Write more correct things about AH

This commit is contained in:
Jan Philipp Timme 2018-09-03 14:50:28 +02:00
parent c590c6d52d
commit 8f5976985e
1 changed files with 14 additions and 10 deletions

View File

@ -133,22 +133,26 @@ Im Folgenden werden mögliche Software-Kandidaten aus den Debian-Paketquellen vo
Strongswan\footnote{\url{https://wiki.strongswan.org/projects/strongswan/wiki/IntroductionTostrongSwan},\\zuletzt abgerufen am 18.07.2018} ist eine modular aufgebaute Software, die unter den in \ref{req:serveros} und \ref{req:clientos} genannten Betriebsystemen lauffähig ist. Strongswan\footnote{\url{https://wiki.strongswan.org/projects/strongswan/wiki/IntroductionTostrongSwan},\\zuletzt abgerufen am 18.07.2018} ist eine modular aufgebaute Software, die unter den in \ref{req:serveros} und \ref{req:clientos} genannten Betriebsystemen lauffähig ist.
Sie kann verwendet werden, um in Kombination mit IPsec-fähigen Betriebsystem-Kerneln geschützte Verbindungen zwischen zwei oder mehr Computern einzurichten. Sie kann verwendet werden, um in Kombination mit IPsec-fähigen Betriebsystem-Kerneln geschützte Verbindungen zwischen zwei oder mehr Computern einzurichten.
IPsec ist ein Internetstandard, der kryptografische Sicherheit für IPv4 und IPv6 (sowie darüber übertragenen Daten) anbieten soll. IPsec ist ein Internetstandard, der kryptografische Sicherheit für IPv4 und IPv6 (sowie darüber übertragenen Daten) bieten soll.
Dies beinhaltet unter anderem Vertraulichkeit durch den Einsatz von Verschlüsselung, Authentisierung von Paketen durch Prüfung von Signaturen und Schutz vor Replay-Angriffen.\cite{RFC4301}[Vergleich Kapitel 2.1] Das beinhaltet unter anderem Vertraulichkeit übertragener Daten durch den Einsatz von Verschlüsselung, Authentisierung von Paketen durch Prüfung von Prüfsummen, und Schutz vor Replay-Angriffen\cite{RFC4301}[Vergleich Kapitel 2.1].
Mit IPsec können Richtlinien definiert werden, ob und wie Datenverkehr von einem Host zu einem anderen Host geschützt werden soll.
Mit IPsec können Richtlinien definiert werden, ob und wie Datenverkehr von einem Host zu einem anderen Host geschützt werden soll\cite{RFC4301}.
Zum Schutz des Datenverkehrs können die Protokolle AH und ESP benutzt werden. Zum Schutz des Datenverkehrs können die Protokolle AH und ESP benutzt werden.
Das Protokoll \enquote{IP Authentication Header} (AH) ist in \cite{RFC4302} definiert und ermöglicht den Versand von authentisierbaren Paketen an eine Gegenstelle. Das Protokoll \enquote{IP Authentication Header} (AH) ist in \cite{RFC4302} definiert und ermöglicht den Versand von authentisierbaren Paketen an eine Gegenstelle.
Bestimmte Felder \todo{TODO} werden dabei signiert und können so nach Empfang authentisiert werden. Vor dem Versand wird über den Inhalt und einige Felder des IP-Pakets eine Prüfsumme gebildet.
Die Gegenstelle kann nun die Prüfsumme des empfangenen Pakets berechnen und mit der im Paket enthaltenen Prüfsumme abgleichen\cite{4302}[Siehe Kapitel 3.3.3].
Die Funktion zur Berechnung der Prüfsumme wird nicht explizit definiert und kann daher anhand der zur Zeit aktuellen Vorgaben\cite{RFC8247}[Hier definiert] gewählt werden.
Je nach gewählter Funktion fließen gemeinsame Geheimnisse oder Signaturalgorithmen in die Berechnung der Prüfsumme ein, sodass eine korrekte Prüfsumme ein Paket wirklich authentisieren kann.
Eine Verschlüsselung der Paketinhalte ist im AH-Protokoll nicht vorgesehen.
Das Protokoll \enquote{IP Encapsulating Security Payload} (ESP) ist in \cite{RFC4303} definiert und ermöglicht den Versand von vertraulichen Paketen an eine Gegenstelle. Das Protokoll \enquote{IP Encapsulating Security Payload} (ESP) ist in \cite{RFC4303} definiert und ermöglicht den Versand von Paketen mit vertraulichen Inhalten an eine Gegenstelle.
Nach Empfang werden die Pakete entschlüsselt. Ähnlich wie bei dem AH-Protokoll ist auch im ESP-Protokoll die Authentisierung von Paketen mit einer Prüfsumme vorgesehen\cite{RFC4303}[Siehe Kapitel 2.8].
Zusätzlich bietet IPsec zwei Betriebsarten an: Transportmodus und Tunnelmodus. IPsec definiert zwei Betriebsvarianten: Den Transportmodus und den Tunnelmodus.
Beim Transportmodus werden die Inhalte von IP-Paketen in AH- bzw. ESP-Pakete gekapselt. Im Transportmodus werden die Inhalte von IP-Paketen in AH- bzw. ESP-Pakete gekapselt.
Da die Sender- und Empfängeradressen der IP-Pakete hierbei nicht verändert wird, kann dieser Modus nur für direkte Ende-zu-Ende-Kommunikation verwendet werden. Da die Sender- und Empfängeradressen der IP-Pakete hierbei nicht verändert wird, kann dieser Modus nur für direkte Ende-zu-Ende-Kommunikation verwendet werden.
Beim Tunnelmodus werden die IP-Paketen selbst in AH- bzw. ESP-Pakete gekapselt. Im Tunnelmodus werden die IP-Paketen selbst in AH- bzw. ESP-Pakete gekapselt.
Im Anschluss werden die AH- bzw. ESP-Pakete dann in neue IP-Pakete gekapselt, deren Sender- und Empfängeradressen sich von denen des inneren IP-Paketes unterscheiden dürfen. Im Anschluss werden die AH- bzw. ESP-Pakete dann in neue IP-Pakete gekapselt, deren Sender- und Empfängeradressen sich von denen des inneren IP-Paketes unterscheiden dürfen.
Somit ist der Tunnelmodus im Prinzip für die Umsetzung eines VPN geeignet. Somit ist der Tunnelmodus im Prinzip für die Umsetzung eines VPN geeignet.