Zum Hauptinhalt springen

3.1. Was IPsec tut (What IPsec Does)

IPsec erstellt eine Grenze zwischen ungeschützten und geschützten Schnittstellen für einen Host oder ein Netzwerk (siehe Abbildung 1 unten). Der die Grenze überquerende Verkehr unterliegt den Zugriffsk ontrollen, die vom Benutzer oder Administrator angegeben werden, der für die IPsec-Konfiguration verantwortlich ist. Diese Kontrollen geben an, ob Pakete die Grenze ungehindert überqueren, über AH oder ESP Sicherheitsdienste erhalten oder verworfen werden.

IPsec-Sicherheitsdienste werden auf der IP-Schicht durch Auswahl geeigneter Sicherheitsprotokolle, kryptographischer Algorithmen und kryptographischer Schlüssel angeboten. IPsec kann verwendet werden, um einen oder mehrere "Pfade" zu schützen: (a) zwischen einem Hostpaar, (b) zwischen einem Sicherheitsgateway-Paar oder (c) zwischen einem Sicherheitsgateway und einem Host. Eine konforme Host-Implementierung MUSS (a) und (c) unterstützen, und ein konformes Sicherheitsgateway muss alle drei Formen der Konnektivität unterstützen, da unter bestimmten Umständen ein Sicherheitsgateway als Host fungiert.

                    Ungeschützt (Unprotected)
                     ^       ^
                     |       |
       +-------------|-------|-------+
       | +-------+   |       |       |
       | |Verwer-|<--|       V       |
       | |fen    |   |B  +--------+  |
     ................|y..| AH/ESP |..... IPsec-Grenze
       |   +---+     |p  +--------+  |
       |   |IKE|<----|a      ^       |
       |   +---+     |s      |       |
       | +-------+   |s      |       |
       | |Verwer-|<--|       |       |
       | |fen    |   |       |       |
       +-------------|-------|-------+
                     |       |
                     V       V
                     Geschützt (Protected)

        Abbildung 1.  IPsec-Verarbeitungsmodell der obersten Ebene

In diesem Diagramm bezieht sich "ungeschützt" auf eine Schnittstelle, die auch als "schwarz" oder "Chiffretext" beschrieben werden könnte. Hier bezieht sich "geschützt" auf eine Schnittstelle, die auch als "rot" oder "Klartext" beschrieben werden könnte. Die oben genannte geschützte Schnittstelle kann intern sein, z. B. kann in einer Host-Implementierung von IPsec die geschützte Schnittstelle mit einer vom Betriebssystem bereitgestellten Socket-Layer-Schnittstelle verknüpft sein. In diesem Dokument bezieht sich der Begriff "eingehend" auf Verkehr, der über die ungeschützte Schnittstelle in eine IPsec-Implementierung eintritt oder von der Implementierung auf der ungeschützten Seite der Grenze ausgesendet und zur geschützten Schnittstelle geleitet wird. Der Begriff "ausgehend" bezieht sich auf Verkehr, der über die geschützte Schnittstelle in die Implementierung eintritt oder von der Implementierung auf der geschützten Seite der Grenze ausgesendet und zur ungeschützten Schnittstelle geleitet wird. Eine IPsec-Implementierung kann mehrere Schnittstellen auf einer oder beiden Seiten der Grenze unterstützen.

Beachten Sie die Einrichtungen zum Verwerfen von Verkehr auf beiden Seiten der IPsec-Grenze, die BYPASS-Einrichtung, die es dem Verkehr ermöglicht, die Grenze ohne kryptographischen Schutz zu passieren, und den Verweis auf IKE als geschützte Schlüssel- und Sicherheitsverwaltungsfunktion.

IPsec unterstützt optional die Verhandlung von IP-Kompression [SMPT01], was teilweise durch die Beobachtung motiviert ist, dass die Verwendung von Verschlüsselung innerhalb von IPsec eine effektive Kompression durch niedrigere Protokollschichten verhindert.

Letztes Update am