IPSec with authentication header

2018-03-01 21:10:41 +01:00
parent 476e2e632b
commit 287cd9a3e1
4 changed files with 15 additions and 1 deletions
--- a/its/img/Ipsec_ah.jpg
+++ b/its/img/Ipsec_ah.jpg
--- a/its/img/Ipsec_esp.jpg
+++ b/its/img/Ipsec_esp.jpg
--- a/its/tex/itsroot.pdf
+++ b/its/tex/itsroot.pdf
--- a/its/tex/tunneling.tex
+++ b/its/tex/tunneling.tex
@@ -16,17 +16,31 @@
 		\end{enumerate}
 		\subsubsection{Authentisierung (AH)}
 			Der Authentication Header (AH) sorgt f<>r die Authentisierung und Integrit<69>t der zu <20>bertragenden Pakete und Protokollinformationen. Der <20>u<EFBFBD>ere IP-Header wird f<>r die Integrit<69>tspr<70>fung mit gehasht, wodurch auf AH-Header keine Art von NAT anwendbar ist.
 			Im AH-Paket befindet neben anderen Feldern ein Security Profile Index (SPI) und eine Sequenznummer. Diese Sequenznummer wird zum Schutz vor Replay-Attacks verwendet werden. Das hei<65>t ein Paket kann nicht von dritten aufgezeichnet werden und zur wiederholten Authentifizierung mit gef<65>lschter Identit<69>t verwendet werden.
 		\subsubsection{Verschl<EFBFBD>sselung (ESP)}
 			Die Verschl<68>sselung erfolgt <20>ber ESP (Encapsulating Security Payload), welches durch Hashing-Verfahren auch direkt die Integrit<69>t des Datenpakets sicherstellt. Zur Verschl<68>sselung der Nutzdaten k<>nnen beliebige Verschl<68>sselungsverfahren eingesetzt werden.
 			\newpage
 		\subsubsection{Vergleich Transport- und Tunnelmodus}
 			Der Transportmodus verbindet verbindet zwei Endpunkte direkt miteinander (Peer-to-Peer) z.B. <20>ber auf den Ger<65>ten installierte Software.\\
 			Im Tunnelmodus werden zwei IP-Netze miteinander verbunden. Die Endpunkte werden dabei von zwei Routern bzw. VPN-Gateways gebildet. \\
 			\texttt{IPSec im Transportmodus}: In diesem Modus wird der IPSec-Header zwischen dem IP-Header und den Nutzdaten eingef<65>gt. Der IP-Header bleibt unver<65>ndert/unverschl<68>sselt und dient zum Routing des Pakets vom Sender zum Empf<70>nger. Beim Empfang werden die urspr<70>nglichen Nutzdaten (TCP-/UDP-Pakete) ausgepackt und an die h<>herliegende (OSI-)Schicht weitergegeben.\\
-			\texttt{IPSec im Tunnelmodus}: Hier wird das urspr<70>ngliche Paket komplett gekapselt und ein neuer <20>u<EFBFBD>erer IP-Header hinzugef<65>gt, um das Routing zum jeweiligen Endpunkt zu erm<72>glichen. Der innere IP-Header wird f<>r das hinter dem Gateway des Endpunktes befindlichen Netz verwendet. Im Tunnelmodus sind Gateway-zu-Gateway- oder auch Peer-zu-Gateway-Verbindungen m<>glich. Ein Vorteil des Tunnelmodus ist, dass nur zwischen den Gateways IPSec implementiert werden muss. Angreifer k<>nnen dadurch nur die Tunnelendpunkte festellen, jedoch nicht den gesamten Weg von den dahinter liegenden Clients.
+			\texttt{IPSec im Tunnelmodus}: Hier wird das urspr<70>ngliche Paket komplett gekapselt und ein neuer <20>u<EFBFBD>erer IP-Header hinzugef<65>gt, um das Routing zum jeweiligen Endpunkt zu erm<72>glichen. Der innere IP-Header wird f<>r das hinter dem Gateway des Endpunktes befindlichen Netz verwendet. Im Tunnelmodus sind Gateway-zu-Gateway- oder auch Peer-zu-Gateway-Verbindungen m<>glich. Ein Vorteil des Tunnelmodus ist, dass nur zwischen den Gateways IPSec implementiert werden muss. Angreifer k<>nnen dadurch nur die Tunnelendpunkte festellen, jedoch nicht den gesamten Weg von den dahinter liegenden Clients.\\
 			\begin{figure}[ht!]
 				\centering
 				\includegraphics[scale=0.5]{Ipsec_ah.jpg}
 			\end{figure}
 			\begin{figure}[ht!]
 				\centering
 				\includegraphics[scale=0.5]{Ipsec_esp.jpg}
 			\end{figure}
 	\subsection{VPN (Virtual Private Network)}