IPsec

• beinhaltet Protokolle zur gegenseitigen Authentisierung + Aushandlung von Sitzungs-Schlüsseln
• arbeitet OSI-3: IP-Level
• aus ipv4-Zeiten
• funktioniert mit ipv6

Modi

• entweder host to host
• oder network to network
• oder host to network

Architektur

• Authentication Headers (AH) - zur Sicherstellung der Daten-Integrität und Daten-Herkunft
• Encapsulating Security Payloads (ESP) - zur Vertraulichkeit, verbindungslosen Informationssicherheit, Sequenz-Sicherheit (Anti-Replay)
• Internet Security Association and Key management Protocol (ISAKMP) - als Baukasten für Authentifizierung, Schlüssel-Austausch (IKE, IKEv2), Kerberized Internet Negotiation of Keys (KINK) oder IPSECKY DNS records
• letztere sollen Security Associations für AH/ESP-Operationen zur Verfügung stellen

Authentication Headers (AH)

• benutzt Hashes zur Absicherung gegen:
  • option/header insertion attacks
  • Verfälschung der Daten-Herkunft (data-origin)
• benutzt einen geteilten geheimen Schlüssel
• schützt in ipv4 gegen:
  • option insertion
  • payload alteration
• schützt in ipv6 gegen:
  • any alteration really (Paket verschlüsselt im IPsec-Paket)

Encapsulating Security Payloads (ESP)

• gegen Verfälschung der Daten-Herkunft (data-origin)
• beschützt das gesamte Paket im Transport-Modus, ansonsten Teile
• stellt dabei aussenliegende Header weiterhin zur Verfügung (beschützt diese also nicht)

Security Association (SA)

• IPsec stützt sich auf die SAs, daraus werden geteilte Sicherheits-Attribute abgelitten
• wird bei AH/ESP benutzt
• zum Austausch des Verschlüsselungs-Modues (zB IDEA vs DES)
• zum Austausch von Hash-Funktionen
• für die Sitzung und deren Lebensdauer
• für den Sitzungs-Schlüssel
• für den Authentifizierungs-Algorithmus für beide Parteien
  • mit pre-shred-key (Schlüssel-Austausch-Problem dadurch überwunden, ISAKMP)
  • mit asymmetrischen Schlüsseln, wobei die öffentlichen dann ausgetauscht werden (IKEv1/2, KINK, IPSECKEY)
  • mit (asymmetrischen) von einer gemeinsamen CA derivierten Schlüsseln
• arbeitet mit Security Parameter Index (SPI) und Security Association Data Base (SAD)
• bei multicast: SA wird eingerichtet für die Gruppen mit verschiedenen SPIs => verschiedene Sicherheits_Niveaus in der Gruppe

IPsec Transport Modus

• hier wird normalerweise nur die Nutzlast verschlüsselt
• Routing bleibt unangetastet im Header
• bei Nutzung des authentication header muss die ip+port gleich bleiben, weil sie dort gehasht vorliegt
• deswegen wird bei NAT NAT-Traversal (NAT-T) empfohlen

IPsec Tunnel Modus

• hier wird das gesamte Paket verschlüsselt + authentisierungs-code versehen
• dann kommt es in ein neues Paket mit neuem Header
• zum Aufbau von VPNs bei Netzwerk-zu-Netzwerk/Host-zu-Netzwerk/Host-zu-Host
• unterstützt NAT

Security Policy Database

Hier werden einige SPIs aufbewahrt. Die werden zum Anbahnen der Verbindung gebraucht. Die Einträge hier sind zusatandslos.

Security Association Database

Hier werden SAs verwaltet. Diese sind zustandsbehaftet und ändern sich relativ häufig.

Es werden Daten zu Schlüsseln, AH und ESP aufbewahrt. Das bedeutet, dass sich darin für den Sender zB Verschlüsselungsmaßnahmen, für den Empfänger Entschlüsselungsmaßnahmen befinden.