Definition Internet Protocol Security (IPsec)

Was ist IPsec?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

IPSec (Internet Protocol Security) ist eine Protokollerweiterung für die sichere Kommunikation in IP-Netzwerken.
IPSec (Internet Protocol Security) ist eine Protokollerweiterung für die sichere Kommunikation in IP-Netzwerken. (Bild: Pixabay / CC0)

IPsec (Internet Protocol Security) ist eine Sammlung von Protokollerweiterungen für das Internet Protokoll (IP). Die Erweiterungen ermöglichen die Verschlüsselung und Authentifizierung der mit IP übertragenen Informationen und sorgen für eine sichere Kommunikation in IP-Netzwerken wie dem Internet.

Die Abkürzung IPsec steht für Internet Protocol Security. Es handelt sich um eine Sammlung mehrerer Standards (RFCs) für eine gesicherte Kommunikation in IP-Netzwerken. Mithilfe der Internet Protocol Security ist es möglich, Daten zu verschlüsseln und Kommunikationspartner zu authentifizieren. Der Informationsaustausch in potentiell unsicheren Netzwerken wie dem Internet lässt sich dadurch schützen.

IPsec ist sowohl für IPv4 als auch für IPv6 anwendbar. Realisierbar sind sichere LAN-to-LAN-VPNs, Host-to-Gateway-VPNs und Host-to-Host-VPNs. Internet Protocol Security arbeitet auf der Vermittlungsschicht und verhindert Angriffstechniken wie IP-Spoofing. Wichtige Protokollstandards von IPsec sind unter anderem Internet Key Exchange (IKE), Authentication Header (AH) und Encapsulated Security Payload (ESP).

Die wesentlichen Merkmale von IPsec

Wesentliche Merkmale der Internet Protocol Security sind:

  • Interoperabilität mit der IP-Protokollwelt
  • Integrität der Daten
  • Kryptografischer Schutz durch Verschlüsselung der übertragenen Daten
  • Unterstützung verschiedener Schlüsselmanagementverfahren
  • Authentifizierung des Kommunikationspartners

Die verschiedenen Modi der Internet Protocol Security

Internet Protocol Security kennt zwei Modi: den Transportmodus und den Tunnelmodus. Der Transportmodus stellt eine direkte Punkt-zu-Punkt-Verbindung zwischen zwei Endpunkten her. Hierfür nutzt er einen zusätzlichen IPsec-Header zwischen IP-Header und den transportierten Daten. Beim Tunnelmodus sind zwei Netzwerke über einen sicheren Tunnel zwischen zwei Gateways oder Routern miteinander verbunden. Die über die beiden Netzwerke verbundenen Endgeräte selbst müssen keine Internet Protocol Security unterstützen. Die Sicherheit der Verbindung ist nur auf der Teilstrecke zwischen den beiden Routern oder Gateways gegeben. Auf dieser kommt ein neuer äußerer IP-Header zum Einsatz. Die IP-Adressen der beiden Kommunikationsendpunkte stehen im inneren geschützten IP-Header.

Die verschiedenen Schlüsselverwaltungsmethoden

Die Verwaltung der Schlüssel kann bei IPsec auf verschiedene Arten erfolgen. Neben der manuellen Schlüsselverwaltung ist die automatische Schlüsselverwaltung mit dem Internet Key Exchange Protocol (IKE) möglich. IKE nutzt das Diffie-Hellman-Verfahren für eine sichere Erzeugung von Schlüsseln. Eine Erweiterung von IKE ist IKEv2. Sie vereinfacht die Konfiguration und den Verbindungsaufbau. Schwachstellen der Vorgängerversion sind bereinigt. Bei einer manuellen Schlüsselverwaltung sind die Schlüssel an den beiden Endpunkten der verschlüsselten Verbindung fest konfiguriert.

Internet Protocol Security und NAT

In Verbindung mit Network Address Translation (NAT) kann es beim Aufbau einer gesicherten Verbindung zu Problemen kommen. Durch NAT erhält ein IP-Paket eine neue IP-Adresse und einen anderen Quell-Port. Die veränderten IP-Pakete führen unter Umständen für die Internet Protocol Security zu einem ungültigen Paket, da die Integrität nicht mehr gegeben ist. Die ungültigen Pakete werden durch IPsec verworfen und der Verbindungsaufbau scheitert. Zudem können die IP-Adressen und Ports aufgrund der Internet Protocol Security verschlüsselt sein. Der NAT-Router kommt an diese verschlüsselten Informationen nicht heran und kann Adressen oder Ports nicht austauschen. Die Adressübersetzung für solche Verbindungen scheitert. Um diese Probleme durch NAT zu verhindern, kommen Verfahren wie IPsec-Passthrough oder IPsec mit NAT-Traversal zum Einsatz. Mit NAT-Traversal tauschen die Kommunikationspartner Informationen über ein spezielles NAT-Traversal-Protokoll aus.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist SHA (Secure Hash Algorithm)?

