next up previous contents
Next: IRC - Internet Relay Up: Protokollbeschreibungen und Portlisten für Previous: IMAP - Internet Message   Contents

IPsec - IP Security Protocol

IPsec wird für die Ende-zu-Ende-Verschlüsselung bei IPv6 und auch IPv4 verwendet. Es wird auf der IP-Schicht implementiert und kann deshalb für jedes IP-Protokoll eingesetzt werden. IPsec legt sich nicht auf die Verschlüsselungsalgorithmen fest (dadurch können zukünftig möglicherweise gefundene Schwächen behoben werden). IPsec besteht selbst wiederum aus 3 Protokollen:

AH
Authentication Header - gewährleistet: Sicherheit, dass vom angegebenen Absender stammen und nicht verändert wurden; optional auch Sicherheit, dass erneut gesendete (von illegalem Mitlesen stammende) Pakete nicht akzeptiert werden;
AH setzt direkt auf IP auf und ist dem IP-Protokoll 51 zugeordnet (weder TCP noch UDP!)
ESP
Encapsulating Security Payload - kümmert sich um die Verschlüsselung der Daten selbst, sodass abgefangene Daten nicht gelesen werden können;
EH stellt ebenso ein eigenständiges Protokoll auf der IP-Schicht dar und ist der IP-Protokollnummer 50 zugeordnet
ISAKMP
Internet Security Association Key Management Protocol - regelt den Schlüsselaustausch zwischen Sender und Empfänger
ISAKMP verwendet das UDP-Protokoll und dessen Portnummer 500 sowohl auf Client- als auch auf Server-Seite
Da weder AH noch ESP die Protokolle TCP oder UDP verwenden und auch keine Ports kennen, sind die entsprechenden Spalten in der folgenden Tabelle leer. Eine Firewall, die AH oder ESP kontrollieren will, muss die Angabe von IP-Protokolltypen ermöglichen. Mit 'iptables' unter Linux (ab Kernel V2.4) erfolgt das durch die Option '-p', wie im folgenden Beispiel gezeigt:
# iptables -A xxx -p 50 -j ACCEPTlässt ESP-Protokoll durch
# iptables -A xxx -p 51 -j ACCEPTlässt AH-Protokoll durch

Einsatzfähigkeit von Proxies: Der Einsatz von Proxies ist nur insofern möglich, wenn eine IPsec-Verbindung vom Client zum Proxy und eine weitere vom Proxy zum Server aufgebaut wird (das heißt, es müssen praktisch 2 Ende-zu-Ende-Kommunikationen aufgebaut werden). Theoretisch wäre es möglich, dass sich der Proxy bei der Aushandlung der Security Assosiaction-Parameter beteiligt.

NAT: AH und ESP sorgen für Integritätsschutz des kompletten Paketes einschließlich Header. Es ist somit kein NAT möglich! Dennoch kann man NAT und IPsec-Tunnelung zusammen verwenden, wenn zuerst NAT durchgeführt wird und dann der IPsec-Tunnel eingerichtet wird.

Richtung Proto- Port
Status
Anmerkung
Client Server koll Quelle Ziel
 
         
 
>   AH (51)    
AH - Client an Server
  < AH (51)    
AH - Server an Client
>   ESP (50)    
ESP - Client an Server
  < ESP (50)    
ESP - Server an Client
>   UDP 500 500
NEW, ESTABLISHED
ISAKMP Anfrage
  < UDP 500 500
ESTABLISHED
ISAKMP Antwort


next up previous contents
Next: IRC - Internet Relay Up: Protokollbeschreibungen und Portlisten für Previous: IMAP - Internet Message   Contents
Ernst Pisch 2003-05-17