From 8f5976985ecdab8f20ee464ebc5af148562218cf Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Mon, 3 Sep 2018 14:50:28 +0200 Subject: [PATCH] Write more correct things about AH --- MA-Inhalt.tex | 24 ++++++++++++++---------- 1 file changed, 14 insertions(+), 10 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 816bc47..152a6d1 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -133,22 +133,26 @@ Im Folgenden werden mögliche Software-Kandidaten aus den Debian-Paketquellen vo Strongswan\footnote{\url{https://wiki.strongswan.org/projects/strongswan/wiki/IntroductionTostrongSwan},\\zuletzt abgerufen am 18.07.2018} ist eine modular aufgebaute Software, die unter den in \ref{req:serveros} und \ref{req:clientos} genannten Betriebsystemen lauffähig ist. Sie kann verwendet werden, um in Kombination mit IPsec-fähigen Betriebsystem-Kerneln geschützte Verbindungen zwischen zwei oder mehr Computern einzurichten. -IPsec ist ein Internetstandard, der kryptografische Sicherheit für IPv4 und IPv6 (sowie darüber übertragenen Daten) anbieten soll. -Dies beinhaltet unter anderem Vertraulichkeit durch den Einsatz von Verschlüsselung, Authentisierung von Paketen durch Prüfung von Signaturen und Schutz vor Replay-Angriffen.\cite{RFC4301}[Vergleich Kapitel 2.1] - -Mit IPsec können Richtlinien definiert werden, ob und wie Datenverkehr von einem Host zu einem anderen Host geschützt werden soll\cite{RFC4301}. +IPsec ist ein Internetstandard, der kryptografische Sicherheit für IPv4 und IPv6 (sowie darüber übertragenen Daten) bieten soll. +Das beinhaltet unter anderem Vertraulichkeit übertragener Daten durch den Einsatz von Verschlüsselung, Authentisierung von Paketen durch Prüfung von Prüfsummen, und Schutz vor Replay-Angriffen\cite{RFC4301}[Vergleich Kapitel 2.1]. +Mit IPsec können Richtlinien definiert werden, ob und wie Datenverkehr von einem Host zu einem anderen Host geschützt werden soll. Zum Schutz des Datenverkehrs können die Protokolle AH und ESP benutzt werden. + Das Protokoll \enquote{IP Authentication Header} (AH) ist in \cite{RFC4302} definiert und ermöglicht den Versand von authentisierbaren Paketen an eine Gegenstelle. -Bestimmte Felder \todo{TODO} werden dabei signiert und können so nach Empfang authentisiert werden. +Vor dem Versand wird über den Inhalt und einige Felder des IP-Pakets eine Prüfsumme gebildet. +Die Gegenstelle kann nun die Prüfsumme des empfangenen Pakets berechnen und mit der im Paket enthaltenen Prüfsumme abgleichen\cite{4302}[Siehe Kapitel 3.3.3]. +Die Funktion zur Berechnung der Prüfsumme wird nicht explizit definiert und kann daher anhand der zur Zeit aktuellen Vorgaben\cite{RFC8247}[Hier definiert] gewählt werden. +Je nach gewählter Funktion fließen gemeinsame Geheimnisse oder Signaturalgorithmen in die Berechnung der Prüfsumme ein, sodass eine korrekte Prüfsumme ein Paket wirklich authentisieren kann. +Eine Verschlüsselung der Paketinhalte ist im AH-Protokoll nicht vorgesehen. -Das Protokoll \enquote{IP Encapsulating Security Payload} (ESP) ist in \cite{RFC4303} definiert und ermöglicht den Versand von vertraulichen Paketen an eine Gegenstelle. -Nach Empfang werden die Pakete entschlüsselt. +Das Protokoll \enquote{IP Encapsulating Security Payload} (ESP) ist in \cite{RFC4303} definiert und ermöglicht den Versand von Paketen mit vertraulichen Inhalten an eine Gegenstelle. +Ähnlich wie bei dem AH-Protokoll ist auch im ESP-Protokoll die Authentisierung von Paketen mit einer Prüfsumme vorgesehen\cite{RFC4303}[Siehe Kapitel 2.8]. -Zusätzlich bietet IPsec zwei Betriebsarten an: Transportmodus und Tunnelmodus. -Beim Transportmodus werden die Inhalte von IP-Paketen in AH- bzw. ESP-Pakete gekapselt. +IPsec definiert zwei Betriebsvarianten: Den Transportmodus und den Tunnelmodus. +Im Transportmodus werden die Inhalte von IP-Paketen in AH- bzw. ESP-Pakete gekapselt. Da die Sender- und Empfängeradressen der IP-Pakete hierbei nicht verändert wird, kann dieser Modus nur für direkte Ende-zu-Ende-Kommunikation verwendet werden. -Beim Tunnelmodus werden die IP-Paketen selbst in AH- bzw. ESP-Pakete gekapselt. +Im Tunnelmodus werden die IP-Paketen selbst in AH- bzw. ESP-Pakete gekapselt. Im Anschluss werden die AH- bzw. ESP-Pakete dann in neue IP-Pakete gekapselt, deren Sender- und Empfängeradressen sich von denen des inneren IP-Paketes unterscheiden dürfen. Somit ist der Tunnelmodus im Prinzip für die Umsetzung eines VPN geeignet.