Definition Internet Protocol Security (IPsec)

Was ist IPsec?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

IPSec (Internet Protocol Security) ist eine Protokollerweiterung für die sichere Kommunikation in IP-Netzwerken.
IPSec (Internet Protocol Security) ist eine Protokollerweiterung für die sichere Kommunikation in IP-Netzwerken. (Bild: Pixabay / CC0)

IPsec (Internet Protocol Security) ist eine Sammlung von Protokollerweiterungen für das Internet Protokoll (IP). Die Erweiterungen ermöglichen die Verschlüsselung und Authentifizierung der mit IP übertragenen Informationen und sorgen für eine sichere Kommunikation in IP-Netzwerken wie dem Internet.

Die Abkürzung IPsec steht für Internet Protocol Security. Es handelt sich um eine Sammlung mehrerer Standards (RFCs) für eine gesicherte Kommunikation in IP-Netzwerken. Mithilfe der Internet Protocol Security ist es möglich, Daten zu verschlüsseln und Kommunikationspartner zu authentifizieren. Der Informationsaustausch in potentiell unsicheren Netzwerken wie dem Internet lässt sich dadurch schützen.

IPsec ist sowohl für IPv4 als auch für IPv6 anwendbar. Realisierbar sind sichere LAN-to-LAN-VPNs, Host-to-Gateway-VPNs und Host-to-Host-VPNs. Internet Protocol Security arbeitet auf der Vermittlungsschicht und verhindert Angriffstechniken wie IP-Spoofing. Wichtige Protokollstandards von IPsec sind unter anderem Internet Key Exchange (IKE), Authentication Header (AH) und Encapsulated Security Payload (ESP).

Die wesentlichen Merkmale von IPsec

Wesentliche Merkmale der Internet Protocol Security sind:

  • Interoperabilität mit der IP-Protokollwelt
  • Integrität der Daten
  • Kryptografischer Schutz durch Verschlüsselung der übertragenen Daten
  • Unterstützung verschiedener Schlüsselmanagementverfahren
  • Authentifizierung des Kommunikationspartners

Die verschiedenen Modi der Internet Protocol Security

Internet Protocol Security kennt zwei Modi: den Transportmodus und den Tunnelmodus. Der Transportmodus stellt eine direkte Punkt-zu-Punkt-Verbindung zwischen zwei Endpunkten her. Hierfür nutzt er einen zusätzlichen IPsec-Header zwischen IP-Header und den transportierten Daten. Beim Tunnelmodus sind zwei Netzwerke über einen sicheren Tunnel zwischen zwei Gateways oder Routern miteinander verbunden. Die über die beiden Netzwerke verbundenen Endgeräte selbst müssen keine Internet Protocol Security unterstützen. Die Sicherheit der Verbindung ist nur auf der Teilstrecke zwischen den beiden Routern oder Gateways gegeben. Auf dieser kommt ein neuer äußerer IP-Header zum Einsatz. Die IP-Adressen der beiden Kommunikationsendpunkte stehen im inneren geschützten IP-Header.

Die verschiedenen Schlüsselverwaltungsmethoden

Die Verwaltung der Schlüssel kann bei IPsec auf verschiedene Arten erfolgen. Neben der manuellen Schlüsselverwaltung ist die automatische Schlüsselverwaltung mit dem Internet Key Exchange Protocol (IKE) möglich. IKE nutzt das Diffie-Hellman-Verfahren für eine sichere Erzeugung von Schlüsseln. Eine Erweiterung von IKE ist IKEv2. Sie vereinfacht die Konfiguration und den Verbindungsaufbau. Schwachstellen der Vorgängerversion sind bereinigt. Bei einer manuellen Schlüsselverwaltung sind die Schlüssel an den beiden Endpunkten der verschlüsselten Verbindung fest konfiguriert.

Internet Protocol Security und NAT

In Verbindung mit Network Address Translation (NAT) kann es beim Aufbau einer gesicherten Verbindung zu Problemen kommen. Durch NAT erhält ein IP-Paket eine neue IP-Adresse und einen anderen Quell-Port. Die veränderten IP-Pakete führen unter Umständen für die Internet Protocol Security zu einem ungültigen Paket, da die Integrität nicht mehr gegeben ist. Die ungültigen Pakete werden durch IPsec verworfen und der Verbindungsaufbau scheitert. Zudem können die IP-Adressen und Ports aufgrund der Internet Protocol Security verschlüsselt sein. Der NAT-Router kommt an diese verschlüsselten Informationen nicht heran und kann Adressen oder Ports nicht austauschen. Die Adressübersetzung für solche Verbindungen scheitert. Um diese Probleme durch NAT zu verhindern, kommen Verfahren wie IPsec-Passthrough oder IPsec mit NAT-Traversal zum Einsatz. Mit NAT-Traversal tauschen die Kommunikationspartner Informationen über ein spezielles NAT-Traversal-Protokoll aus.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Die beliebtesten Enterprise Network Firewalls 2019

