Was ist IPsec?
Bei IPsec handelt es sich um eine Erweiterung des Internet-Protokolls (IP), das als Alternative zu OpenVPN eingesetzt wird. IPsec bereichert das Internet-Protokoll mit leistungsstarken Authentifizierungs- und Kryptographie-Mechanismen, wodurch das IP die Fähigkeit erhält, IP-Pakete verschlüsselt über öffentliche und unsichere Netzwerke zu transportieren. IPsec wurde ursprünglich von der Internet Engineering Task Force (IETF) ausschließlich für IPv6 (Internet-Protokoll Version 6) spezifiziert. Weil das IPv4 über keine Sicherheitsmechanismen verfügte, wurde IPsec nachträglich auch für das IPv4 entwickelt.
Allgemeine Informationen zu IPsec
IPsec wird grundsätzlich bei Gateway-zu-Gateway-Szenarien eingesetzt, also bei der Verbindung zwischen zwei Netzen über ein drittes, ungesichertes Netzwerk. Ebenso gut lässt sich IP-Security auch im Rahmen eines Host-zu-Gateway-Szenarios einsetzen, wobei die hohe Komplexität von IPsec und einige andere Aspekte von TCP/IP an dieser Stelle in manchen Fällen Probleme bereiten können. Eher untypisch ist der Einsatz von IP-Security bei Host-zu-Host-Szenarien, ist aber ebenso möglich. Typische Einsatzszenarien im Überblick:
– Site-to-Site-VPN / Gateway-to-Gateway-VPN
– End-to-Site-VPN / Host-to-Gateway-VPN
– End-to-End-VPN / Remote-Desktop-VPN / Peer-to-Peer-VPN
IP-Security zeichnet sich durch den Nachteil aus, dass es nur in der Lage ist, IP-Funktionalitäten für die Konfiguration von IP-Adressen, Subnetzmasken und DNS-Server nicht vorhanden sind. Aus diesem Grund ist es sinnvoll, für die Realisierung eines VPN-Tunnels außer IPsec auch andere Lösungen, wie beispielsweise SSL-VPN, zu verwenden. IP-Security setzt sich aus folgenden Bestandteilen zusammen:
– Interoperabilität
– Schutz übertragener Daten
– Datenintegrität
– Verschlüsselung
– Bestätigung und Verwaltung kryptografischer Schlüssel
– Authentifizierung des Absenders
Vertrauensstellungen / Security Association
Der Hauptbestandteil von IP-Security sind die Vertrauensstellungen (Security Association), die zwischen zwei Kommunikationspartnern realisiert werden. Eine Vertrauensstellung muss nicht unbedingt an den teilnehmenden Clients implementiert werden. In vielen Fällen reicht es auch aus, wenn beispielsweise bei der Kopplung zweier Netzwerke die beiden Netzwerk-Router mit einer Vertrauensstellung versehen sind. In einer Verbindung können selbstverständlich auch mehrere Vertrauensstellungen vorhanden sein. Durch die Vertrauensstellung werden alle Aspekte der Kommunikation von IPsec geregelt. Da sich die Vertrauensstellungen äußerst flexibel konfigurieren lassen, erfordern diese einen sehr hohen Konfigurationsaufwand.
Um eine gesicherte Verbindung zwischen zwei Entitäten herstellen zu können, müssen zunächst auf beiden Seiten einige wichtige Parameter ausgetauscht werden. Hierzu gehören:
– der Schlüssel
– der eingesetzte Verschlüsselungsalgorithmus (MD5, 3DS, AES)
– die Gültigkeitsdauer der jeweiligen Schlüssel
– Art der gesicherten Verbindung (Verschlüsselung oder Authentifizierung)
Eine Vertrauensstellung wird durch den Austausch von vorab definierten Schlüsseln hergestellt. Eine andere Form der Vertrauensstellung ist die Vergabe von Sicherheits-Zertifikaten durch eine zentrale Trust-Entität oder einen dedizierten Zertifikat-Server. Durch den Einsatz von Schlüsseln und Zertifikaten soll sichergestellt werden, dass man auch derjenige ist, für wen man sich ausgibt. Dieses Verfahren wird mit dem Begriff Authentifizierung bezeichnet und komme im Rahmen aller modernen Verschlüsselungs-Mechanismen zum Einsatz. Schlüssel und Zertifikate lassen sich mit einem Personalausweis vergleichen, mit dem man gegenüber anderen Personen seine Identität bestätigt.
