Schulisches/TI-Studium-Mitschriften
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
TI-Studium-Mitschriften/Semester 6/ITSARCH/Skript_Notizen/IPSEC.md
fzzinchemical c0ae83595f vault backup: 2025-07-02 14:34:34
2025-07-02 14:34:34 +02:00

84 lines
3.1 KiB
Markdown
Raw Permalink Blame History

This file contains invisible Unicode characters
This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
## 🔐 GRUNDLAGEN: IPsec (Internet Protocol Security)
- **IPsec** ist ein **protokollbasierter Sicherheitsstandard** für IPv4 & IPv6.
- Ziel: **Integrität, Authentizität, Vertraulichkeit & Replay-Schutz** auf IP-Ebene.
- Arbeitet **unterhalb der Transportschicht**, daher **transparent** für Anwendungen.
---
## 📦 PROTOKOLL-FAMILIE
|Protokoll|Aufgabe|
|---|---|
|**AH** (Authentication Header)|Authentifizierung + Integrität|
|**ESP** (Encapsulating Security Payload)|Vertraulichkeit + optional Authentifizierung|
|**IKE** (Internet Key Exchange)|Schlüsselaustausch & SA-Verwaltung|
---
## 🔐 SICHERHEITSFUNKTIONEN
- **Integrität**: mittels HMAC (z.B. SHA-1)
- **Authentizität**: Absenderverifikation (HMAC)
- **Vertraulichkeit**: symmetrische Verschlüsselung (AES etc.)
- **Anti-Replay (ARS)**: Sequenznummern + Fenster (z.B. 64 Pakete)
---
## 🔁 ESP-MODI
|Modus|Einsatz|Was wird verschlüsselt|
|---|---|---|
|**Transport-Mode**|Host-to-Host|Nur Payload|
|**Tunnel-Mode**|Gateway-to-Gateway / Host-to-Gateway|gesamtes IP-Paket inkl. Header|
---
## 🔍 AH vs. ESP
|Merkmal|AH|ESP|
|---|---|---|
|Authentifiziert IP-Header|✅|❌|
|Verschlüsselung|❌|✅ (optional)|
|Vertraulichkeit|❌|✅|
|NAT-Kompatibilität|❌|✅ (Tunnel-Modus)|
---
## 🧠 SECURITY ASSOCIATION (SA)
- **SA** = IPsec-„Verbindung“ (einseitig)
- Definiert:
- Protokolle & Algorithmen (ESP/AH)
- Schlüssel, IVs, SPI (Security Parameter Index)
- Gültigkeit (zeitlich oder traffic-basiert)
- Verwaltung:
- **SAD**: Security Association Database
- **SPD**: Security Policy Database (Policy-Entscheidung: BYPASS, PROTECT, DISCARD)
---
## 🧰 IKE INTERNET KEY EXCHANGE
### Funktion
- Schlüsselmanagement + SA-Aushandlung
- Authentifizierung per:
- **Pre-Shared Key (PSK)**
- **Zertifikat (X.509)**
### Aufbau
|Phase|Aufgabe|Protokolle|
|---|---|---|
|**Phase I**|Aufbau IKE-SA (sicherer Kanal)|ISAKMP, OAKLEY|
|**Phase II**|Aufbau IPsec-SA|schnelles Schlüsselaushandeln|
- Unterstützt **Main Mode**, **Aggressive Mode**, **Quick Mode**
- IKEv2: schneller, effizienter, sicherer (unterstützt EAP, MOBIKE, NAT-Traversal)
---
## 🔐 AUTHENTIFIZIERUNG
### PSK
- HMAC über:
- PSK
- Nonces
- Diffie-Hellman-Werte
- Identitäten
### Zertifikate
- Digitale Zertifikate (CA-signiert)
- Prüfung via Signatur & Public Key
---
## 🌐 IPsec UND IPv6
- AH/ESP sind **integraler Bestandteil** von IPv6 (Next Header 51 / 50)
- Erweiterbar durch **Extension Header**
- IPsec muss **explizit aktiviert & konfiguriert** werden
- **AH funktioniert nicht mit NAT**, **ESP im Tunnel-Modus** schon
---
## ✅ KLAUSURRELEVANTE KERNAUSSAGEN
- IPsec ist unabhängig vom Transportprotokoll und arbeitet auf **Netzwerkschicht (OSI Layer 3)**.
- **ESP schützt Payload**, **AH schützt auch IP-Header (teilweise)**.
- **IKEv2** wird bevorzugt eingesetzt (schneller, mobiler, sicherer).
- **Anti-Replay-Schutz** ist standardmäßig aktiv (Sequenznummern + Fenster).
- SPD regelt, **ob IPsec angewendet wird**; SAD enthält die Parameter dazu.
- AH & ESP sind bei IPv6 **verpflichtend**, bei IPv4 **optional**.
Reference in New Issue View Git Blame Copy Permalink