VPN: Daten sicher übers Internet
IPSec ohne Tunnel
I PSec hat gegenüber den anderen Verfahren einen weiteren Vorteil: Es kann auch als "normales" Transportprotokoll verwendet werden. Dabei wird nicht wie beim Tunnel-Modus das gesamte IP-Paket verschlüsselt und in ein neues eingepackt. Statt dessen wird nur die reine Nutzlast verschlüsselt. Der Original-Header mit Absender- und Zielangaben bleibt erhalten. Dadurch müssen weniger zusätzliche Daten (Overhead) übermittelt werden, die Bandbreitenbelastung ist geringer. Dafür kann ein Hacker aber auch lokalisieren, von wem die Daten kommen und an wen sie gehen. Da die Informationen oberhalb der Ebene 3 im OSI-Modell jedoch verschlüsselt sind, kann der Hacker nicht feststellen, ob es sich um eine Kommunikation mit dem E-Mail-Server handelt oder um eine andere Art von Kommunikation.
Ablauf einer IPSec-Verbindung
Bevor zwei Stationen Daten über IPSec austauschen können, muss eine ganze Reihe von Schritten durchgeführt werden.
Zunächst ist der Sicherheitsdienst festzulegen. Dabei einigen sich die Stationen, ob Verschlüsselung, Authentifizierung/Integrität oder alle drei verwendet werden sollen.
Danach legen sie die exakten Algorithmen fest; etwa DES zur Verschlüsselung und MD5 für die Integrität.
Im nächsten Schritt müssen Schlüssel für die Sitzung ausgetauscht werden.
Für die Sicherung der Kommunikation verwendet IPSec die sogenannte Security Association (SA). Eine SA bezeichnet die Beziehung zwischen zwei oder mehreren Stationen und beschreibt, wie diese Stationen Sicherheitsdienste zur Kommunikation verwenden. SAs werden über den Security Parameter Index (SPI) eindeutig gekennzeichnet. Der SPI besteht aus einer Zufallszahl und der Zieladresse. Das heißt, zwischen zwei Stationen bestehen immer zwei SPIs: einer für die Kommunikation von A nach B und einer für den umgekehrten Weg.
Will eine Station Daten gesichert übertragen, überprüft es die mit der Zielstation vereinbarte Sicherheitsassoziation und wendet die spezifizierten Verfahren auf das Datenpaket an. Dann schreibt sie den SPI in den Paketheader und schickt das Paket an die Zieladresse.