84 lines
3.1 KiB
Markdown
84 lines
3.1 KiB
Markdown
## 🔐 GRUNDLAGEN: IPsec (Internet Protocol Security)
|
||
- **IPsec** ist ein **protokollbasierter Sicherheitsstandard** für IPv4 & IPv6.
|
||
- Ziel: **Integrität, Authentizität, Vertraulichkeit & Replay-Schutz** auf IP-Ebene.
|
||
- Arbeitet **unterhalb der Transportschicht**, daher **transparent** für Anwendungen.
|
||
---
|
||
## 📦 PROTOKOLL-FAMILIE
|
||
|Protokoll|Aufgabe|
|
||
|---|---|
|
||
|**AH** (Authentication Header)|Authentifizierung + Integrität|
|
||
|**ESP** (Encapsulating Security Payload)|Vertraulichkeit + optional Authentifizierung|
|
||
|**IKE** (Internet Key Exchange)|Schlüsselaustausch & SA-Verwaltung|
|
||
---
|
||
## 🔐 SICHERHEITSFUNKTIONEN
|
||
- **Integrität**: mittels HMAC (z. B. SHA-1)
|
||
- **Authentizität**: Absenderverifikation (HMAC)
|
||
- **Vertraulichkeit**: symmetrische Verschlüsselung (AES etc.)
|
||
- **Anti-Replay (ARS)**: Sequenznummern + Fenster (z. B. 64 Pakete)
|
||
---
|
||
## 🔁 ESP-MODI
|
||
|Modus|Einsatz|Was wird verschlüsselt|
|
||
|---|---|---|
|
||
|**Transport-Mode**|Host-to-Host|Nur Payload|
|
||
|**Tunnel-Mode**|Gateway-to-Gateway / Host-to-Gateway|gesamtes IP-Paket inkl. Header|
|
||
---
|
||
## 🔍 AH vs. ESP
|
||
|Merkmal|AH|ESP|
|
||
|---|---|---|
|
||
|Authentifiziert IP-Header|✅|❌|
|
||
|Verschlüsselung|❌|✅ (optional)|
|
||
|Vertraulichkeit|❌|✅|
|
||
|NAT-Kompatibilität|❌|✅ (Tunnel-Modus)|
|
||
---
|
||
## 🧠 SECURITY ASSOCIATION (SA)
|
||
- **SA** = IPsec-„Verbindung“ (einseitig)
|
||
- Definiert:
|
||
- Protokolle & Algorithmen (ESP/AH)
|
||
- Schlüssel, IVs, SPI (Security Parameter Index)
|
||
- Gültigkeit (zeitlich oder traffic-basiert)
|
||
|
||
- Verwaltung:
|
||
- **SAD**: Security Association Database
|
||
- **SPD**: Security Policy Database (Policy-Entscheidung: BYPASS, PROTECT, DISCARD)
|
||
|
||
---
|
||
## 🧰 IKE – INTERNET KEY EXCHANGE
|
||
### Funktion
|
||
- Schlüsselmanagement + SA-Aushandlung
|
||
- Authentifizierung per:
|
||
- **Pre-Shared Key (PSK)**
|
||
- **Zertifikat (X.509)**
|
||
|
||
### Aufbau
|
||
|Phase|Aufgabe|Protokolle|
|
||
|---|---|---|
|
||
|**Phase I**|Aufbau IKE-SA (sicherer Kanal)|ISAKMP, OAKLEY|
|
||
|**Phase II**|Aufbau IPsec-SA|schnelles Schlüsselaushandeln|
|
||
- Unterstützt **Main Mode**, **Aggressive Mode**, **Quick Mode**
|
||
- IKEv2: schneller, effizienter, sicherer (unterstützt EAP, MOBIKE, NAT-Traversal)
|
||
---
|
||
## 🔐 AUTHENTIFIZIERUNG
|
||
### PSK
|
||
- HMAC über:
|
||
- PSK
|
||
- Nonces
|
||
- Diffie-Hellman-Werte
|
||
- Identitäten
|
||
|
||
### Zertifikate
|
||
- Digitale Zertifikate (CA-signiert)
|
||
- Prüfung via Signatur & Public Key
|
||
---
|
||
## 🌐 IPsec UND IPv6
|
||
- AH/ESP sind **integraler Bestandteil** von IPv6 (Next Header 51 / 50)
|
||
- Erweiterbar durch **Extension Header**
|
||
- IPsec muss **explizit aktiviert & konfiguriert** werden
|
||
- **AH funktioniert nicht mit NAT**, **ESP im Tunnel-Modus** schon
|
||
---
|
||
## ✅ KLAUSURRELEVANTE KERNAUSSAGEN
|
||
- IPsec ist unabhängig vom Transportprotokoll und arbeitet auf **Netzwerkschicht (OSI Layer 3)**.
|
||
- **ESP schützt Payload**, **AH schützt auch IP-Header (teilweise)**.
|
||
- **IKEv2** wird bevorzugt eingesetzt (schneller, mobiler, sicherer).
|
||
- **Anti-Replay-Schutz** ist standardmäßig aktiv (Sequenznummern + Fenster).
|
||
- SPD regelt, **ob IPsec angewendet wird**; SAD enthält die Parameter dazu.
|
||
- AH & ESP sind bei IPv6 **verpflichtend**, bei IPv4 **optional**. |