Definition SHA (Secure Hash Algorithm)

Was ist SHA (Secure Hash Algorithm)?

Der Secure Hash Algorithm existiert in verschiedenen Versionen und stellt Hashfunktionen zur Ermittlung unverwechselbarer Prüfwerte digitaler Daten zur Verfügung. Mit einem Prüfwert lässt sich die Integrität der Daten sicherstellen. SHA kommt beispielsweise für Signaturverfahren zum Einsatz. Eine wichtige Eigenschaft eines Hahsverfahrens ist die Kollisionssicherheit. lesen

OPNsense als professionelle Open Source Firewall

Open Source für die optimale IT-Sicherheit

OPNsense als professionelle Open Source Firewall

IT-Projekte auf Open-Source-Basis werden schon seit einigen Jahren immer beliebter, so auch OPNsense als zentrale Firewall-Lösung für Unternehmen. Die wachsende Community und die eigenständige Anpassbarkeit machen OPNsense zu einer zukunftssicheren Alternative zu kommerziellen Lösungen. Dank vieler Plugins ist OPNsense besonders für KMU eine nähere Betrachtung wert. lesen

Ist SD-WAN genauso sicher wie MPLS?

Software-Defined WAN vs. Multi-Protocol Label Switching

Ist SD-WAN genauso sicher wie MPLS?

Keith Langridge, Vice President Networking bei BT, untersucht, welche Schritte notwendig sind, um die Netzwerk-Sicherheit bei der Einführung von SD-WAN aufrechtzuerhalten. lesen

Was ist Netzwerkverschlüsselung?

Definition Layer 2- und Layer 3-Verschlüsselung

Was ist Netzwerkverschlüsselung?

Die Netzwerkverschlüsselung arbeitet auf dem Layer 2 oder 3 des OSI-Schichtenmodells. Sie stellt die Vertraulichkeit und Integrität der übertragenen Daten sowie die Authentizität der Kommunikationspartner sicher und ist für Protokolle oder Anwendungen höherer Schichten transparent. lesen

Grundlagen der Netzwerkverschlüsselung

Layer 2- und die Layer 3-Verschlüsselung

Grundlagen der Netzwerkverschlüsselung

Um die Datenübertragungen in Unternehmensnetzwerken abzusichern, stehen verschiedene Verschlüsselungstechnologien zur Verfügung. In diesem Zusammenhang sind unter anderem die Layer 2- und die Layer 3-Encryption sowie die Verschlüsselung auf Anwendungsebene zu nennen. Dieser Beitrag geht im Detail auf die Layer 2-Verschlüsselung ein und führt die Vorteile auf, die diese Technologie gegenüber den anderen Optionen mit sich bringt. lesen

Was ist WireGuard?

Definition WireGuard

Was ist WireGuard?

WireGuard ist eine noch sehr junge Technologie, um sichere und leistungsfähige virtuelle private Netze (VPNs) mit geringem Aufwand zu realisieren. Es handelt sich um ein Open-Source-Protokoll und eine Open-Source-Software, die eine Alternative zu etablierten VPN-Lösungen wie OpenVPN oder IPsec bieten soll. lesen

Was ist PPTP?

Definition Point-to-Point Tunneling Protocol (PPTP)

Was ist PPTP?

Mit dem Point-to-Point Tunneling Protocol (PPTP) lassen sich virtuelle private Netze über IP-basierte Netzwerke wie das Internet realisieren. Es handelt sich um eine Erweiterung des Point-to-Point Protocols und ist in vielen Betriebssystemen implementiert. Aufgrund bekannter Schwachstellen gilt PPTP heute als nicht mehr sicher. lesen

Beschützer im IoT

Cyberabwehr für jedes Netzwerk

Beschützer im IoT

Mit der Sicherheitslösung Defender for IoT, so Hersteller Extreme Networks, sei auch Personal ohne technische Ausbildung in der Lage, kabelgebundene sowie kabellose IoT-Geräte vom Rest des Netzwerks zu isolieren und vor Angriffen aus dem Internet zu schützen. lesen

Was ist der Diffie-Hellman-Schlüsselaustausch?

Definition Diffie-Hellman key exchange

Was ist der Diffie-Hellman-Schlüsselaustausch?

Der Diffie-Hellman-Schlüsselaustausch ist ein Verfahren, mit dem sich ein gemeinsamer Sitzungsschlüssel zwischen zwei Kommunikationspartnern sicher über ein potenziell unsicheres Übertragungsmedium vereinbaren lässt. Das Verfahren kommt für zahlreiche kryptographische Protokolle im Internet zum Einsatz. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45634884 / Definitionen)