Schulisches/TI-Studium-Mitschriften
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
c19b789249702b17444355c98349ca638e069a40
TI-Studium-Mitschriften/Semester 6/ITSARCH/Skript_Notizen/IPSEC.md
fzzinchemical c0ae83595f vault backup: 2025-07-02 14:34:34
2025-07-02 14:34:34 +02:00

3.1 KiB
Raw Blame History

🔐 GRUNDLAGEN: IPsec (Internet Protocol Security)

  • IPsec ist ein protokollbasierter Sicherheitsstandard für IPv4 & IPv6.
  • Ziel: Integrität, Authentizität, Vertraulichkeit & Replay-Schutz auf IP-Ebene.
  • Arbeitet unterhalb der Transportschicht, daher transparent für Anwendungen.

📦 PROTOKOLL-FAMILIE

Protokoll Aufgabe
AH (Authentication Header) Authentifizierung + Integrität
ESP (Encapsulating Security Payload) Vertraulichkeit + optional Authentifizierung
IKE (Internet Key Exchange) Schlüsselaustausch & SA-Verwaltung

🔐 SICHERHEITSFUNKTIONEN

  • Integrität: mittels HMAC (z.B. SHA-1)
  • Authentizität: Absenderverifikation (HMAC)
  • Vertraulichkeit: symmetrische Verschlüsselung (AES etc.)
  • Anti-Replay (ARS): Sequenznummern + Fenster (z.B. 64 Pakete)

🔁 ESP-MODI

Modus Einsatz Was wird verschlüsselt
Transport-Mode Host-to-Host Nur Payload
Tunnel-Mode Gateway-to-Gateway / Host-to-Gateway gesamtes IP-Paket inkl. Header

🔍 AH vs. ESP

Merkmal AH ESP
Authentifiziert IP-Header
Verschlüsselung (optional)
Vertraulichkeit
NAT-Kompatibilität (Tunnel-Modus)

🧠 SECURITY ASSOCIATION (SA)

  • SA = IPsec-„Verbindung“ (einseitig)

  • Definiert:

    • Protokolle & Algorithmen (ESP/AH)
    • Schlüssel, IVs, SPI (Security Parameter Index)
    • Gültigkeit (zeitlich oder traffic-basiert)

  • Verwaltung:

    • SAD: Security Association Database
    • SPD: Security Policy Database (Policy-Entscheidung: BYPASS, PROTECT, DISCARD)

🧰 IKE INTERNET KEY EXCHANGE

Funktion

  • Schlüsselmanagement + SA-Aushandlung
  • Authentifizierung per:
    • Pre-Shared Key (PSK)
    • Zertifikat (X.509)

Aufbau

Phase Aufgabe Protokolle
Phase I Aufbau IKE-SA (sicherer Kanal) ISAKMP, OAKLEY
Phase II Aufbau IPsec-SA schnelles Schlüsselaushandeln
  • Unterstützt Main Mode, Aggressive Mode, Quick Mode
  • IKEv2: schneller, effizienter, sicherer (unterstützt EAP, MOBIKE, NAT-Traversal)

🔐 AUTHENTIFIZIERUNG

PSK

  • HMAC über:
    • PSK
    • Nonces
    • Diffie-Hellman-Werte
    • Identitäten

Zertifikate

  • Digitale Zertifikate (CA-signiert)
  • Prüfung via Signatur & Public Key

🌐 IPsec UND IPv6

  • AH/ESP sind integraler Bestandteil von IPv6 (Next Header 51 / 50)
  • Erweiterbar durch Extension Header
  • IPsec muss explizit aktiviert & konfiguriert werden
  • AH funktioniert nicht mit NAT, ESP im Tunnel-Modus schon

KLAUSURRELEVANTE KERNAUSSAGEN

  • IPsec ist unabhängig vom Transportprotokoll und arbeitet auf Netzwerkschicht (OSI Layer 3).
  • ESP schützt Payload, AH schützt auch IP-Header (teilweise).
  • IKEv2 wird bevorzugt eingesetzt (schneller, mobiler, sicherer).
  • Anti-Replay-Schutz ist standardmäßig aktiv (Sequenznummern + Fenster).
  • SPD regelt, ob IPsec angewendet wird; SAD enthält die Parameter dazu.
  • AH & ESP sind bei IPv6 verpflichtend, bei IPv4 optional.
Reference in New Issue View Git Blame Copy Permalink