Definition Internet Protocol Security (IPsec)

Was ist IPsec?

| Autor / Redakteur: Tutanch / Peter Schmitz

IPSec (Internet Protocol Security) ist eine Protokollerweiterung für die sichere Kommunikation in IP-Netzwerken.
IPSec (Internet Protocol Security) ist eine Protokollerweiterung für die sichere Kommunikation in IP-Netzwerken. (Bild: Pixabay / CC0)

IPsec (Internet Protocol Security) ist eine Sammlung von Protokollerweiterungen für das Internet Protokoll (IP). Die Erweiterungen ermöglichen die Verschlüsselung und Authentifizierung der mit IP übertragenen Informationen und sorgen für eine sichere Kommunikation in IP-Netzwerken wie dem Internet.

Die Abkürzung IPsec steht für Internet Protocol Security. Es handelt sich um eine Sammlung mehrerer Standards (RFCs) für eine gesicherte Kommunikation in IP-Netzwerken. Mithilfe der Internet Protocol Security ist es möglich, Daten zu verschlüsseln und Kommunikationspartner zu authentifizieren. Der Informationsaustausch in potentiell unsicheren Netzwerken wie dem Internet lässt sich dadurch schützen.

IPsec ist sowohl für IPv4 als auch für IPv6 anwendbar. Realisierbar sind sichere LAN-to-LAN-VPNs, Host-to-Gateway-VPNs und Host-to-Host-VPNs. Internet Protocol Security arbeitet auf der Vermittlungsschicht und verhindert Angriffstechniken wie IP-Spoofing. Wichtige Protokollstandards von IPsec sind unter anderem Internet Key Exchange (IKE), Authentication Header (AH) und Encapsulated Security Payload (ESP).

Die wesentlichen Merkmale von IPsec

Wesentliche Merkmale der Internet Protocol Security sind:

  • Interoperabilität mit der IP-Protokollwelt
  • Integrität der Daten
  • Kryptografischer Schutz durch Verschlüsselung der übertragenen Daten
  • Unterstützung verschiedener Schlüsselmanagementverfahren
  • Authentifizierung des Kommunikationspartners

Die verschiedenen Modi der Internet Protocol Security

Internet Protocol Security kennt zwei Modi: den Transportmodus und den Tunnelmodus. Der Transportmodus stellt eine direkte Punkt-zu-Punkt-Verbindung zwischen zwei Endpunkten her. Hierfür nutzt er einen zusätzlichen IPsec-Header zwischen IP-Header und den transportierten Daten. Beim Tunnelmodus sind zwei Netzwerke über einen sicheren Tunnel zwischen zwei Gateways oder Routern miteinander verbunden. Die über die beiden Netzwerke verbundenen Endgeräte selbst müssen keine Internet Protocol Security unterstützen. Die Sicherheit der Verbindung ist nur auf der Teilstrecke zwischen den beiden Routern oder Gateways gegeben. Auf dieser kommt ein neuer äußerer IP-Header zum Einsatz. Die IP-Adressen der beiden Kommunikationsendpunkte stehen im inneren geschützten IP-Header.

Die verschiedenen Schlüsselverwaltungsmethoden

Die Verwaltung der Schlüssel kann bei IPsec auf verschiedene Arten erfolgen. Neben der manuellen Schlüsselverwaltung ist die automatische Schlüsselverwaltung mit dem Internet Key Exchange Protocol (IKE) möglich. IKE nutzt das Diffie-Hellman-Verfahren für eine sichere Erzeugung von Schlüsseln. Eine Erweiterung von IKE ist IKEv2. Sie vereinfacht die Konfiguration und den Verbindungsaufbau. Schwachstellen der Vorgängerversion sind bereinigt. Bei einer manuellen Schlüsselverwaltung sind die Schlüssel an den beiden Endpunkten der verschlüsselten Verbindung fest konfiguriert.

Internet Protocol Security und NAT

In Verbindung mit Network Address Translation (NAT) kann es beim Aufbau einer gesicherten Verbindung zu Problemen kommen. Durch NAT erhält ein IP-Paket eine neue IP-Adresse und einen anderen Quell-Port. Die veränderten IP-Pakete führen unter Umständen für die Internet Protocol Security zu einem ungültigen Paket, da die Integrität nicht mehr gegeben ist. Die ungültigen Pakete werden durch IPsec verworfen und der Verbindungsaufbau scheitert. Zudem können die IP-Adressen und Ports aufgrund der Internet Protocol Security verschlüsselt sein. Der NAT-Router kommt an diese verschlüsselten Informationen nicht heran und kann Adressen oder Ports nicht austauschen. Die Adressübersetzung für solche Verbindungen scheitert. Um diese Probleme durch NAT zu verhindern, kommen Verfahren wie IPsec-Passthrough oder IPsec mit NAT-Traversal zum Einsatz. Mit NAT-Traversal tauschen die Kommunikationspartner Informationen über ein spezielles NAT-Traversal-Protokoll aus.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist IKEv2?

