Um IPsec nutzen zu können, muss, nachdem wie in About Security #94 beschrieben mit IKEv2 eine Sicherheitsassoziation ausgehandelt wurde, ggf. die Security Policy Database (SPD) angepasst werden. Dies ist (wie in About Security #92 erwähnt) nicht die Aufgabe von IKE, sondern eigener Protokolle. IKE-Implementierungen können es jedoch trotzdem übernehmen. Die in den Traffic Selectors übertragenen Informationen können dann zur Aktualisierung der SPD verwendet werden, ansonsten erlauben sie die Kontrolle der Übereinstimmung der SPD-Einträge. Im Folgenden wird davon ausgegangen, dass die in der SPD gespeicherten Security Policies korrekt sind. Ob mit oder ohne Anpassung ist dabei unerheblich. Damit können alle in Zukunft übertragenen Pakete bei Bedarf durch IPsec-Protokolle geschützt werden.
Da zwei Gateways miteinander verbunden sind, wird IPsec im Tunnelmodus betrieben. Die Kommunikationspartner prüfen bei jedem ein- und ausgehenden Paket anhand von Quell- und Zieladresse und Protokoll, wie mit dem Paket zu verfahren ist. Enthält der zuständige SPD-Eintrag die Anweisung 'PROTECT' wird das Paket entsprechend der zugehörigen SA behandelt.
ESP im Tunnelmodus
Zuerst soll der Einsatz des Encapsulating Security Payload (ESP) Protokolls im Tunnelmodus betrachtet werden: Die angenommene SA legt dann fest, dass für die betreffenden Pakete das IPsec-Protokoll ESP verwendet werden soll. Als Krypto-Algorithmen soll AES-128 für die Verschlüsselung und SHA1 für die Authentifizierung verwendet werden. Die ebenfalls in der SA gespeicherten Schlüssel dafür wurden aus den mit IKEv2 ausgetauschten öffentlichen Diffie-Hellman- und Zufallswerten berechnet. Damit ergeben sich für die unter dieser SA zu übertragenen Pakete folgende Anpassungen:
Ursprüngliches IPv4-Paket:
| Version (4 Bit) |
Headerlänge (4 Bit) |
Servicetype (8 Bit) |
Gesamtlänge in Bytes (16 Bit) |
||
| Identifikation (16 Bit) |
Flags (3 Bit) |
Fragment-Offset (13 Bit) |
|||
| Time to Live (8 Bit) |
Protokoll (8 Bit) |
Header-Prüfsumme (16 Bit) |
|||
| Quell-IP-Adresse (32 Bit) |
|||||
| Ziel-IP-Adresse (32 Bit) |
|||||
| IP-Optionen und Füllzeichen (insgesamt 32 Bit) |
|||||
Daten: TCP-Header + TCP-Payload |
|||||
IPv4-Paket mit ESP im Tunnelmodus:
| Version (4 Bit) |
Headerlänge (4 Bit) |
Servicetype (8 Bit) |
Gesamtlänge in Bytes (16 Bit) |
|||||||||||||||||||||||||||||
| Identifikation (16 Bit) |
Flags (3 Bit) |
Fragment-Offset (13 Bit) |
||||||||||||||||||||||||||||||
| Time to Live (8 Bit) |
Next Header = ESP (*) (8 Bit) |
Header-Prüfsumme (16 Bit) |
||||||||||||||||||||||||||||||
| Quell-IP-Adresse (32 Bit) |
||||||||||||||||||||||||||||||||
| Ziel-IP-Adresse (32 Bit) |
||||||||||||||||||||||||||||||||
| IP-Optionen und Füllzeichen (insgesamt 32 Bit) |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
Im Protokollfeld des neuen IP-Headers wird als 'Next Header' ESP eingetragen und damit auf das transportierte ESP-Paket (grau markiert) verwiesen (siehe die (*)-Markierungen). Der ursprüngliche IP-Header sowie TCP-Header und -Payload werden mit AES-128 verschlüsselt in den Datenbereich des ESP-Pakets kopiert. Im 'Next Header'-Feld des ESP-Headers wird IP eingetragen und damit auf das in ESP transportierte IP-Paket verwiesen (siehe die (**)-Markierungen).
Schutzmaßnahmen: Der ursprüngliche IP-Header, TCP-Header und -Payload, Padding, 'Padding Length'- und 'Next Header'-Feld werden mit AES-128 verschlüsselt (blau markiert), die verschlüsselten Daten sowie das SPI- und Sequenznummer-Feld danach durch mit SHA1 berechnete Authentifizierungsdaten vor unerkannten Änderungen geschützt (gelb markiert).
AH im Tunnelmodus
Statt ESP soll nur AH mit SHA1 als Authentifizierungsalgorithmus verwendet werden, da eine Verschlüsselung nicht notwendig ist:
IPv4-Paket mit AH im Tunnelmodus:
| Version (4 Bit) |
Headerlänge (4 Bit) | Servicetype (8 Bit) |
Gesamtlänge in Bytes (16 Bit) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Identifikation (16 Bit) |
Flags (3 Bit) |
Fragment-Offset (13 Bit) |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Time to Live (8 Bit) |
Protokoll = AH (8 Bit) |
Header-Prüfsumme
(16 Bit) |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Quell-IP-Adresse (32 Bit) |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Ziel-IP-Adresse (32 Bit) |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| IP-Optionen und Füllzeichen (insgesamt 32 Bit) |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Im Protokollfeld des neuen IP-Headers wird als Protokoll AH eingetragen und damit auf das transportierte AH-Paket (grau markiert) verwiesen. Der ursprüngliche IP-Header sowie TCP-Header und -Payload werden unverändert in den Datenbereich des AH-Pakets kopiert. Im 'Next Header'-Feld des AH-Headers wird IP eingetragen und damit auf das im AH-Paket transportierte IP-Paket verwiesen.
Schutzmaßnahmen: Alle außer den weiß markierten Feldern werden durch mit SHA1 berechnete Authentifizierungsdaten vor unerkannten Änderungen geschützt (gelb markiert).
Transport- statt Tunnelmodus
Wird IPsec statt im Tunnel- im Transportmodus betrieben, z.B. weil es sich um ein Host-to-Host-VPN handelt, entfallen die ursprünglichen IP-Header im ESP- bzw. AH-Paket und in den 'Next Header'-Feldern wird statt auf den IP- auf den TCP-Header verwiesen.
In der nächsten Folge wird ein weiteres VPN-Protokoll vorgestellt: PPTP, das 'Point-to-Point Tunneling Protocol'.
Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!
About Security - Übersicht zum aktuellen Thema "VPN - Virtuelle Private Netze"
- About Security #88: Virtuelle Private Netze - Grundlagen
- About Security #89: Virtuelle Private Netze - IPsec (1)
- About Security #90: Virtuelle Private Netze - IPsec (2)
- About Security #91: Virtuelle Private Netze - IKEv2 (1)
- About Security #92: Virtuelle Private Netze - IKEv2 (2)
- About Security #93: Virtuelle Private Netze - IKEv2 (3)
- About Security #94: Virtuelle Private Netze - Beispiel IKEv2
- About Security #95: Virtuelle Private Netze - IPsec anschaulich
- About Security #96: Virtuelle Private Netze – PPTP
- About Security #97: Virtuelle Private Netze – TLS
- About Security #98: Virtuelle Private Netze – OpenVPN
- About Security #99: Virtuelle Private Netze – Fazit
Kommentare