IPsec - Security Architecture for IP

IPsec ist eine Erweiterung des Internet-Protokolls (IP) um Verschlüsselungs- und Authentifizierungsmechanismen. Damit erhält das Internet-Protokoll die Fähigkeit IP-Pakete kryptografisch gesichert über öffentliche unsichere Netze zu transportieren. IPsec wurde von der Internet Engineering Task Force (IETF) als integraler Bestandteil von IPv6 entwickelt. Weil das Internet-Protokoll der Version 4 keine Sicherheitsmechanismen hat, wurde IPsec für IPv4 nachträglich spezifiziert.

Bestandteile von IPsec-VPNs

Interoperalitität
kyptografischer Schutz der übertragenen Daten
Zugangskontrolle
Datenintegrität
Authentifizierung des Absenders (Benutzerauthentifizierung)
Verschlüsselung
Authentifizierung von Schlüsseln
Verwaltung von Schlüsseln (Schlüsselmanagement)

Hinter diesen Bestandteilen stehen Verfahren, die miteinander kombiniert eine zuverlässige Sicherheit für die Datenübertragung über öffentliche Netze bieten. VPN-Sicherheitslösungen mit hohen Sicherheitsanforderungen setzen generell auf IPsec.

Einsatz-Szenarien

Gateway-zu-Gateway-VPN (LAN-to-LAN)
Host-zu-Gateway-VPN (Remote-Access)
Host-zu-Host-VPN (P2P oder Remote-Desktop)

Prinzipiell eignet sich IPsec für Gateway-zu-Gateway-Szenarien. Also die Verbindung von Netzen über ein unsicheres Netz. Ebenso denkbar ist das Host-zu-Gateway-Szenario, dass dem Remote-Access-Szenario entspricht. Wobei die Komplexität von IPsec und einige Unzulänglichkeiten von TCP/IP hier gelegentlich Probleme bereiten können. Eher untypisch ist das Host-zu-Host-Szenario, aber ebenso möglich.

IPsec hat den Nachteil, dass es nur IP-Pakete tunneln kann. Außerdem ist es ohne zusätzliche Protokolle eher ungeeignet für Remote Access, da die Funktionen zur Konfiguration von IP-Adresse, Subnetzmaske und DNS fehlen. Deshalb macht es Sinn, zur Realisierung eines VPNs außer IPsec auch L2TP (Layer 2 Tunneling Protocol), PPTP (Point-to-Point Tunneling Protocol) oder SSL-VPN in Betracht zu ziehen.

IPsec Vertrauensstellungen - Security Association

IPsec Vertrauensstellungen - Security Association
Hauptbestandteil von IPsec sind die Vertrauensstellungen (Security Association) zwischen zwei Kommunikationspartnern. Eine Vertrauensstellung muss nicht zwangsläufig zwischen den Endpunkten (Client) einer Übertragungsstrecke liegen. Es reicht aus, wenn z. B. bei der Kopplung zweier Netze die beiden Router über eine Vertrauensstellung verfügen. Selbstverständlich dürfen auch mehrere Vertrauensstellungen für eine Verbindung vorhanden sein.
Die Vertrauensstellungen regeln die Kommunikation von IPsec. Die relativ flexiblen Kombinationen von Vertrauensstellungen erfordern einen sehr hohen Konfigurationsaufwand.

Um eine gesicherte Verbindung zwischen zwei Stationen aufbauen zu können, müssen auf beiden Seiten einige Parameter ausgetauscht werden:

Art der gesicherten Übertragung (Authentifizierung oder Verschlüsselung)
Verschlüsselungsalgorithmus
Schlüssel
Dauer der Gültigkeit der Schlüssel

Vertrauensstellungen werden durch den Austausch vorab definierter Schlüssel hergestellt. Eine andere Form ist die Vergabe von Zertifikaten durch ein Trust-Center oder einen installierten Zertifikate-Server. Schlüssel und Zertifikate sollen sicherstellen, dass derjenige welcher einen Schlüssel oder ein Zertifikat besitzt, auch derjenige ist, für den er sich ausgibt. Ähnlich wie bei einem Personalausweis, mit dem sich eine Person gegenüber einer anderen Person ausweist.

Pre-Shared Keys (PSK)
X.509-Zertifikate

Schlüssel oder Zertifikate, ganz egal, beide Methoden benötigen viel Zeit und Sorgfalt bei der Einrichtung. Die einfachere Variante ist der geheime Schlüssel. Wichtig ist, dass die beiden Endpunkte über IP-Adresse, Subnetzmaske, Tunnelname und den geheimen Schlüssel informiert sind. Zusätzlich gibt es Parameter, die die Details der Authentifizierung, Verschlüsselung und die Länge des Schlüssels festlegen.

