Sicherheit von der Stange

Schutz von IP-Paketen durch Authentication Header

Die Daten werden verschlüsselt und auf folgende Weise übertragen:

-im Transportmodus: Hier wird lediglich die Nutzlast verschlüsselt;

-im Tunnelmodus: Das komplette IP-Paket (Header und Daten) wird chiffriert und erhält einen neuen IP-Header sowie eine neue Adresse. Die "wahre" Zieladresse bleibt verborgen und wird erst beim Empfänger entschlüsselt.

AH plaziert vor den TCP-Header einen verschlüsselten Authentifikator. Die Nutzdaten bleiben unchiffriert. Der Sender erzeugt den Authentication Header vor Beginn der Kommunikation mit Hilfe eines Schlüssels, den auch der Empfänger zur Überprüfung des Paketes einsetzt. Das Verfahren läßt sich separat oder in Verbindung mit ESP einsetzen.

Asymmetrische Verschlüsselungsverfahren sind sicherer als symmetrische Methoden, vor allem dann, wenn lange Schlüssel eingesetzt werden, dafür aber deutlich langsamer. Das bestätigten Messungen in einem Fast-Ethernet-LAN zwischen zwei PCs unter Linux mit Hilfe der Testsoftware ttcp. Im unverschlüsselten Modus betrug der Durchsatz 88 MBit/s. Mit AH (HMAC-MD5) sank er auf 20 MBit/s, beim Einsatz von ESP (Triple-DES-MD5) auf 2,56 MBit/s. Wurden beide Techniken zusammen verwendet, betrug die Datenübertragungsrate noch 2,48 MBit/s.

IPsec beeinflußt normalerweise keine anderen Protokolle oder Anwendungen, weil es unterhalb der Transportschicht des OSI-Referenzmodells arbeitet. Das erlaubt eine Ende-zu-Ende-Kommunikation über beliebige Netze, ohne daß auf vorhandene Hard- und Software Rücksicht genommen werden muß. IPsec läßt sich deshalb auf einfache Weise in IPv4-Umgebungen integrieren. Eine Ausnahme ist SNA über IP: IPsec verschlüsselt einige für SNA notwendige Informationen, so daß in diesem Fall die Migration schwieriger ist.