update to local git repo

2025-07-02 13:08:03 +02:00
commit 269b8a31ba
136 changed files with 12257 additions and 0 deletions
--- a/6/ITSARCH/Skript_Notizen/IPSEC.md
+++ b/6/ITSARCH/Skript_Notizen/IPSEC.md
@@ -0,0 +1,86 @@
+## 🔐 GRUNDLAGEN: IPsec (Internet Protocol Security)
+- **IPsec** ist ein **protokollbasierter Sicherheitsstandard** für IPv4 & IPv6.
+- Ziel: **Integrität, Authentizität, Vertraulichkeit & Replay-Schutz** auf IP-Ebene.
+- Arbeitet **unterhalb der Transportschicht**, daher **transparent** für Anwendungen.
+---
+## 📦 PROTOKOLL-FAMILIE
+|Protokoll|Aufgabe|
+|---|---|
+|**AH** (Authentication Header)|Authentifizierung + Integrität|
+|**ESP** (Encapsulating Security Payload)|Vertraulichkeit + optional Authentifizierung|
+|**IKE** (Internet Key Exchange)|Schlüsselaustausch & SA-Verwaltung|
+---
+## 🔐 SICHERHEITSFUNKTIONEN
+- **Integrität**: mittels HMAC (z. B. SHA-1)
+- **Authentizität**: Absenderverifikation (HMAC)
+- **Vertraulichkeit**: symmetrische Verschlüsselung (AES etc.)
+- **Anti-Replay (ARS)**: Sequenznummern + Fenster (z. B. 64 Pakete)
+---
+## 🔁 ESP-MODI
+|Modus|Einsatz|Was wird verschlüsselt|
+|---|---|---|
+|**Transport-Mode**|Host-to-Host|Nur Payload|
+|**Tunnel-Mode**|Gateway-to-Gateway / Host-to-Gateway|gesamtes IP-Paket inkl. Header|
+---
+## 🔍 AH vs. ESP
+|Merkmal|AH|ESP|
+|---|---|---|
+|Authentifiziert IP-Header|✅|❌|
+|Verschlüsselung|❌|✅ (optional)|
+|Vertraulichkeit|❌|✅|
+|NAT-Kompatibilität|❌|✅ (Tunnel-Modus)|
+---
+## 🧠 SECURITY ASSOCIATION (SA)
+- **SA** = IPsec-„Verbindung“ (einseitig)
+- Definiert:
+    - Protokolle & Algorithmen (ESP/AH)
+    - Schlüssel, IVs, SPI (Security Parameter Index)
+    - Gültigkeit (zeitlich oder traffic-basiert)
+        
+- Verwaltung:
+    - **SAD**: Security Association Database
+    - **SPD**: Security Policy Database (Policy-Entscheidung: BYPASS, PROTECT, DISCARD)
+        
+---
+## 🧰 IKE – INTERNET KEY EXCHANGE
+### Funktion
+- Schlüsselmanagement + SA-Aushandlung
+- Authentifizierung per:
+    - **Pre-Shared Key (PSK)** 
+    - **Zertifikat (X.509)**
+        
+### Aufbau
+|Phase|Aufgabe|Protokolle|
+|---|---|---|
+|**Phase I**|Aufbau IKE-SA (sicherer Kanal)|ISAKMP, OAKLEY|
+|**Phase II**|Aufbau IPsec-SA|schnelles Schlüsselaushandeln|
+- Unterstützt **Main Mode**, **Aggressive Mode**, **Quick Mode**
+- IKEv2: schneller, effizienter, sicherer (unterstützt EAP, MOBIKE, NAT-Traversal)
+---
+## 🔐 AUTHENTIFIZIERUNG
+### PSK
+- HMAC über:
+    - PSK
+    - Nonces
+    - Diffie-Hellman-Werte
+    - Identitäten
+        
+### Zertifikate
+- Digitale Zertifikate (CA-signiert)
+- Prüfung via Signatur & Public Key
+---
+## 🌐 IPsec UND IPv6
+- AH/ESP sind **integraler Bestandteil** von IPv6 (Next Header 51 / 50)
+- Erweiterbar durch **Extension Header**
+- IPsec muss **explizit aktiviert & konfiguriert** werden
+- **AH funktioniert nicht mit NAT**, **ESP im Tunnel-Modus** schon
+---
+## ✅ KLAUSURRELEVANTE KERNAUSSAGEN
+- IPsec ist unabhängig vom Transportprotokoll und arbeitet auf **Netzwerkschicht (OSI Layer 3)**.
+- **ESP schützt Payload**, **AH schützt auch IP-Header (teilweise)**.
+- **IKEv2** wird bevorzugt eingesetzt (schneller, mobiler, sicherer).
+- **Anti-Replay-Schutz** ist standardmäßig aktiv (Sequenznummern + Fenster).
+- SPD regelt, **ob IPsec angewendet wird**; SAD enthält die Parameter dazu.
+- AH & ESP sind bei IPv6 **verpflichtend**, bei IPv4 **optional**.
+---
+Möchtest du daraus ein **Quiz**, eine **Mindmap**, oder **Lernkarten** zur Wiederholung haben? Sag einfach Bescheid!