Tunneling und Verschlüsselung

Die zentralen Funktionen in der IPsec-Architektur sind das AH-Protokoll (Authentification Header), das ESP-Protokoll (Encapsulating Security Payload) und die Schlüsselverwaltung (Key Management). Authentizität, Vertraulichkeit und Integrität erfüllt IPsec durch AH und ESP.
Für den Aufbau eines VPN gibt es in IPsec den Authentication Header (AH) und den Encapsulating Security Payload (ESP). Beide können gemeinsam oder eigenständig genutzt werden. In beiden Verfahren findet eine gesicherte Übertragung statt.
Das AH-Protokoll sorgt für die Authentifizierung der zu übertragenen Daten und Protokollinformationen. Das ESP-Protokoll erhöht die Datensicherheit in Abhängigkeit des gewählten Verschlüsselungsalgorithmus.

IPsec setzt kein bestimmtes Verschlüsselungs- und Authentifizierungsverfahren voraus. Gängige Verfahren sind DES, Triple-DES (3DES) und SHA-1. Weil IPsec-Implementierungen kein bestimmtes Verfahren beherrschen müssen, entstehen häufig Probleme, wenn unterschiedliche VPN-Produkte zusammenarbeiten müssen.

Schlüsselverwaltung mit IKE - Internet Key Exchange Protocol

Es gibt zwei Wege für die Verwaltung und Verteilung der Schlüssel innerhalb eines VPNs. Neben der reinen manuellen Schlüsselverwaltung, kann auch das Internet Key Exchange Protocol (IKE) eingesetzt werden.
Vor der geschützten Kommunikation müssen sich die Kommunikationspartner über die Verschlüsselungsverfahren und Schlüssel einig sein. Diese Parameter sind Teil der Sicherheitsassoziation (Vertrauensstellungen) und werden von IKE/IKEv2 automatisch ausgehandelt und verwaltet.
Das Internet-Key-Exchange-Protokoll dient der automatischen Schlüsselverwaltung für IPsec. Es verwendet das Diffie-Hellman-Verfahren zum sicheren Erzeugen von Schlüsseln über ein unsicheres Netz. Auf Basis dieses Verfahren wurden einige Schlüsselaustauschverfahren entwickelt, die zum Teil die Grundlage für Internet Key Exchange bilden.
IKE basiert auf dem Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP ist ein Regelwerk, das das Verhalten der beteiligten Gegenstellen genau festlegt. Wie das zu erfolgen hat, legt IKE fest. Die Flexibilität von IKE äußert sich in seiner Komplexität. Wenn unterschiedliche IPsec-Systeme keine Sicherheitsassoziationen austauschen können, dann liegt das meistens an einer fehlerhaften IKE-Implementierung oder fehlende Verschlüsselungsverfahren.

Version 2 des Internet-Key-Exchange-Protokolls (IKEv2) vereinfacht die Einrichtung eines VPNs. Es ist wesentlich einfacher, flexibler und weniger fehleranfällig. Insbesondere soll das Mobility and Multihoming Protocol (MOBIKE) dafür sorgen, dass IPSec-Tunnel in mobilen Anwendungen erheblich zuverlässiger funktionieren.
IKEv2 korrigiert einige Schwachstellen bzw. Probleme der Vorgänger-Version. Die Definition wurde in ein Dokument zusammengefasst, der Verbindungsaufbau vereinfacht und viele Verbesserungen hinzugefügt. Insgesamt ist IKEv2 weniger komplex als die Vorgänger-Version. Das erleichtert die Implementierung und erhöht die Sicherheit.
IKEv2 ist allerdings nicht abwärtskompatibel zu IKE. Beide Protokolle werden aber über denselben UDP-Port betrieben.

Probleme mit NAT

Hat man sichergestellt, dass die VPN-Gegenstellen die gleichen Verschlüsselungsverfahren unterstützen und die IKE-Implementierung fehlerfrei ist, dann kann der Schlüsselaustausch mit IKE noch an den beteiligten NAT-Routern scheitern.
Ob VPN funktioniert, hängt im wesentlichen auch von der NAT-Technik des Routers ab. Je nach NAT-Behandlung bekommt ein IP-Paket eine neue IP-Adresse und gegebenenfalls eine neue Quell-Portnummer. Wenn aber die Original-IP-Adressen und TCP-Ports verschlüsselt sind, kommt der NAT-Router nicht an sie heran. So ist eine Zuordnung nicht möglich.

IPsec-Passthrough

NAT-Router scheitern bei der Zuordnung der Tunnelpakete zu den Clients. Die dafür erforderliche Information wird während des gesicherten Schlüsselaustauschs übertragen. Und da hat der NAT-Router keinen Einblick. Die Information wird im SPI-Wert (Security Parameters Index) mitgegeben. Damit kann der Tunnel einem Host zugeordnet werden. Wegen der verschlüsselten Übertragung des SPIs kann der NAT-Router diesen Wert nicht mitlesen.
Abhilfe schafft hier das IPsec-Passthrough-Verfahren in NAT-Routern, bei denen die Port-Zuordnung (IKE) nicht verändert wird. Die IP-Adresse der ESP-Pakete wird dabei für einen Client umgeschrieben. Das bedeutet, die mit ESP behandelten Pakete können nur einer Verbindung und einem Client zugeordnet werden. Deshalb funktioniert IPsec-Passthrough hinter einem NAT-Router nur mit einem einzigen Client.
Weil in der Regel immer mehr als ein Client eine IPsec-Verbindung betreiben möchte, ist das ursprüngliche IPsec kaum noch in Gebrauch. Man setzt auf die IPsec-Erweiterung NAT-Traversal.

