Was ist IPsec und welche Funktion erfüllt es für ein VPN?

Das Internet Engineering Task Force (IETF) entwickelte IPsec als Reaktion auf die Sicherheitslücken im Internet Protocol (IPv4). Es war für niemanden eine Herausforderung, Daten im Internet, die über IPv4 zugestellt waren, abzufangen. Daher kam IPsec ins Spiel. IPsec adressiert die Sicherheitsdefizite von IPv4 durch die Verwendung von Sicherheitsprotokollen, um sicherzustellen, dass die Kommunikation im Internet sicher ist. 

IPsec arbeitet auf der Netzwerkebene des Open Systems Interconnection (OSI) Modells und kann verwendet werden, um sicher zwischen Netzwerken und Hosts zu kommunizieren. Folglich finden IPsec-Implementierungen in Host-zu-Host-, Netzwerk-zu-Host- und Netzwerk-zu-Netzwerk-Kommunikationen statt. 

IPsec ist in jeder Branche beliebt, die eine Ende-zu-Ende-Sicherheit zwischen zwei Endpunkten erfordert, insbesondere in der VPN-Branche. VPNs nutzen unter anderem IPsec, um Daten während der Übertragung zu sichern, da es Datenintegrität, Vertraulichkeit und Authentifizierung bietet. Dieser Artikel konzentriert sich auf das Verständnis von IPsec und warum VPNs davon abhängig sind, um den Internetverkehr ihrer Nutzer zu schützen. 

Was ist IPsec?

Internet Protocol Security (IPsec) ist ein Protokoll-Set oder eine Gruppe von Protokollen, die zusammenarbeiten, um eine sichere Verbindung zwischen Computern über das Internet herzustellen. IPsec bietet verschlüsselte Verbindungen, die Dritten den Einblick in den Inhalt der Kommunikation zwischen den beteiligten Computern verwehren. Neben der Verschlüsselung bietet IPsec auch einen Mechanismus zur Authentifizierung von Datenpaketen, um sicherzustellen, dass sie von der richtigen Quelle stammen. Werfen wir einen Blick auf die standardmäßigen Sicherheitsfunktionen, die IPsec bietet. 

1. Authentifizierung: Durch die Authentifizierung von Daten an beiden Enden der Verbindung stellt IPsec sicher, dass die Endpunkte vertrauenswürdig sind, bevor die Datenübermittlung beginnt. 

2. Vertraulichkeit: IPsec gewährleistet durch Ende-zu-Ende-Datenverschlüsselung, dass bösartige Einheiten das Netzwerk nicht infiltrieren, Daten stehlen oder das Netzwerk abhören können. 

3. Integrität: IPsec verwendet Hashing, um die Datenintegrität zu prüfen und gewährleistet so, dass veränderte Daten abgefangen werden. 

4. Anti-Replay: IPsec verwendet Sequenznummern, um sicherzustellen, dass böswillige Akteure Datenpakete nicht replizieren können, um das Netzwerk zu infiltrieren. 

IPsec kann zwischen zwei Hosts (Host-zu-Host), zwischen zwei Netzwerken/Gateways (Netzwerk-zu-Netzwerk) oder zwischen einem Host und einem Netzwerk (Netzwerk-zu-Host) eingesetzt werden. Darüber hinaus finden Sie die Implementierung von IPsec in Sicherheitsbereichen wie Virtual Private Networks (VPNs), Routing-Sicherheit und Anwendungsebenensicherheit. IPsec allein ist möglicherweise nicht ausreichend effektiv für eine hohe Sicherheit, weshalb es in einigen Fällen zusammen mit anderen Protokollen implementiert wird. 

IPSec-Protokolle

Es gibt drei Protokolle, die Teil der IPsec-Suite sind. Diese Protokolle arbeiten zusammen, um Datenauthentifizierung, Integrität, Vertraulichkeit und Anti-Replay zu bieten. Schauen wir sie uns unten an. 

1. Authentifizierungs-Header (AH)

Die Hauptaufgabe des Authentifikations-Headers besteht darin, IP-Datenpakete zu authentifizieren. Mit Hilfe von Hash-Funktionen und einem geheimen Schlüssel validiert er jedes Paket von beiden Enden des VPN-Tunnels. Dies verhindert, dass bösartige Entitäten Daten manipulieren und sie als echt ausgeben. Der AH bietet Authentifikation, Integrität und Schutz vor Wiederholungsangriffen. Er bietet jedoch keine Form der Verschlüsselung.