Verschlüsselung und Tunneling bei IPsec
Die wichtigsten Funktionen, die eine IPsec-Architektur bereitstellt, sind das ESP-Protokoll (Encapsulating Security Payload), das AH-Protokoll (Authentification Header) sowie die Schlüsselverwaltung (Key Management). Integrität, Authentizität und Vertraulichkeit werden im Rahmen von IP-Security durch ESP und AH umgesetzt. Die beiden Protokolle ESP und AH können entweder gemeinsam als auch eigenständig im Rahmen einer IPsec-Infrastruktur eingesetzt werden. Beide Verfahren gewährleisten eine gesicherte Übertragung der Daten. Das AG-Verfahren wird bei der Authentifizierung der übertragenen Daten eingesetzt, während ESP die Datensicherheit in Bezug auf den gewählten Verschlüsselungsalgorithmus erhöht. Bei IPsec werden keine bestimmten Authentifizierungs- und Verschlüsselungsverfahren vorausgesetzt. Aus diesem Grund kommt es häufig zu Problemen, wenn unterschiedliche VPN-Lösungen zusammenarbeiten müssen.
Die Verwaltung von Schlüsseln
Es gibt zwei Möglichkeiten, Schlüssel innerhalb eines VPNs zu verwalten und zu verteilen. Neben der manuellen Schlüsselverwaltung, können auch automatisierte Lösungen eingesetzt werden, wie beispielsweise das Internet Key Exchange Protocol (IKE). Bevor die netzwerkübergreifende Kommunikation geschützt werden kann, müssen sich die Kommunikationspartner auf den Schlüssel und Verschlüsselungsverfahren einigen. Diese äußerst wichtigen Parameter sind Bestandteile der Vertrauensstellungen und werden von dem IKE automatisch verwaltet und ausgehandelt.
Das Internet Key Exchange Protocol wird für die automatische Verwaltung von Schlüsseln innerhalb einer IPsec-Infrastruktur verwendet. Es basiert auf dem Diffie-Hellman-Verfahren zur sicheren Erzeugung von kryptografischen Schlüsseln über ein ungesichertes Netzwerk. IKE nutzt außerdem das Internet Security Association and Key Management Protocol, welches das Verhalten aller beteiligten Kommunikationspartner genau festlegt.
Probleme mit Network Adress Translation (NAT)
Der automatische Schlüsselaustausch mit IKE kann an den beteiligten NAT-Routern scheitern. Wenn Netzwerkgeräte in lokalen Netzwerken mit privaten IP-Adressen versehen sind und über NAT-Router in das Internet gehen, dann kann IPsec in Kombination mit NAT Probleme verursachen. Durch NAT wird ein IPsec-Paket mit einer neuen IP-Adresse versehen und einem anderen Quell-Port. Das Problem dabei spiegelt sich in der Tatsache wider, dass wenn, ein IPsec-Paket verändert wird, dann wird es automatisch ungültig. Durch diese Änderung kann die Integrität des Pakets nicht mehr gewährleistet werden, sodass es verworfen wird. Die direkte Folge ist, dass sich so keine Verbindung aufbauen lässt. Ein weiteres Problem ist, dass die Ausgangs-IP-Adresse und TCP-Ports durch den Einsatz von IPsec verschlüsselt sind, sodass sie der NAT-Router nicht auslesen kann. Um solche Probleme zu verhindern, sind aktuelle Router-Modelle mit dem sogenannten „IPsec-Passthrough-Verfahren“ ausgestattet, bei dem die Ausgangs-Ports nicht verändert werden.
- Was ist SIEM? - 25. Oktober 2022
- Was ist Unified Endpoint Management und wozu dient es? - 11. September 2022
- Was ist DHCP? - 24. November 2021