Sicher durch den Tunnel
Datenintegrität und Authentizität gesichert
Mit diesem Verfahren lässt sich zudem die Authentizität der Informationen sicherstellen. Das ist die Gewähr dafür, dass das Paket auch vom angegebenen Absender stammt. Da nur Sender und Empfänger den jeweiligen Hash-Algorithmus kennen, ist der Empfänger nicht in der Lage, den AH zu entschlüsseln, wenn sich ein Dritter als Absender ausgibt.
Je nachdem, wie die Endpunkte der durch IPSec gesicherten Kommunikation aussehen, gibt es unterschiedliche Einsatzszenarien. Für die Verbindung zweier Standorte erhält jedes Netzwerk ein IPSec-Gateway, das die Ver- und Entschlüsselung übernimmt. Eine solche Gateway-to-Gateway-Verbindung, auch als Site-to-Site-VPN bezeichnet, ist zumeist für die sichere Kommunikation zweier privater Netze über unsichere Wege im Einsatz.
Eine Host-to-Gateway-Konstellation besteht beispielsweise aus einem Notebook mit Modem, das sich über eine Dial-in-Plattform ins Firmen-Intranet einwählt. Das Unternehmensnetz ist dabei durch ein IPSec-Gateway geschützt. Damit zwischen Intranet und mobilem Arbeitsplatz ein IPSec-Tunnel aufgebaut werden kann, benötigt der Remote-User die entsprechende IPSec-Software auf seinem Rechner. Die Installation und Konfiguration dieser Software ist am einfachsten, wenn IPSec-Client und -Gateway vom selben Hersteller stammen.
Es gibt aber auch die Möglichkeit, den IPSec-Client des Betriebssystems zu nutzen, wie beispielsweise bei Windows 2000 oder XP. Da ein Betriebssystem jedoch den Anforderungen möglichst vieler Benutzer gerecht werden muss, erfüllt dieses Feature nur grundlegende Sicherheitsmechanismen. Die individuelle Anpassung ist kompliziert. Die Softwarepakete der IPSec-Gateway-Hersteller sind dagegen einfach zu installieren und anzupassen.
Da IPSec in IPv4 nicht enthalten ist, haben etliche Firmen das Sicherheitsprotokoll in ihre Produkte integriert. Ein Beispiel ist die Infrastruktur-Komplettlösung "Intra Select" der Telekom-Tochter T-Data. (re)
Zur Person
Jochen Janssen
ist als Produktmanager Branchenlösungen bei T-Data tätig.