Sicher durch den Tunnel
Von: Jochen Janssen
In Netzen auf Grundlage von IP hat sich das IP Security Protocol (IPSec) als Sicherheitsstandard etabliert. IPSec ist ein Paket von Protokollen, das auf Ebene 3 des OSI-Referenzmodells aufsetzt, also auf dem Network Layer. Das hat den Vorteil, dass die Sicherungsverfahren unabhängig von der darunter liegenden Infrastruktur und den Anwendungen darüber arbeiten.
IPSec ist fester Bestandteil von IP-Version 6 (IPv6). Allerdings unterstützen viele Netzwerksysteme IPv6 noch nicht. Die Funktionen von IPSec wurden daher auf IPv4 portiert.
IPSec lässt sich in zwei Modi betreiben: dem Transportmodus sowie dem Tunnelmodus, der in den meisten Fällen zum Einsatz kommt. Bei der Übermittlung über einen Tunnel sind die kompletten IP-Pakete geschützt, inklusive des Headers. Der Grund dafür ist, dass ein neues IP-Paket erzeugt wird, dessen Datenbereich das ursprüngliche Paket enthält. So entsteht auch ein neuer Header, der nur noch die Adresse des IPSec-Gateways preisgibt, nicht aber die Quell- und Zieladresse des eingebetteten Pakets. Die eingepackten IP-Daten lassen sich auch über Gateways transportieren, die kein IPSec unterstützen. Mit IPSec ist allerdings nur das IP-in-IP-Tunneling möglich. Bei anderen Protokollen wie IPX funktioniert das Verfahren nicht.
Im Transportmodus wird dagegen nur die Nutzlast des Datenpaketes, die Pay Load, verschlüsselt. Der ursprüngliche Header bleibt bestehen. Daher ist dieses Verfahren unsicherer, erzeugt dafür aber weniger Overhead.