IPsec-NAT-Traversal

Weil das ursprüngliche IPsec kaum funktioniert setzt man es in der Regel mit der IPsec-Erweiterung NAT-Traversal ein. In diesem Szenario tauschen beide Kommunikationspartner über das NAT-Traversal-Protokoll verschiedene Informationen aus. Im Anschluss werden die ESP-Pakete in UDP-Pakete verpackt und über Port 4500 verschickt. Dann können die NAT-Router ohne Probleme IP-Adressen und Ports umschreiben.

NAT-Traversal ist im IKE-Protokoll integriert (Negotiation of NAT-Traversal in the IKE). Während des Aufbaus einer IKE Security Association, wird versucht zu erkennen, ob sich ein NAT-System zwischen den Gegenstellen befindet. Wenn ja, dann wird die Einkapselung der IPsec-Pakete in UDP-Pakete ausgehandelt. Das bedeutet, das zwischen IP-Header und ESP-Header ein UDP-Header eingefügt wird. Die vollständige Bezeichnung dafür ist UDP Encapsulation of IPsec ESP Packets. In der Regel bezeichnet man diesen Vorgang als IPsec-NAT-Traversal.
Damit das Ganze auch funktioniert muss der Responder den Port 4500 (UDP und TCP) geöffnet haben. Der Responder ist derjenige, der auf die Initialisierung der IKE Security Association antwortet.

IPsec wird in der Regel immer mit der Erweiterung NAT-Traversal verwendet. Es funktioniert praktisch mit jedem NAT-Router. Die können die IP-Adresse und Ports nach belieben umschreiben.

Ablauf zum Aufbau eines VPNs mit IPsec-NAT-Traversal

Zuerst wird ermittelt, ob die Gegenstellen die notwendigen Verfahren überhaupt beherrschen.
Dann wird versucht die NAT-Systeme auf dem Übertragungsweg zu erkennen.
NAT-Keep-Alive wird auf der richtigen Seite aktiviert. Das sorgt dafür, dass die Einträge in der Tabelle der NAT-Router nicht aufgrund von Timeouts gelöscht werden.
Bei Bedarf, und das ist die Regel, wird NAT-Traversal aktiviert

Danach beginnt die Aushandlung Vertrauensstellungen. Dazu generiert das eine Ende von zwei VPN-Endpunkten eine Anfrage an das Zielsystem. Das Zielsystem antwortet und leitet den Schlüsselaustausch per Internet Key Exchange (IKE) ein. Beide Endpunkte handeln dabei Verschlüsselungs- und Authentifizierungsverfahren aus. Über einen Schlüssel oder ein Zertifikat, das beide System kennen, wird eine Vertrauensstellung zueinander hergestellt. Für beide Seiten wird dann der digitale Master-Schlüssel erzeugt.
Beide Seiten legen dann die Verschlüsselungs- und Authentifizierungsverfahren für die Datenübertragung fest. Mit dem Master-Schlüssel wird der Schlüssel für die Datenübertragung erzeugt. Die Daten werden dann ausgetauscht und die Verbindung hergestellt.

Übersicht: VPN-Technik und - Protokolle

Weitere verwandte Themen:

Fragen zur Fernwartung?

Sind Sie auf der Suche nach einer Rundum-Sorglos-Lösung zur sicheren Verbindung von Technikern mit Maschinen über VPN-Netzwerke für Fernwartung oder Condition-Monitoring? Dann rufen Sie an und vereinbaren ein kostenloses Beratungsgespräch.
Zu unseren Kunden zählen Maschinen- und Anlagenbauer sowie namhafte Automobilhersteller.
Wir haben Lösungen für jede Ihrer Anforderungen - von der Stange oder nach Maß.

Rufen Sie an: 07141 / 64 89 726

Bookmark

Produkt		Preis
	Kommunikationstechnik-Fibel	EUR 24,50
	Die Kommunikationstechnik-Fibel beinhaltet den Themenbereich Kommunikationstechnik von Elektronik-Kompendium.de. Dieses Buch setzt sich aus den Grundlagen der Kommunikationstechnik, Netz, Mobilfunktechnik, Breitbandtechnik und Next Generation Netzwork (IMS/VoIP) zusammen. Für die 2. Auflage wurde dieses Buch gründlich überarbeitet und in vielen Teilen neu geschrieben.

	Schnellsuche:	Newsletter: anmelden abmelden
	das ELKO ELKO Shop Elektronik-Magazin Elektronik-Quest Forum