Security auf dem Network Layer

IPsec-Struktur

Durch seine unübersichtliche Struktur widerspricht IPsec vollkommen dem Grundsatz, die Architektur sicherer Systeme so einfach wie möglich zu gestalten. Dennoch erfreut es sich einer großen Beliebtheit bei der Implementierung von Virtuellen Privaten Netzwerken (VPN). Die Komplexität von IPsec ist aber ein wesentlicher Grund dafür, dass insbesondere die VPN-Produkte auf der Netzwerkschicht oftmals in proprietären Produkten angeboten werden.

IPsec umfasst zwei große Funktionsgruppen: die Übertragungsprotokolle sowie das Schlüsselmanagement. Zum Datentransfer dienen Verfahren wie Authentication Header (AH, RFC2402) und Encapsulation Security Payload (ESP, RFC2403).

Die Verwaltung der Schlüssel beschreiben die eng zusammenhängenden Funktionen Internet Security Association and Key Management Protocol (ISAKMP, RFC 2408), Internet Key Exchange (IKE, RFC 2409) sowie Domain of Interpretation (DOI, RFC2407).