Einführung in IPsec

IPsec schützt IP-Pakete, indem es Pakete authentifiziert, Pakete verschlüsselt oder beides ausführt. IPsec wird innerhalb des IP-Moduls unterhalb der Anwendungsschicht ausgeführt. Aus diesem Grund kann eine Internet-Anwendung die Vorteile von IPsec nutzen, ohne dass sie zur Verwendung von IPsec konfiguriert werden muss. Wenn es richtig eingesetzt wird, ist IPsec ein wirksames Tool bei der Sicherung des Netzwerkverkehrs.

Der IPsec-Schutz umfasst fünf Hauptkomponenten:

• Sicherheitsprotokolle – Die Schutzmechanismen für IP-Datagramme. Der Authentication Header (AH) signiert IP-Pakete und stellt so Integrität sicher. Der Inhalt des Datagramms wird nicht verschlüsselt, aber der Empfänger kann sicher sein, dass der Paketinhalt nicht geändert wurde. Darüber hinaus wird dem Empfänger versichert, dass die Pakete vom Absender gesendet wurden. Die Encapsulating Security Payload (ESP) verschlüsselt IP-Daten und verbirgt so den Inhalt während der Paketübertragung. ESP kann darüber hinaus die Datenintegrität über eine Authentifizierungs-Algorithmusoption sicherstellen.

• Sicherheitszuordnung-Datenbank (SADB) – Die Datenbank, die ein Sicherheitsprotokoll mit einer IP-Zieladresse und eine Indexnummer verbindet. Die Indexnummer wird als Security Parameter Index (SPI) bezeichnet. Diese drei Elemente (das Sicherheitsprotokoll, die Zieladresse und die SPI) kennzeichnen ein legitimes IPsec-Paket eindeutig. Die Datenbank stellt sicher, dass ein geschütztes Paket, das am Ziel eintrifft, auch vom Empfänger erkannt wird. Der Empfänger verwendet die Informationen aus der Datenbank, um den Datenverkehr zu entschlüsseln, um sicherzustellen, dass die Pakete nicht geändert wurden, um die sie wieder zusammenzusetzen und an das endgültige Ziel weiterzuleiten.

• Schlüsselmanagement – Das Erzeugen und Verteilen der Schlüssel für die kryptografischen Algorithmen und für die SPI.

• Sicherheitsmechanismen – Die Authentifizierungs- und Verschlüsselungsalgorithmen, mit denen die Daten in den IP-Datagrammen geschützt werden.

• Security Policy-Datenbank (SPD) – Die Datenbank, in der die Schutzebene angegeben ist, die für ein bestimmtes Datenpaket gilt. Die SPD filtert IP-Datenverkehr und stellt auf diese Weise fest, wie die Pakete verarbeitet werden müssen. Ein Paket kann vergeworfen werden. Ein Paket kann unverschlüsselt weitergeleitet werden. Ein Paket kann mit IPsec geschützt werden. Bei abgehenden Paketen stellen SPD und SADB fest, welche Schutzebene angewendet werden soll. Bei eingehenden Paketen hilft die SPD festzustellen, ob die Schutzebene des Pakets akzeptabel ist. Wurde das Paket durch IPsec geschützt, wird die SPD abgefragt, nachdem das Paket entschlüsselt und geprüft wurde.

Beim Einsatz von IPsec werden die Sicherheitsmechanismen auf IP-Datagramme angewendet, die zur IP-Zieladresse gesendet werden. Der Empfänger nutzt die Informationen in seiner SADB, um die Legitimität ankommender Pakete sicherzustellen und sie zu entschlüsseln. Anwendungen können IPsec aufrufen, um ebenfalls Sicherheitsmechanismen an IP-Datagrammen auf Socket-Ebene anzuwenden.

Beachten Sie, dass sich Sockets je nach Port unterschiedlich verhalten:

• Für einen einzelnen Socket geltende SAs setzen ihren entsprechenden Port-Eingang in der SPD außer Kraft.

• Darüber hinaus gilt, ist ein Socket an einen Port angeschlossen und wird die IPsec-Richtlinie wird erst später an diesem Port angewendet, so wird der Datenverkehr, der diesen Socket verwendet, nicht durch IPsec geschützt.

