Zum Hauptinhalt springen

3.2. Wie IPsec funktioniert (How IPsec Works)

IPsec verwendet zwei Protokolle, um Verkehrssicherheitsdienste bereitzustellen -- Authentication Header (AH) und Encapsulating Security Payload (ESP). Beide Protokolle werden in ihren jeweiligen RFCs [Ken05b, Ken05a] ausführlich beschrieben. IPsec-Implementierungen MÜSSEN ESP unterstützen und KÖNNEN AH unterstützen.

  • Der IP Authentication Header (AH) [Ken05b] bietet Integrität und Datenursprungsauthentifizierung mit optionalen (nach Ermessen des Empfängers) Anti-Replay-Funktionen.

  • Das Encapsulating Security Payload (ESP)-Protokoll [Ken05a] bietet denselben Satz von Diensten und bietet auch Vertraulichkeit. Die Verwendung von ESP zur Bereitstellung von Vertraulichkeit ohne Integrität wird NICHT EMPFOHLEN (NOT RECOMMENDED).

  • Sowohl AH als auch ESP bieten Zugriffskontrolle, die durch die Verteilung kryptographischer Schlüssel und das Management von Verkehrsflüssen durchgesetzt wird, wie von der Sicherheitsrichtliniendatenbank (SPD, Abschnitt 4.4.1) vorgeschrieben.

Diese Protokolle können einzeln oder in Kombination miteinander angewendet werden, um IPv4- und IPv6-Sicherheitsdienste bereitzustellen. Die meisten Sicherheitsanforderungen können jedoch durch die Verwendung von ESP allein erfüllt werden. Jedes Protokoll unterstützt zwei Verwendungsmodi: Transportmodus und Tunnelmodus. Im Transportmodus bieten AH und ESP hauptsächlich Schutz für Protokolle der nächsten Schicht; im Tunnelmodus werden AH und ESP auf getunnelte IP-Pakete angewendet.

IPsec ermöglicht es dem Benutzer (oder Systemadministrator), die Granularität zu kontrollieren, mit der ein Sicherheitsdienst angeboten wird. IPsec beinhaltet durch das SPD-Verwaltungsparadigma Einrichtungen zur Angabe von:

  • welches Sicherheitsprotokoll (AH oder ESP) verwendet werden soll, den Modus (Transport oder Tunnel), Sicherheitsdienstoptionen, welche kryptographischen Algorithmen verwendet werden sollen und in welchen Kombinationen die angegebenen Protokolle und Dienste verwendet werden sollen, und

  • die Granularität, mit der Schutz angewendet werden soll.

Da die meisten von IPsec bereitgestellten Sicherheitsdienste die Verwendung kryptographischer Schlüssel erfordern, ist IPsec auf einen separaten Satz von Mechanismen angewiesen, um diese Schlüssel zu platzieren. Dieses Dokument erfordert Unterstützung sowohl für manuelle als auch für automatisierte Verteilung von Schlüsseln. Es spezifiziert einen spezifischen öffentlichen Schlüssel-basierten Ansatz (IKEv2 [Kau05]) für die automatisierte Schlüsselverwaltung, aber andere automatisierte Schlüsselverteilungstechniken KÖNNEN verwendet werden (MAY).

Hinweis: Dieses Dokument schreibt die Unterstützung für mehrere Funktionen vor, für die Unterstützung in IKEv2, aber nicht in IKEv1 verfügbar ist, z. B. Verhandlung einer SA, die Bereiche lokaler und entfernter Ports darstellt, oder Verhandlung mehrerer SAs mit denselben Selektoren. Daher setzt dieses Dokument die Verwendung von IKEv2 oder eines Schlüssel- und Sicherheitsassoziationsverwaltungssystems mit vergleichbaren Funktionen voraus.

Letztes Update am