VPN

Quelle: Wikipedia. Seiten: 25. Kapitel: Virtual Private Network, Tunnel, IPsec, Layer 2 Tunneling Protocol, Mobile VPN, OpenVPN, SSL-VPN, Hamachi, Virtual Network Operator, OpenSSH, Point-to-Point Tunneling Protocol, StrongSwan, Crypto IP Encapsulation, Wippien, VTun, Dynamic Multipoint Virtual Private Network, VoVPN, Automotive Network Exchange. Auszug: IPsec (Kurzform für Internet Protocol Security) ist ein Sicherheitsprotokoll, das für die Kommunikation über IP-Netze die Schutzziele Vertraulichkeit, Authentizität und Integrität gewährleisten soll. Es kann zum Aufbau virtueller privater Netzwerke (VPN) verwendet werden. Im Gegensatz zu anderen Verschlüsselungsprotokollen wie etwa SSL arbeitet IPsec direkt auf der Vermittlungsschicht (Internet layer) des TCP/IP-Protokollstapels (entspricht Schicht 3 des OSI-Modells). RFC 2401 bzw. RFC 4301 (neu) beschreiben die Architektur von IPsec. Von dort aus wird auf die unten genannten RFCs verwiesen, die wesentliche Teile von IPsec beschreiben: die Protokolle Authentication Header (AH), Encapsulated Security Payload (ESP) sowie Internet Key Exchange (IKE) zum Austausch der Schlüssel. SPD und SADIPsec verwaltet Verbindungen und kann auf Anforderung hin sowohl Verschlüsselung als auch Datenintegrität garantieren. Der "transport mode" stellt Punkt-zu-Punkt-Kommunikation zwischen zwei Endpunkten her, während der "tunnel mode" zwei Subnetze über zwei Router verbindet. Dazu unten mehr. Wir ignorieren bei der folgenden Betrachtung den "tunnel mode", um die Darstellung nicht noch zusätzlich zu verkomplizieren. Allerdings sind sich beide Modi in Bezug auf die zu erstellenden "Security Associations" recht ähnlich. Wenn ein IP-Paket versendet werden soll, dann werden zwei lokale Datenbanken verwendet: Bei IPsec müssen alle Endpunkte vorkonfiguriert sein, da sonst keine Vertrauensbeziehung aufgebaut werden kann. Damit zwei Endpunkte eine Vertrauensbeziehung aufbauen können, wird ein Schlüsselaustauschverfahren benötigt. hier werden statische Schlüssel zwischen Endpunkten vergeben Die Schlüssel, die für IPsec verwendet werden, werden beim ¿Manual Keying¿ vorab ausgetauscht und auf beiden Endpunkten fest konfiguriert. Von dieser Methode ist jedoch abzuraten, da manuell erzeugte Schlüssel in der Regel einfach zu erraten sind. Besser ist die Verwendung von ISAKMP, auch als IKE bezeichnet. B