Definition Internet Protocol Security (IPsec)

Was ist IPsec?

| Autor / Redakteur: Tutanch / Peter Schmitz

IPSec (Internet Protocol Security) ist eine Protokollerweiterung für die sichere Kommunikation in IP-Netzwerken.
IPSec (Internet Protocol Security) ist eine Protokollerweiterung für die sichere Kommunikation in IP-Netzwerken. (Bild: Pixabay / CC0)

IPsec (Internet Protocol Security) ist eine Sammlung von Protokollerweiterungen für das Internet Protokoll (IP). Die Erweiterungen ermöglichen die Verschlüsselung und Authentifizierung der mit IP übertragenen Informationen und sorgen für eine sichere Kommunikation in IP-Netzwerken wie dem Internet.

Die Abkürzung IPsec steht für Internet Protocol Security. Es handelt sich um eine Sammlung mehrerer Standards (RFCs) für eine gesicherte Kommunikation in IP-Netzwerken. Mithilfe der Internet Protocol Security ist es möglich, Daten zu verschlüsseln und Kommunikationspartner zu authentifizieren. Der Informationsaustausch in potentiell unsicheren Netzwerken wie dem Internet lässt sich dadurch schützen.

IPsec ist sowohl für IPv4 als auch für IPv6 anwendbar. Realisierbar sind sichere LAN-to-LAN-VPNs, Host-to-Gateway-VPNs und Host-to-Host-VPNs. Internet Protocol Security arbeitet auf der Vermittlungsschicht und verhindert Angriffstechniken wie IP-Spoofing. Wichtige Protokollstandards von IPsec sind unter anderem Internet Key Exchange (IKE), Authentication Header (AH) und Encapsulated Security Payload (ESP).

Die wesentlichen Merkmale von IPsec

Wesentliche Merkmale der Internet Protocol Security sind:

  • Interoperabilität mit der IP-Protokollwelt
  • Integrität der Daten
  • Kryptografischer Schutz durch Verschlüsselung der übertragenen Daten
  • Unterstützung verschiedener Schlüsselmanagementverfahren
  • Authentifizierung des Kommunikationspartners

Die verschiedenen Modi der Internet Protocol Security

Internet Protocol Security kennt zwei Modi: den Transportmodus und den Tunnelmodus. Der Transportmodus stellt eine direkte Punkt-zu-Punkt-Verbindung zwischen zwei Endpunkten her. Hierfür nutzt er einen zusätzlichen IPsec-Header zwischen IP-Header und den transportierten Daten. Beim Tunnelmodus sind zwei Netzwerke über einen sicheren Tunnel zwischen zwei Gateways oder Routern miteinander verbunden. Die über die beiden Netzwerke verbundenen Endgeräte selbst müssen keine Internet Protocol Security unterstützen. Die Sicherheit der Verbindung ist nur auf der Teilstrecke zwischen den beiden Routern oder Gateways gegeben. Auf dieser kommt ein neuer äußerer IP-Header zum Einsatz. Die IP-Adressen der beiden Kommunikationsendpunkte stehen im inneren geschützten IP-Header.

Die verschiedenen Schlüsselverwaltungsmethoden

Die Verwaltung der Schlüssel kann bei IPsec auf verschiedene Arten erfolgen. Neben der manuellen Schlüsselverwaltung ist die automatische Schlüsselverwaltung mit dem Internet Key Exchange Protocol (IKE) möglich. IKE nutzt das Diffie-Hellman-Verfahren für eine sichere Erzeugung von Schlüsseln. Eine Erweiterung von IKE ist IKEv2. Sie vereinfacht die Konfiguration und den Verbindungsaufbau. Schwachstellen der Vorgängerversion sind bereinigt. Bei einer manuellen Schlüsselverwaltung sind die Schlüssel an den beiden Endpunkten der verschlüsselten Verbindung fest konfiguriert.

Internet Protocol Security und NAT

In Verbindung mit Network Address Translation (NAT) kann es beim Aufbau einer gesicherten Verbindung zu Problemen kommen. Durch NAT erhält ein IP-Paket eine neue IP-Adresse und einen anderen Quell-Port. Die veränderten IP-Pakete führen unter Umständen für die Internet Protocol Security zu einem ungültigen Paket, da die Integrität nicht mehr gegeben ist. Die ungültigen Pakete werden durch IPsec verworfen und der Verbindungsaufbau scheitert. Zudem können die IP-Adressen und Ports aufgrund der Internet Protocol Security verschlüsselt sein. Der NAT-Router kommt an diese verschlüsselten Informationen nicht heran und kann Adressen oder Ports nicht austauschen. Die Adressübersetzung für solche Verbindungen scheitert. Um diese Probleme durch NAT zu verhindern, kommen Verfahren wie IPsec-Passthrough oder IPsec mit NAT-Traversal zum Einsatz. Mit NAT-Traversal tauschen die Kommunikationspartner Informationen über ein spezielles NAT-Traversal-Protokoll aus.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Beschützer im IoT

Cyberabwehr für jedes Netzwerk

Beschützer im IoT

Mit der Sicherheitslösung Defender for IoT, so Hersteller Extreme Networks, sei auch Personal ohne technische Ausbildung in der Lage, kabelgebundene sowie kabellose IoT-Geräte vom Rest des Netzwerks zu isolieren und vor Angriffen aus dem Internet zu schützen. lesen

Was ist der Diffie-Hellman-Schlüsselaustausch?

