Security auf dem Network Layer

IPsec-Modi

IPsec unterscheidet zwei grundsätzliche Übertragungsmodi. Der Transport-Modus fügt zusätzliche IPsec-Informationen zwischen IP-Header und Datenpaket ein und erlaubt einen günstigen Einsatz bei der sicheren Ende-zu-Ende-Kommunikation.

Der Tunnel-Modus ergänzt einen kompletten IP-Header und IPsec-Informationen (Abbildung 6). Er wird dann benötigt, wenn die originalen IP-Quell- und Zieladressen unbedingt beibehalten werden sollen. Damit findet der Tunnel-Modus Anwendung in Firewall-to-Firewall, bzw. Firewall-to-End-Kommunikation.

Dazu ist anzumerken, dass man beim Entwurf von IPsec durchaus auf den Transport-Modus hätte verzichten können. Sein einziger Vorteil besteht darin, dass man sich beim Transfer den zusätzlichen IP-Header spart. Angesichts der hohen Komplexität von IPsec bei der Realisierung in den Endpunkten erscheint dieser Vorteil allerdings nur marginal.

Oft findet man die Anmerkung, das IPsec bereits in IPv6 integriert sei. Das betrifft aber nicht - wie manchmal fälschlicherweise impliziert wird - die Authentifizierung oder der Verschlüsselung, sondern lediglich das Konzept der Extension Header. Die obige Abbildung zeigt, wie sich AH- und ESP-Header in die Reihe der anderen möglichen IPv6-Extension-Header einfügen.