18.3 Verschlüsselung der Pakete – das ESP-Protokoll
Das ESP-Protokoll (Encapsulating Security Payload) verschlüsselt die Pakete zum Schutz vor unbefugtem Zugriff. Diese
ehemals einzige Funktion von ESP wurde in der weiteren Entwicklung des Protokolls um Möglichkeiten zum Schutz der
Integrität und zur Feststellung der Authentizität erweitert. Zudem verfügt auch ESP inzwischen über einen wirksamen
Schutz gegen Wiedereinspielung von Paketen. ESP bietet damit alle Funktionen von AH an.

Arbeitsweise von ESP

Der Aufbau von ESP ist komplizierter als der von AH. Auch ESP fügt einen Header hinter den IP-Header ein, zusätzlich
allerdings auch noch einen eigenen Trailer und einen Block mit ESP-Authentifizierungsdaten.

Transport- und Tunnel-Modus

ESP kann (wie AH auch) in zwei Modi verwendet werden: Im Transport-Modus und im Tunnel-Modus.
Im Transport-Modus wird der IP-Header des ursprünglichen Paketes unverändert gelassen und es werden ESP-Header,
die verschlüsselten Daten und die beiden Trailer eingefügt.
Der IP-Header enthält die unveränderte IP-Adresse. Der Transport-Modus kann daher nur zwischen zwei Endpunkten
verwendet werden, beispielsweise zur Fernkonfiguration eines Routers. Zur Kopplung von Netzen über das Internet kann
der Transport-Modus nicht eingesetzt werden – hier wird ein neuer IP-Header mit der öffentlichen IP-Adresse des
Gegenübers benötigt. In diesen Fällen kommt ESP im Tunnel-Modus zum Einsatz.
Im Tunnel-Modus wird das gesamte Paket inkl. dem ursprünglichen IP-Header am Tunnel-Eingang verschlüsselt und
authentifiziert und mit ESP-Header und -Trailern versehen. Diesem neuen Paket wird ein neuer IP-Header vorangesetzt,
diesmal mit der öffentlichen IP-Adresse des Empfängers am Tunnel-Ende.
652