Sicher durch den Tunnel

Als das Internetprotokoll entwickelt wurde, waren Abhörsicherheit oder Authentizität nur Randthemen. Seit IP auf breiter Front eingesetzt wird, auch zur Übermittlung sensibler Daten, sind Sicherheitsmechanismen unabdingbar. IPSec schafft hier Abhilfe. Im Gegensatz zu anderen Lösungen setzt es nicht auf ein Übertragungsprotokoll auf, sondern ist in dieses integriert.

Von: Jochen Janssen

In Netzen auf Grundlage von IP hat sich das IP Security Protocol (IPSec) als Sicherheitsstandard etabliert. IPSec ist ein Paket von Protokollen, das auf Ebene 3 des OSI-Referenzmodells aufsetzt, also auf dem Network Layer. Das hat den Vorteil, dass die Sicherungsverfahren unabhängig von der darunter liegenden Infrastruktur und den Anwendungen darüber arbeiten.

IPSec ist fester Bestandteil von IP-Version 6 (IPv6). Allerdings unterstützen viele Netzwerksysteme IPv6 noch nicht. Die Funktionen von IPSec wurden daher auf IPv4 portiert.

IPSec lässt sich in zwei Modi betreiben: dem Transportmodus sowie dem Tunnelmodus, der in den meisten Fällen zum Einsatz kommt. Bei der Übermittlung über einen Tunnel sind die kompletten IP-Pakete geschützt, inklusive des Headers. Der Grund dafür ist, dass ein neues IP-Paket erzeugt wird, dessen Datenbereich das ursprüngliche Paket enthält. So entsteht auch ein neuer Header, der nur noch die Adresse des IPSec-Gateways preisgibt, nicht aber die Quell- und Zieladresse des eingebetteten Pakets. Die eingepackten IP-Daten lassen sich auch über Gateways transportieren, die kein IPSec unterstützen. Mit IPSec ist allerdings nur das IP-in-IP-Tunneling möglich. Bei anderen Protokollen wie IPX funktioniert das Verfahren nicht.

Im Transportmodus wird dagegen nur die Nutzlast des Datenpaketes, die Pay Load, verschlüsselt. Der ursprüngliche Header bleibt bestehen. Daher ist dieses Verfahren unsicherer, erzeugt dafür aber weniger Overhead.