2. Encapsulating Security Payload (ESP)

Die Hauptaufgabe des Encapsulating Security Payload besteht darin, Datenpakete zu verschlüsseln. Je nach IPsec-Modus verschlüsselt er nur die Nutzdaten oder die Nutzdaten und den IP-Header. Der Transportmodus erlaubt es ESP nur, das Transportschichtsegment und die Nutzdaten zu verschlüsseln, wobei der IP-Header unverschlüsselt bleibt. Andererseits verschlüsselt ESP im Tunnel-Modus den IP-Header zusammen mit dem Transportschichtsegment und der Nutzlast. ESP bietet Authentifikation, Integrität, Vertraulichkeit und Schutz vor Wiederholungsangriffen.

3. Sicherheitsvereinbarung (SA)

Für die Verhandlung von Verschlüsselungsalgorithmen und Schlüsseln setzt IPSec Sicherheitsvereinbarungen ein, die die Endpunkte nutzen, um Sicherheitsprotokolle festzulegen. Einfach ausgedrückt ist eine Sicherheitsvereinbarung lediglich eine Möglichkeit für die beiden Endpunkte, sich auf Parameter zu einigen, die den IPsec-Tunnel sicher etablieren und erhalten.

Die Sicherheitsvereinbarungen von IPsec erfordern drei Dinge: einen Sicherheitsparameterindex (SPI), die Ziel-IP-Adresse und das IPsec-Protokoll (AH oder ESP). Sicherheitsvereinbarungen funktionieren in eine Richtung, daher benötigen Sie für jeden Endpunkt zwei Sicherheitsvereinbarungen (ausgehend und eingehend). IPsec verwendet das Internet Security Association and Key Management Protocol (ISAKMP) zur Einrichtung von Sicherheitsvereinbarungen. 

Wie funktioniert IPsec?

Im Folgenden betrachten wir, wie IPsec eine sichere Verbindung zwischen zwei Endpunkten herstellt und Daten vom Ursprung bis zum Ziel schützt. 

1. Schlüsselaustausch

Das Internet Key Exchange Protocol (IKE) übernimmt die Verhandlung von Schlüsseln und Algorithmen, die beide Endpunkte verwenden werden. Daher ist es ein ausschlaggebender Prozess bei der Verwendung von IPsec, um eine sichere und verlässliche Verbindung herzustellen. IKEv1 hat zwei Phasen: IKE Phase 1 und IKE Phase 2. 

Ziel der IKE Phase 1 ist es, dass die Endpunkte Vorschläge zur Authentifizierung und Sicherung der Verbindung zwischen ihnen austauschen. Sie tauschen Vorschläge für Sicherheitsparameter wie Verschlüsselungsalgorithmen, Authentifizierungsalgorithmen, Diffie-Hellman (DH) Gruppen und vorausgewählte Schlüssel oder RSA/DSA Zertifikate aus. Als Resultat sollten am Ende dieser Phase mindestens eine bidirektionale ISAKMP Sicherheitsvereinbarung zwischen den Parteien eingerichtet sein. Phase 1 kann entweder im Hauptmodus (insgesamt sechs Nachrichten zwischen den Endpunkten) oder im Aggressivmodus (insgesamt drei Nachrichten zwischen den Endpunkten) genutzt werden. 

Die Phase 2 des IKE beginnt, nachdem die Endpunkte oder Peers eine sichere Verbindung hergestellt haben. In dieser Phase verhandeln die Endpunkte Sicherheitsassoziationen (SAs), die dafür sorgen, dass die Daten, die durch den IPsec-Tunnel fließen, sicher sind. Ein Sicherheitsprotokoll (ESP oder AH), Verschlüsselungsalgorithmen und Authentifizierungsalgorithmen werden in dieser Phase ausgehandelt. Zusätzlich können auch eine Diffie-Hellman (DH)-Gruppe und Perfect Forward Secrecy Teil des Vorschlags sein. 

IKEv2, die aktualisierte Version von IKEv1, hat keine Phase 1 oder Phase 2. Die Endpunkte tauschen jedoch vier Nachrichten aus, um Sicherheitsparameter für den IPsec-Tunnel zu verhandeln. VPNs bevorzugen die Verwendung von IKEv2, da es einfacher zu konfigurieren und sicherer ist. 

2. Paketheader und -trailer

Nachdem die Endpunkte sich auf die Sicherheitsparameter geeinigt haben, können sie nun Daten austauschen. Zunächst müssen IP-Pakete gekapselt werden. Abhängig davon, ob Sie den Tunnel- oder den Transportmodus verwenden, fügt IPsec die erforderlichen Header und Trailer zu jedem Paket hinzu, das transportiert werden muss. 

