50 lines
3.5 KiB
TeX
50 lines
3.5 KiB
TeX
%Notizen:
|
|
%Gliederung:
|
|
|
|
\section{Tunneling}
|
|
Beim Tunneling mit Hilfe von Datenpaketkapselung ein virtueller Tunnel erstellt, der über das Internet bzw. ein fremdes Netzwerk verbunden ist.
|
|
Dadurch wird es bspw. möglich private LANs miteinander über das Internet zu verbinden oder sich auf einen Rechner zu schalten.
|
|
|
|
\subsection{IPSec (Internet Protocol Security)}
|
|
IPSec ist ein Protokollstapel der eine gesicherte Kommunikation über das potentiell unsichere Internet ermöglicht. IPSec arbeitet auf der Vermittlungsschicht, um eine Verschlüsselung auf Netzwerkebene bereitzustellen.\\
|
|
Es beinhaltet vier wichtige Sicherheitsfunktionen:
|
|
\begin{enumerate}
|
|
\item Verschlüsselung - um mitlesen zu verhindern
|
|
\item Authentisierung der Nachricht - zum sicherstellen, dass die Pakete unverfälscht sind (Paketintegrität)
|
|
\item Authentisierung des Absenders - zur unzweifelhaften Zuordnung eines Senders/Empfängers (Paketauthentizität)
|
|
\item Verwaltung von Schlüsseln
|
|
\end{enumerate}
|
|
|
|
\subsubsection{Authentisierung (AH)}
|
|
Der Authentication Header (AH) sorgt für die Authentisierung und Integrität der zu übertragenden Pakete und Protokollinformationen. Der äußere IP-Header wird für die Integritätsprüfung mit gehasht, wodurch auf AH-Header keine Art von NAT anwendbar ist.
|
|
Im AH-Paket befindet neben anderen Feldern ein Security Profile Index (SPI) und eine Sequenznummer. Diese Sequenznummer wird zum Schutz vor Replay-Attacks verwendet werden. Das heißt ein Paket kann nicht von dritten aufgezeichnet werden und zur wiederholten Authentifizierung mit gefälschter Identität verwendet werden.
|
|
|
|
\subsubsection{Verschlüsselung (ESP)}
|
|
Die Verschlüsselung erfolgt über ESP (Encapsulating Security Payload), welches durch Hashing-Verfahren auch direkt die Integrität des Datenpakets sicherstellt. Zur Verschlüsselung der Nutzdaten können beliebige Verschlüsselungsverfahren eingesetzt werden.
|
|
|
|
\newpage
|
|
|
|
\subsubsection{Vergleich Transport- und Tunnelmodus}
|
|
Der Transportmodus verbindet verbindet zwei Endpunkte direkt miteinander (Peer-to-Peer) z.B. über auf den Geräten installierte Software.\\
|
|
Im Tunnelmodus werden zwei IP-Netze miteinander verbunden. Die Endpunkte werden dabei von zwei Routern bzw. VPN-Gateways gebildet. \\
|
|
|
|
\texttt{IPSec im Transportmodus}: In diesem Modus wird der IPSec-Header zwischen dem IP-Header und den Nutzdaten eingefügt. Der IP-Header bleibt unverändert/unverschlüsselt und dient zum Routing des Pakets vom Sender zum Empfänger. Beim Empfang werden die ursprünglichen Nutzdaten (TCP-/UDP-Pakete) ausgepackt und an die höherliegende (OSI-)Schicht weitergegeben.\\
|
|
|
|
\texttt{IPSec im Tunnelmodus}: Hier wird das ursprüngliche Paket komplett gekapselt und ein neuer äußerer IP-Header hinzugefügt, um das Routing zum jeweiligen Endpunkt zu ermöglichen. Der innere IP-Header wird für das hinter dem Gateway des Endpunktes befindlichen Netz verwendet. Im Tunnelmodus sind Gateway-zu-Gateway- oder auch Peer-zu-Gateway-Verbindungen möglich. Ein Vorteil des Tunnelmodus ist, dass nur zwischen den Gateways IPSec implementiert werden muss. Angreifer können dadurch nur die Tunnelendpunkte festellen, jedoch nicht den gesamten Weg von den dahinter liegenden Clients.\\
|
|
|
|
\begin{figure}[ht!]
|
|
\centering
|
|
\includegraphics[scale=0.5]{Ipsec_ah.jpg}
|
|
\end{figure}
|
|
|
|
\begin{figure}[ht!]
|
|
\centering
|
|
\includegraphics[scale=0.5]{Ipsec_esp.jpg}
|
|
\end{figure}
|
|
|
|
|
|
\subsection{VPN (Virtual Private Network)}
|
|
|
|
|
|
\subsection{SSH (Secure Shell)}
|
|
|