Definition Diffie-Hellman key exchange

Was ist der Diffie-Hellman-Schlüsselaustausch?

Der Diffie-Hellman-Schlüsselaustausch ist ein Verfahren, mit dem sich ein gemeinsamer Sitzungsschlüssel zwischen zwei Kommunikationspartnern sicher über ein potenziell unsicheres Übertragungsmedium vereinbaren lässt. Das Verfahren kommt für zahlreiche kryptographische Protokolle im Internet zum Einsatz. lesen

Die Auswahl des richtigen VPN-Dienstes

Kriterien für den Vergleich von VPN-Anbietern

Die Auswahl des richtigen VPN-Dienstes

VPNs sind im Geschäftsumfeld eine der wichtigsten Sicherheitslösungen, die ein mobiler Mitarbeiter nutzen kann. Ein VPN schützt die Online-Verbindungen der mobilen Mitarbeiter, speziell wenn öffentliche WLAN-Hotspots in Hotels, Flughäfen oder Bahnhöfen genutzt werden. Privatanwender können mit einem VPN ebenfalls ihre Online-Verbindung schützen und gleichzeitig ihre Online-Aktivitäten verstecken. lesen

Netzwerke als Wegbereiter des Edge Computings

Edge-Netzwerke im Fokus

Netzwerke als Wegbereiter des Edge Computings

Ohne funktionierende Netze gibt es kein Edge Computing! Deshalb ist es gerade im Edge-Bereich so wichtig, Anomalien identifizieren zu können. Ein umfassendes Monitoring mit aussagekräftiger Visualisierung ist daher unerlässlich, wenn Edge Computing moderne IT-Infrastrukturen beflügeln soll! lesen

Was ist L2TP?

Definition Layer 2 Tunneling Protocol

Was ist L2TP?

Das Layer 2 Tunneling Protocol (L2TP) stellt eine Weiterentwicklung von PPTP und L2F dar und ist in verschiedenen RFCs standardisiert. Mit dem Layer 2 Tunneling Protocol lassen sich Protokolle der Sicherungsschicht (Layer 2) des ISO/OSI-Schichtenmodells über IP-Netzwerke tunneln. Zusammen mit IPsec lässt es sich für sichere VPN-Verbindungen einsetzen. lesen

Was ist IKEv2?

Definition Internet Key Exchange Protokoll Version 2

Was ist IKEv2?

IKEv2 ist die zweite Version des Internet Key Exchange Protokolls IKE. Sie kommt in IPsec-basierten VPNs für das automatische Schlüsselmanagement zum Einsatz und beseitigt Schwächen des Vorgängerstandards. Die Einrichtung von VPNs ist stark vereinfacht und flexibler. lesen

Was ist SSTP?

Definition Secure Socket Tunneling Protocol

Was ist SSTP?

Das Secure Socket Tunneling Protocol (SSTP) wurde von Microsoft entwickelt und ist seit Windows Vista fest im Windows Betriebssystem verankert. Mit dem Protokoll lassen sich sichere VPN-Verbindungen aufbauen. Es nutzt verschlüsseltes HTTP und den Port 443. lesen

Integrated Services Gateways von Lancom

VPN-Verbindung für bis zu 1.000 Außenstellen

Integrated Services Gateways von Lancom

Zwei neue VPN-Gateways erweitern die Produktpalette von Lancom Systems. Die Modelle ISG-4000 und ISG-1000 sind mit Verschlüsselungstechnologien und Redundanz-Funktionen für größtmögliche Ausfallsicherheit ausgelegt. lesen

UTM-Appliance für kleine und mittlere Unternehmen

Intra2net Appliance Pro

UTM-Appliance für kleine und mittlere Unternehmen

Mit UTM-Appliances können sich kleine und mittlere Unternehmen vor vielfältigen Bedrohungen schützen. Die überarbeitete Appliance Pro von Intra2net lässt sich je nach Softwarelizenz von der Basis-Sicherheit für das Netzwerk bis hin zur umfassenden Exchange-Alternative einsetzen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45634884 / Definitionen)