## 🔐 GRUNDLAGEN: IPsec (Internet Protocol Security)
- **IPsec** ist ein **protokollbasierter Sicherheitsstandard** für IPv4 & IPv6.
- Ziel: **Integrität, Authentizität, Vertraulichkeit & Replay-Schutz** auf IP-Ebene.
- Arbeitet **unterhalb der Transportschicht**, daher **transparent** für Anwendungen.
---
## 📦 PROTOKOLL-FAMILIE
|Protokoll|Aufgabe|
|---|---|
|**AH** (Authentication Header)|Authentifizierung + Integrität|
|**ESP** (Encapsulating Security Payload)|Vertraulichkeit + optional Authentifizierung|
|**IKE** (Internet Key Exchange)|Schlüsselaustausch & SA-Verwaltung|
---
## 🔐 SICHERHEITSFUNKTIONEN
- **Integrität**: mittels HMAC (z. B. SHA-1)
- **Authentizität**: Absenderverifikation (HMAC)
- **Vertraulichkeit**: symmetrische Verschlüsselung (AES etc.)
- **Anti-Replay (ARS)**: Sequenznummern + Fenster (z. B. 64 Pakete)
---
## 🔁 ESP-MODI
|Modus|Einsatz|Was wird verschlüsselt|
|---|---|---|
|**Transport-Mode**|Host-to-Host|Nur Payload|
|**Tunnel-Mode**|Gateway-to-Gateway / Host-to-Gateway|gesamtes IP-Paket inkl. Header|
---
## 🔍 AH vs. ESP
|Merkmal|AH|ESP|
|---|---|---|
|Authentifiziert IP-Header|✅|❌|
|Verschlüsselung|❌|✅ (optional)|
|Vertraulichkeit|❌|✅|
|NAT-Kompatibilität|❌|✅ (Tunnel-Modus)|
---
## 🧠 SECURITY ASSOCIATION (SA)
- **SA** = IPsec-„Verbindung“ (einseitig)
- Definiert:
    - Protokolle & Algorithmen (ESP/AH)
    - Schlüssel, IVs, SPI (Security Parameter Index)
    - Gültigkeit (zeitlich oder traffic-basiert)
        
- Verwaltung:
    - **SAD**: Security Association Database
    - **SPD**: Security Policy Database (Policy-Entscheidung: BYPASS, PROTECT, DISCARD)
        
---
## 🧰 IKE – INTERNET KEY EXCHANGE
### Funktion
- Schlüsselmanagement + SA-Aushandlung
- Authentifizierung per:
    - **Pre-Shared Key (PSK)** 
    - **Zertifikat (X.509)**
        
### Aufbau
|Phase|Aufgabe|Protokolle|
|---|---|---|
|**Phase I**|Aufbau IKE-SA (sicherer Kanal)|ISAKMP, OAKLEY|
|**Phase II**|Aufbau IPsec-SA|schnelles Schlüsselaushandeln|
- Unterstützt **Main Mode**, **Aggressive Mode**, **Quick Mode**
- IKEv2: schneller, effizienter, sicherer (unterstützt EAP, MOBIKE, NAT-Traversal)
---
## 🔐 AUTHENTIFIZIERUNG
### PSK
- HMAC über:
    - PSK
    - Nonces
    - Diffie-Hellman-Werte
    - Identitäten
        
### Zertifikate
- Digitale Zertifikate (CA-signiert)
- Prüfung via Signatur & Public Key
---
## 🌐 IPsec UND IPv6
- AH/ESP sind **integraler Bestandteil** von IPv6 (Next Header 51 / 50)
- Erweiterbar durch **Extension Header**
- IPsec muss **explizit aktiviert & konfiguriert** werden
- **AH funktioniert nicht mit NAT**, **ESP im Tunnel-Modus** schon
---
## ✅ KLAUSURRELEVANTE KERNAUSSAGEN
- IPsec ist unabhängig vom Transportprotokoll und arbeitet auf **Netzwerkschicht (OSI Layer 3)**.
- **ESP schützt Payload**, **AH schützt auch IP-Header (teilweise)**.
- **IKEv2** wird bevorzugt eingesetzt (schneller, mobiler, sicherer).
- **Anti-Replay-Schutz** ist standardmäßig aktiv (Sequenznummern + Fenster).
- SPD regelt, **ob IPsec angewendet wird**; SAD enthält die Parameter dazu.
- AH & ESP sind bei IPv6 **verpflichtend**, bei IPv4 **optional**.