  Natürlich wird ein Socket, der auf einem Port geöffnet wird, nachdem die IPsec-Richtlinie an diesem Port angewendet wurde, durch IPsec geschützt.

IPsec RFCs

Die Internet Engineering Task Force (IETF) hat eine Reihe von Requests for Comment (RFCs) veröffentlichen, in denen die Sicherheitsarchitektur für die IP-Schicht beschrieben wird. Das Copyright für diese RFCs liegt bei der Internet Society. Einen Link zu den RFCs finden Sie unter http://www.ietf.org/. Die folgende Liste der RFCs deckt die allgemeinen IP-Sicherheitsreferenzen ab:

• RFC 2411, „IP Security Document Roadmap,“ November 1998

• RFC 2401, „Security Architecture for the Internet Protocol,“ November 1998

• RFC 2402, „IP Authentication Header,“ November 1998

• RFC 2406, „IP Encapsulating Security Payload (ESP),“ November 1998

• RFC 2408, „Internet Security Association and Key Management Protocol (ISAKMP),“ November 1998

• RFC 2407, „The Internet IP Security Domain of Interpretation for ISAKMP,“ November 1998

• RFC 2409, „The Internet Key Exchange (IKE),“ November 1998

• RFC 3554, „On the Use of Stream Control Transmission Protocol (SCTP) with IPsec,“ Juli 2003 [in der Solaris 10-Release nicht implementiert]

IPsec-Terminologie

Die IPsec RFCs definieren zahlreiche Begriffe, mit denen Sie vertraut sein sollten, wenn Sie IPsec auf Ihren Systemen umsetzen möchten. In der folgenden Tabelle sind IPsec-Begriffe, ihre am häufigsten verwendeten Akronymen sowie Definitionen aufgeführt. Eine Liste der bei der Schlüsselaushandlung verwendeten Terminologie finden Sie in Tabelle 22–1.

Tabelle 19–1 IPsec-Begriffe, Akronymen und Definitionen

IPsec-Begriff	Acronym	Definition
Sicherheitszuordnung	SA	Eine einmalige Verbindung zwischen zwei Knoten in einem Netzwerk. Die Verbindung wird durch ein Triplet definiert: ein Sicherheitsprotokoll, ein Sicherheits-Parameterindex und ein ID-Ziel. Das IP-Ziel kann eine IP-Adresse oder ein Socket sein.
Sicherheitszuordnung- Datenbank	SADB	Eine Datenbank, in der alle aktiven Sicherheitszuordnungen enthalten sind.
Security Parameter Index	SPI	Der Indexwert für eine Sicherheitszuordnung. Ein SPI ist ein 32-Bit-Wert, der zwischen SAs unterscheidet, die das gleiche IP-Ziel und Sicherheitsprotokoll aufweisen.
Security Policy-Datenbank	SPD	Eine Datenbank, die feststellt, ob abgehende und eingehende Pakete die angegebene Schutzebene aufweisen.
Key Exchange		Der Prozess zum Erzeugen von Schlüsseln für asymmetrische kryptografische Algorithmen. Die zwei wichtigsten Methoden sind die RSA-Protokolle und das Diffie-Hellman-Protokoll.
Diffie-Hellman- Protokoll	DH	Ein Key Exchange-Protokoll zur Erzeugung und Authentifizierung von Schlüsseln. Wird häufig auch als authentifizierter Schlüsselaustausch bezeichnet.
RSA-Protokoll	RSA	Ein Key Exchange-Protokoll zur Erzeugung und Verteilung von Schlüsseln. Das Protokoll ist nach seinen drei Autoren Rivest, Shamir und Adleman benannt.
Internet- Sicherheitszuordnung und Schlüsselmanagement- protokoll	ISAKMP	Eine allgemeine Grundstruktur zum Einrichten des Formats für SA-Attribute sowie zum Aushandeln, Bearbeiten und Löschen von SAs. ISAKMP ist der IETF-Standard für die Verarbeitung von IPsec-SAs.