VPN: Daten sicher übers Internet
Sicherheitsmerkmale von IPSec
Über einen Authentifizierungs-Header (AH) stellt IPSec sicher, dass das empfangene Paket tatsächlich vom richtigen Absender stammt (und nicht etwa von einem Hacker, der sich in die Kommunikation einmischen will) und dass das Paket nicht verändert wurde (Integrität). Der AH enthält Informationen zur Authentifizierung und eine Sequenznummer, um zu vermeiden, dass mit alten Paketen eine "Replay"-Attacke gestartet wird. Er ist allerdings nicht verschlüsselt.
Verschlüsselung lässt sich über den Encapsulation Security Header (ESH) erzielen. Dabei wird die Nutzlast komplett verschlüsselt und über den ESH sendet das VPN Informationen hinsichtlich der Verschlüsselung. Der ESH enthält auch Mechanismen zur Authentifizierung und Datenintegrität, sodass kein zusätzlicher AH notwendig ist.
Die eigentliche Methode zur Verschlüsselung und Authentifizierung ist dabei nicht festgelegt. Allerdings hat die IETF bestimmte Algorithmen zwingend für IPSec-Implementationen festgelegt, um Interoperabilität zwischen verschiedenen Produkten zu erreichen. Dazu gehören etwa MD5, DES oder der Secure Hash Algorithm.
IPSec benutzt unter anderem folgende Standards und Verfahren:
Diffie-Hellman zum Austausch von Schlüsseln zwischen den beiden beteiligten Stationen
Public Key Verschlüsselung, um die ausgetauschten Schlüssel zu signieren und die Identität der beteiligten Stationen zu garantieren
Verschlüsselungs-Algorithmen wie DES, um den eigentlichen Datenaustausch zu sichern
Hash-Algorithmen, um die einzelnen Datenpakete zu authentifizieren
Digitale Signaturen, um als digitale Ausweise zu dienen