Schulisches/TI-Studium-Mitschriften
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
269b8a31baa183a41e0420e09ce0ff78004d6cbe
TI-Studium-Mitschriften/Semester 6/ITSARCH/Skript_Notizen/IPSEC.md
fzzinchemical 269b8a31ba update to local git repo
2025-07-02 13:08:03 +02:00

3.2 KiB
Raw Blame History

🔐 GRUNDLAGEN: IPsec (Internet Protocol Security)

  • IPsec ist ein protokollbasierter Sicherheitsstandard für IPv4 & IPv6.
  • Ziel: Integrität, Authentizität, Vertraulichkeit & Replay-Schutz auf IP-Ebene.
  • Arbeitet unterhalb der Transportschicht, daher transparent für Anwendungen.

📦 PROTOKOLL-FAMILIE

Protokoll Aufgabe
AH (Authentication Header) Authentifizierung + Integrität
ESP (Encapsulating Security Payload) Vertraulichkeit + optional Authentifizierung
IKE (Internet Key Exchange) Schlüsselaustausch & SA-Verwaltung

🔐 SICHERHEITSFUNKTIONEN

  • Integrität: mittels HMAC (z.B. SHA-1)
  • Authentizität: Absenderverifikation (HMAC)
  • Vertraulichkeit: symmetrische Verschlüsselung (AES etc.)
  • Anti-Replay (ARS): Sequenznummern + Fenster (z.B. 64 Pakete)

🔁 ESP-MODI

Modus Einsatz Was wird verschlüsselt
Transport-Mode Host-to-Host Nur Payload
Tunnel-Mode Gateway-to-Gateway / Host-to-Gateway gesamtes IP-Paket inkl. Header

🔍 AH vs. ESP

Merkmal AH ESP
Authentifiziert IP-Header
Verschlüsselung (optional)
Vertraulichkeit
NAT-Kompatibilität (Tunnel-Modus)

🧠 SECURITY ASSOCIATION (SA)

  • SA = IPsec-„Verbindung“ (einseitig)

  • Definiert:

    • Protokolle & Algorithmen (ESP/AH)
    • Schlüssel, IVs, SPI (Security Parameter Index)
    • Gültigkeit (zeitlich oder traffic-basiert)

  • Verwaltung:

    • SAD: Security Association Database
    • SPD: Security Policy Database (Policy-Entscheidung: BYPASS, PROTECT, DISCARD)

🧰 IKE INTERNET KEY EXCHANGE

Funktion

  • Schlüsselmanagement + SA-Aushandlung
  • Authentifizierung per:
    • Pre-Shared Key (PSK)
    • Zertifikat (X.509)

Aufbau

Phase Aufgabe Protokolle
Phase I Aufbau IKE-SA (sicherer Kanal) ISAKMP, OAKLEY
Phase II Aufbau IPsec-SA schnelles Schlüsselaushandeln
  • Unterstützt Main Mode, Aggressive Mode, Quick Mode
  • IKEv2: schneller, effizienter, sicherer (unterstützt EAP, MOBIKE, NAT-Traversal)

🔐 AUTHENTIFIZIERUNG

PSK

  • HMAC über:
    • PSK
    • Nonces
    • Diffie-Hellman-Werte
    • Identitäten

Zertifikate

  • Digitale Zertifikate (CA-signiert)
  • Prüfung via Signatur & Public Key

🌐 IPsec UND IPv6

  • AH/ESP sind integraler Bestandteil von IPv6 (Next Header 51 / 50)
  • Erweiterbar durch Extension Header
  • IPsec muss explizit aktiviert & konfiguriert werden
  • AH funktioniert nicht mit NAT, ESP im Tunnel-Modus schon

KLAUSURRELEVANTE KERNAUSSAGEN

  • IPsec ist unabhängig vom Transportprotokoll und arbeitet auf Netzwerkschicht (OSI Layer 3).
  • ESP schützt Payload, AH schützt auch IP-Header (teilweise).
  • IKEv2 wird bevorzugt eingesetzt (schneller, mobiler, sicherer).
  • Anti-Replay-Schutz ist standardmäßig aktiv (Sequenznummern + Fenster).
  • SPD regelt, ob IPsec angewendet wird; SAD enthält die Parameter dazu.
  • AH & ESP sind bei IPv6 verpflichtend, bei IPv4 optional.

Möchtest du daraus ein Quiz, eine Mindmap, oder Lernkarten zur Wiederholung haben? Sag einfach Bescheid!

Reference in New Issue View Git Blame Copy Permalink