IT-Awards 2019

Die beliebtesten Enterprise Network Firewalls 2019

Um das Unternehmensnetz möglichst umfassend gegen Bedrohungen abzusichern, ist der Einsatz einer Enterprise Network Firewall unumgänglich. Derartige Systeme stellen den zentralen Kontrollpunkt für ein- und ausgehenden Traffic dar und sind speziell auf die Anforderungen im Unternehmenseinsatz zugeschnitten. lesen

VPN-Clients mit QoS und Catalina-Kompatibilität

Remote-Access-Lösungen

VPN-Clients mit QoS und Catalina-Kompatibilität

NCP Engineering hat seine aktuellen Lösungen zum Thema Remote Access vorgestellt, darunter auch VPN-Clients mit Quality of Service (QoS) sowie VPN-Clients für das im Oktober veröffentlichte Apple-Betriebssystem macOS Catalina. lesen

Frischer Wind in der VPN-Branche dank WireGuard

Alternative zu IPsec und OpenVPN?

Frischer Wind in der VPN-Branche dank WireGuard

Einfach und benutzerfreundlich. Kryptographisch solide und eine minimale Angriffsfläche. Hochleistung, gut definiert und gründlich überlegt. So beschreibt der Entwickler von WireGuard die Virtual Private Network-Lösung (VPN) auf der offiziellen WireGuard Website. Doch auch hier hat die glänzende Medaille eine Rückseite. lesen

Was ist SHA (Secure Hash Algorithm)?

Definition SHA (Secure Hash Algorithm)

Was ist SHA (Secure Hash Algorithm)?

Der Secure Hash Algorithm existiert in verschiedenen Versionen und stellt Hashfunktionen zur Ermittlung unverwechselbarer Prüfwerte digitaler Daten zur Verfügung. Mit einem Prüfwert lässt sich die Integrität der Daten sicherstellen. SHA kommt beispielsweise für Signaturverfahren zum Einsatz. Eine wichtige Eigenschaft eines Hahsverfahrens ist die Kollisionssicherheit. lesen

OPNsense als professionelle Open Source Firewall

Open Source für die optimale IT-Sicherheit

OPNsense als professionelle Open Source Firewall

IT-Projekte auf Open-Source-Basis werden schon seit einigen Jahren immer beliebter, so auch OPNsense als zentrale Firewall-Lösung für Unternehmen. Die wachsende Community und die eigenständige Anpassbarkeit machen OPNsense zu einer zukunftssicheren Alternative zu kommerziellen Lösungen. Dank vieler Plugins ist OPNsense besonders für KMU eine nähere Betrachtung wert. lesen

Ist SD-WAN genauso sicher wie MPLS?

Software-Defined WAN vs. Multi-Protocol Label Switching

Ist SD-WAN genauso sicher wie MPLS?

Keith Langridge, Vice President Networking bei BT, untersucht, welche Schritte notwendig sind, um die Netzwerk-Sicherheit bei der Einführung von SD-WAN aufrechtzuerhalten. lesen

Was ist Netzwerkverschlüsselung?

Definition Layer 2- und Layer 3-Verschlüsselung

Was ist Netzwerkverschlüsselung?

Die Netzwerkverschlüsselung arbeitet auf dem Layer 2 oder 3 des OSI-Schichtenmodells. Sie stellt die Vertraulichkeit und Integrität der übertragenen Daten sowie die Authentizität der Kommunikationspartner sicher und ist für Protokolle oder Anwendungen höherer Schichten transparent. lesen

Grundlagen der Netzwerkverschlüsselung

Layer 2- und die Layer 3-Verschlüsselung

Grundlagen der Netzwerkverschlüsselung

Um die Datenübertragungen in Unternehmensnetzwerken abzusichern, stehen verschiedene Verschlüsselungstechnologien zur Verfügung. In diesem Zusammenhang sind unter anderem die Layer 2- und die Layer 3-Encryption sowie die Verschlüsselung auf Anwendungsebene zu nennen. Dieser Beitrag geht im Detail auf die Layer 2-Verschlüsselung ein und führt die Vorteile auf, die diese Technologie gegenüber den anderen Optionen mit sich bringt. lesen

Was ist WireGuard?

Definition WireGuard

Was ist WireGuard?

WireGuard ist eine noch sehr junge Technologie, um sichere und leistungsfähige virtuelle private Netze (VPNs) mit geringem Aufwand zu realisieren. Es handelt sich um ein Open-Source-Protokoll und eine Open-Source-Software, die eine Alternative zu etablierten VPN-Lösungen wie OpenVPN oder IPsec bieten soll. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45634884 / Definitionen)