VPN: Daten sicher übers Internet

Sicherheitsmerkmale von IPSec

Über einen Authentifizierungs-Header (AH) stellt IPSec sicher, dass das empfangene Paket tatsächlich vom richtigen Absender stammt (und nicht etwa von einem Hacker, der sich in die Kommunikation einmischen will) und dass das Paket nicht verändert wurde (Integrität). Der AH enthält Informationen zur Authentifizierung und eine Sequenznummer, um zu vermeiden, dass mit alten Paketen eine "Replay"-Attacke gestartet wird. Er ist allerdings nicht verschlüsselt.

Verschlüsselung lässt sich über den Encapsulation Security Header (ESH) erzielen. Dabei wird die Nutzlast komplett verschlüsselt und über den ESH sendet das VPN Informationen hinsichtlich der Verschlüsselung. Der ESH enthält auch Mechanismen zur Authentifizierung und Datenintegrität, sodass kein zusätzlicher AH notwendig ist.

Die eigentliche Methode zur Verschlüsselung und Authentifizierung ist dabei nicht festgelegt. Allerdings hat die IETF bestimmte Algorithmen zwingend für IPSec-Implementationen festgelegt, um Interoperabilität zwischen verschiedenen Produkten zu erreichen. Dazu gehören etwa MD5, DES oder der Secure Hash Algorithm.

IPSec benutzt unter anderem folgende Standards und Verfahren:

• Diffie-Hellman zum Austausch von Schlüsseln zwischen den beiden beteiligten Stationen

• Public Key Verschlüsselung, um die ausgetauschten Schlüssel zu signieren und die Identität der beteiligten Stationen zu garantieren

• Verschlüsselungs-Algorithmen wie DES, um den eigentlichen Datenaustausch zu sichern

• Hash-Algorithmen, um die einzelnen Datenpakete zu authentifizieren

• Digitale Signaturen, um als digitale Ausweise zu dienen