Definition Internet Key Exchange Protokoll Version 2

Was ist IKEv2?

IKEv2 ist die zweite Version des Internet Key Exchange Protokolls IKE. Sie kommt in IPsec-basierten VPNs für das automatische Schlüsselmanagement zum Einsatz und beseitigt Schwächen des Vorgängerstandards. Die Einrichtung von VPNs ist stark vereinfacht und flexibler. lesen

Was ist SSTP?

Definition Secure Socket Tunneling Protocol

Was ist SSTP?

Das Secure Socket Tunneling Protocol (SSTP) wurde von Microsoft entwickelt und ist seit Windows Vista fest im Windows Betriebssystem verankert. Mit dem Protokoll lassen sich sichere VPN-Verbindungen aufbauen. Es nutzt verschlüsseltes HTTP und den Port 443. lesen

Integrated Services Gateways von Lancom

VPN-Verbindung für bis zu 1.000 Außenstellen

Integrated Services Gateways von Lancom

Zwei neue VPN-Gateways erweitern die Produktpalette von Lancom Systems. Die Modelle ISG-4000 und ISG-1000 sind mit Verschlüsselungstechnologien und Redundanz-Funktionen für größtmögliche Ausfallsicherheit ausgelegt. lesen

UTM-Appliance für kleine und mittlere Unternehmen

Intra2net Appliance Pro

UTM-Appliance für kleine und mittlere Unternehmen

Mit UTM-Appliances können sich kleine und mittlere Unternehmen vor vielfältigen Bedrohungen schützen. Die überarbeitete Appliance Pro von Intra2net lässt sich je nach Softwarelizenz von der Basis-Sicherheit für das Netzwerk bis hin zur umfassenden Exchange-Alternative einsetzen. lesen

Die beliebtesten Enterprise Network Firewalls 2018

IT-Awards 2018

Die beliebtesten Enterprise Network Firewalls 2018

Wenn es um die effektive Absicherung des Firmennetzwerks geht, sorgen Enterprise Network Firewalls für umfassenden Schutz. Die Appliances bieten nicht nur vielfältige Firewall-Funktionen, sondern stellen auch Intrusion-Prevention-Systeme (IPS) und andere Sicherheits­features bereit. Sie dienen somit als leistungsfähiger zentraler Kontrollpunkt für ein- und ausgehenden Traffic. lesen

Sicherheitslücken in „IPsec“ identifiziert

Bleichenbacher-Angriff auf IKEv1

Sicherheitslücken in „IPsec“ identifiziert

Forscher der Ruhr-Universität Bochum (RUB) und der polnischen Opole-Universität konnten nachweisen, dass das Internetprotokoll „IPsec“ angreifbar ist. Das in der Protokollfamilie enthaltene Internet-Key-Exchange-Protokoll „IKEv1“ birgt Sicherheitslücken, die es Angreifern potenziell ermöglichen, sich in einen Kommunikationsprozess zwischenzuschalten und gezielt Informationen abzugreifen. lesen

Informationen sammeln mit Kali Linux

Kali Linux Workshop, Teil 2

Informationen sammeln mit Kali Linux

Kali Linux bietet Sicherheitsexperten, Pentestern und neugierigen Nutzern eine umfangreiche Sammlung an Werkzeugen. Das kann auf den ersten Blick etwas zu viel sein. Unsere Artikelserie stellt sinnvolle Tools vor – im zweiten Teil dreht sich alles um das Thema Informationen übers Netzwerk sammeln. lesen

Was ist AES (Advanced Encryption Standard)?

Definition AES-Verschlüsselung

Was ist AES (Advanced Encryption Standard)?

Der Advanced Encryption Standard (AES) ist eine sehr sichere symmetrische Verschlüsselungsmethode. Sie arbeitet mit Blockverschlüsselung und ist der Nachfolger des Data Encryption Standards (DES). Weltweit wird AES in vielen verschiedenen Bereichen verwendet. lesen

Hybrid Cloud und Sicherheit? – Das geht!

Cloud-Infrastrukturen und Sicherheit

Hybrid Cloud und Sicherheit? – Das geht!

Der Public Cloud-Markt wächst und wächst. Gartner geht von einem weltweiten Zuwachs des Cloud Services-Marktes von 18 Prozent bis Ende 2017 aus. Das entspricht einem Volumen von 246,8 Milliarden US-Dollar. Die rapide zunehmende Popularität ist verständlich: Unternehmen erzielen mit Public- oder hybriden Cloud-Plattformen oftmals bessere Ergebnisse hinsichtlich Quality of Service, Redundanz, Zuverlässigkeit, Performance und Agilität als mit Private Cloud-Modellen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45634884 / Definitionen)