3. Authentifizierung und Verschlüsselung

IPsec wendet Authentifizierung und Verschlüsselung mit AH und ESP an. AH bietet keine Verschlüsselung, aber es authentifiziert Datenpakete. ESP hingegen bietet sowohl Verschlüsselung als auch Authentifizierung. 

4. Übertragung

IP-Pakete können nun mit Hilfe eines Transportprotokolls (vorzugsweise UDP) durch die IPsec-Verbindung zu den Endpunkten bewegt werden.

5. Entschlüsselung

Die Entschlüsselung erfolgt am Empfangsende der Verbindung. Einmal entschlüsselt, werden die Daten an die Anwendung weitergeleitet, die sie benötigt. 

IPsec Transportmodus Vs. Tunnelmodus

IPsec hat zwei Betriebsmodi: Tunnel und Transport. Lassen Sie uns unten betrachten, was jeden von ihnen unterscheidet. 

Transportmodus

Eine IPsec-Verbindung im Transportmodus stellt normalerweise eine Direktverbindung zwischen zwei Hosts dar. Die Endpunkte verschlüsseln oder authentifizieren im Transportmodus nicht das gesamte IP-Paket, sondern nur die Nutzlast. Da der IP-Header nicht modifiziert oder gekapselt wird, können Geräte von Dritten außerhalb der beiden Endpunkte das Ziel und den Ursprung der Pakete sehen. 

Tunnelmodus

Eine IPsec-Verbindung im Tunnelmodus besteht in der Regel zwischen zwei Gateways (Netzwerk-zu-Netzwerk-Kommunikation): zwei Routern oder einem Router und einer Firewall. Sie kann jedoch auch für Host-zu-Host- und Host-zu-Netzwerk-Kommunikationen verwendet werden. In diesem Modus wird nicht nur die Nutzlast verschlüsselt; das gesamte IP-Paket wird verschlüsselt und authentifiziert. VPNs nutzen den IPsec-Tunnelmodus, da er das gesamte Netzwerk durch eine Ende-zu-Ende-Verschlüsselung sichert und nicht nur die Daten, die hindurchlaufen. 

IPsec in einem VPN

Da ein VPN einen sicheren Weg zur Kommunikation über das Internet bietet, ist es nur logisch, dass IPsec eines der von VPNs verwendeten Protokolle ist. Wenn VPNs IPsec verwenden, nutzen sie aufgrund der gebotenen Ende-zu-Ende-Verschlüsselung in der Regel ESP im Tunnelmodus. In einigen Fällen werden Sie entweder IKEv2/IPsec oder IKEv2 als VPN-Protokolle angeboten bekommen. Beide bezeichnen das Gleiche, da IKEv2 den IPsec-Tunnelmodus zur Herstellung einer sicheren Verbindung verwendet. 

Außerdem kombinieren VPNs weniger sichere Protokolle wie L2TP mit IPsec, um sichere Verbindungen zu gewährleisten. Deshalb wird man häufig L2TP/IPsec als Option in einigen VPN-Anwendungen sehen. Nun wollen wir uns anschauen, wie IPsec grundlegend funktioniert, wenn Sie auf den Verbinden-Knopf in Ihrer VPN-Anwendung klicken. 

1. Sobald Sie auf den “Verbinden”-Knopf klicken, beginnt IPsec eine sichere Verbindung mit Hilfe von ESP und dem Tunnel-Modus herzustellen. 

2. Die Endpunkte des Tunnels vereinbaren Sicherheitsparameter mithilfe von Sicherheitsassoziationen (SAs). 

3. Jetzt können Daten von einem Ende zum anderen sicher übertragen werden, da an beiden Endpunkten Verschlüsselung und Entschlüsselung stattfinden. Ein Endpunkt empfängt IP-Pakete, verschlüsselt sie und überträgt sie an den anderen Endpunkt. Am Empfangsende entschlüsselt der andere Endpunkt die IP-Pakete und sendet sie an die entsprechende Anwendung. 

Das Vorstehende ist keine umfassende Erklärung, sollte Ihnen aber eine Vorstellung davon geben, wie IPsec in einem VPN funktioniert. 

Fazit

IPsec ist wichtig, wenn Sie Datengeheimhaltung, Integrität und Authentizität zwischen zwei Endpunkten benötigen. Die meisten VPNs beinhalten IPsec (IKEv2/IPsec oder L2TP/IPsec) als Teil der sicheren VPN-Protokolle, die sie anbieten.  Wir hoffen, dass Ihnen dieser Artikel hilft, IPsec zu verstehen und zu erkennen, welch wichtige Protokollsuite VPNs zur Sicherung der Kommunikation im Internet verwenden.