Extend section about IPsec
This commit is contained in:
parent
ad145797d5
commit
720b75c272
@ -158,9 +158,6 @@ Durch die Verschlüsselung der Paketinhalte vor dem Transport wird die Vertrauli
|
||||
Als Schlüssel wird ein zwischen Sender und Empfänger im Vorfeld ausgehandeltes gemeinsames Geheimnis verwendet.
|
||||
Auch die verwendeten Verschlüsselungsalgorithmen müssen zwischen Sender und Empfänger ausgehandelt werden.
|
||||
|
||||
Die Protokolle AH und ESP definieren selbst kein Verfahren zum Aushandeln von verwendeten Prüfsummenfunktionen, kryptografischen Algorithmen oder allgemeiner Konfigurationsparameter.
|
||||
Auch der Austausch gemeinsamer Geheimnisse beziehungsweise Schlüsselmaterial wird nicht definiert.
|
||||
|
||||
IPsec kann im Transportmodus und im Tunnelmodus betrieben werden.
|
||||
Im Transportmodus werden die Inhalte von IP-Paketen in AH- beziehungsweise ESP-Pakete gekapselt.
|
||||
Da die Sender- und Empfängeradressen der IP-Pakete hierbei nicht verändert wird, kann dieser Modus nur für direkte Ende-zu-Ende-Kommunikation verwendet werden.
|
||||
@ -169,10 +166,14 @@ Im Tunnelmodus werden die IP-Paketen selbst in AH- beziehungsweise ESP-Pakete ge
|
||||
Im Anschluss werden die AH- beziehungsweise ESP-Pakete dann in neue IP-Pakete gekapselt, deren Sender- und Empfängeradressen sich von denen des inneren IP-Paketes unterscheiden dürfen.
|
||||
Somit ist der Tunnelmodus im Prinzip für die Umsetzung eines VPN geeignet.
|
||||
|
||||
Die Protokolle AH und ESP definieren selbst kein Verfahren zum Aushandeln von verwendeten Prüfsummenfunktionen, kryptografischen Algorithmen oder allgemeiner Konfigurationsparameter.
|
||||
Auch der Austausch gemeinsamer Geheimnisse beziehungsweise Schlüsselmaterial wird nicht definiert.
|
||||
Diese Aufgabe übernimmt Strongswan als IKEv2-Dienst.
|
||||
|
||||
Strongswan implementiert das Protokoll IKEv2\footnote{Internet Key Exchange Protokoll Version 2, definiert in \cite[][]{RFC7296}} und kann darüber authentisiert und verschlüsselt mit Gegenstellen kommunizieren.
|
||||
Dabei werden mit der Gegenstelle Schlüssel- und Konfigurationsparameter ausgehandelt beziehungsweise ausgetauscht, anhand derer Strongswan IPsec-Verbindungen im Kernel des Host-Betriebssystems konfigurieren kann.
|
||||
Die Verarbeitung des durch IPsec geschützten Da\-ten\-ver\-kehrs über die Protokolle AH oder ESP wird jedoch direkt im IPsec-Stack des Kernels abgewickelt.
|
||||
Für lokal ausgeführte Programme ist der Einsatz von IPsec transparent.
|
||||
Dadurch ist der Einsatz von IPsec für lokal ausgeführte Programme transparent.
|
||||
|
||||
|
||||
\subsection{OpenVPN} \label{ssct:openvpn}
|
||||
|
Loading…
Reference in New Issue
Block a user