IPSec VPN: Was es ist und wie es funktioniert

Was ist IPSec?

Die IPSec Protokoll-Suite beinhaltet Authentication Header (AH), Encapsulated Security Payload (ESP), Internet Security Association and Key Management Protocol (ISAKMP), sowie IP Payload Compression (IPComp).

• Authentication Header (AH): AH bietet eine Authentifizierung der Datenherkunft von IP-Paketen (Datagrammen), garantiert verbindungslose Integrität und bietet Schutz gegen Replay-Attacken (dank der Sliding-Window-Technik). Der AH bietet außerdem bedeutende Authentifizierungen für sowohl IP-Header als auch Upper-Layer-Protokolle.
• Encapsulating Security Payload (ESP): ESP ist für Authentifizierung, Integrität und Vertraulichkeit von Daten zuständig. ESP bietet außerdem die Vertraulichkeit von Nutzdaten und die Authentifizierung von Nachrichten innerhalb der IPSec-Protokoll-Suite.
Im Tunnel-Modus wird das komplette IP-Paket eingekapselt, während im Transport-Modus nur die Nutzdaten geschützt werden.
• Internet Security Association and Key Management Protocol (ISAKMP): ISAKMP hat die Aufgabe, Security Association (SAs) zu erstellen – eine Reihe von im Voraus vereinbarter Schlüssel und Algorithmen, die von Parteien beim Aufbau eines VPN-Tunnels genutzt werden. Dazu zählen Kerberized Internet Negotation of Keys (KINK) und Internet Key Exchange (IKE und IKEv2).
• IP Payload Compression (IPComp): IPComp ist ein Low-Level-Kompressionsprotokoll, welches die Größe der IP-Pakete reduziert und dadurch die Kommunikation zwischen zwei Parteien verbessert. Das ist insbesondere dann nützlich, wenn die Kommunikation übermäßig langsam ist, beispielsweise bei überlasteten Verbindungen.
IPComp bietet keine Sicherheit und muss mit AH oder ESP über VPN-Tunnel verwendet werden.

IPSec VPN Funktionsweisen

Werfen wir einen Blick auf die beiden IPSec VPN-Modi und vergleichen sie:

IPSec Tunnel-Modus

Die VPN-Verschlüsselung im Tunnel-Modus kapselt jedes ausgehende Paket mit neuen IPSec-Paketen unter Verwendung von ESP ein. Der Tunnel-Modus nutzt auch AH zur Authentifizierung der Server-Seite.

Folglich nutzt IPSec den Tunnel-Modus bei sicheren Gateways wie Firewalls, die auf die die beiden kommunizierenden Parteien verbindet.

Transport-Modus

Der Transport-Modus verschlüsselt und authentifiziert die zwischen den beiden kommunizierenden Parteien versendeten IP-Pakete.

Als solches wird der Transport-Modus häufig für Ende-zu-Ende-Kommunikation zwischen Parteien reserviert, da er den IP-Header der ausgehenden Pakete nicht verändert.

Kryptografische Algorithmen für IPSec

IPSec stützt sich auf sichere Algorithmen, die Vertraulichkeit, Integrität und Authentizität gewährleisten.

Dazu zählen:

• Algorithmen zur Authentifizierung wie RSA, PSK und Elliptic Curve Cryptography
• Symmetrische Algorithmen zur Verschlüsselung wie AES-CBC und GCM, HMAC-SHA, TripleDES und ChaCha20-Poly1305
• Algorithmen zum Schlüsselaustausch wie Elliptic Curve Diffie-Hellman und der Diffie-Hellman-Schlüsselaustausch

Wie funktioniert IPSec?

Im Folgenden bekommst du Schritt für Schritt einen allgemeinen Überblick, wie IPSec funktioniert.

Für gewöhnlich beginnt dieser Prozess damit, dass die Hosts (die kommunizierenden Parteien) festlegen, dass eingehende oder ausgehende Pakete IPSec nutzen müssen.

Wenn die Pakete die IPSec-Richtlinien auslösen, wird der Prozess wie folgt fortgesetzt:

• Verhandlung und Schlüsselaustausch: Dieser Schritt umfasst die Authentifizierung der Hosts und der genutzten Richtlinien. In der ersten Phase erstellt der Host einen sicheren Tunnel. Die Verhandlungen werden entweder im Hauptmodus (für mehr Sicherheit) oder im aggressiven Modus (für einen schnelleren Aufbau der IP-Verbindung) geführt.
Alle Hosts vereinbaren ein IKE für den Aufbau der IP-Schaltung im Hauptmodus. Im aggressiven Modus präsentiert der initiierende Host das IKE für den Aufbau der IP-Schaltung und der andere Host akzeptiert.
In der zweiten Phase verhandeln die Hosts und einigen sich auf die Art der kryptografischen Algorithmen, die während der Sitzung verwendet werden.
• Übertragung: Das umfasst den Austausch von Daten zwischen den Hosts. In der Regel bricht IPSec die Daten in einzelne Pakete, bevor sie über das Netzwerk versendet werden. Diese Pakete umfassen mehrere Segmente wie Nutzdaten und Header. IPSec fügt auch Trailer und andere Segmente hinzu, die Details zu Authentifizierung und Verschlüsselung enthalten.
• Ende der Übertragung: Das ist der letzte Schritt und dieser umfasst die Beendigung des sicheren IPSec-Kanals. Die Beendigung erfolgt, wenn der Datenaustausch vollständig ist oder die Sitzung abgelaufen ist. Auch die kryptografischen Schlüssel werden verworfen.

IPSec VPN vs. SSL VPN

Neben IPSec VPN können VPN-Anbieter auch SSL VPN verwenden, um deine Verbindung über das Internet zu sichern. In Abhängigkeit des erforderlichen Sicherheitsniveaus können VPN-Anbieter beides implementieren oder sich für eines der beiden Verfahren entscheiden.

SSL VPNs stützen sich auf das Transport Layer Security (TLS)-Protokoll. Im Gegensatz zu IPSec, das auf der IP-Ebene fungiert, arbeitet TLS auf der Transport-Ebene. Deshalb variieren Sicherheit und Anwendungsfälle von IPSec VPN und SSL VPN.

Mit IPSec VPN ist dein Datenverkehr auf dem Weg von und zu privaten Netzwerken und verschiedenen Hosts sicher, kurz gesagt kannst du dein gesamtes Netzwerk schützen. Dementsprechend ist IPSec VPN zuverlässig für IP-basierte Zwecke und Anwendungen.

SSL VPN schützt den Datenverkehr zwischen entfernten Benutzern. In den meisten Fällen arbeiten SSL VPNs mit Hosts, die Browser-basierte Anwendungen unterstützen.