IPsec

IP Security (IPsec) ist ein Standard für die Sicherung von Internet-Protocol-(IP-)Kommunikationen durch Verschlüsselung und/oder Authentifizierung aller IP-Pakete.

Der IPsec-Standard kennt zwei Betriebsarten (Modi) und zwei Protokolle:

  • Transportmodus (engl. Transport Mode)
  • Tunnelmodus (engl. Tunnel Mode)
  • Authentication Header (AH): Protokoll für Authentifizierung
  • Encapsulated Security Payload (ESP): Protokoll für Verschlüsselung (und Authentifizierung)

Des Weiteren bietet IPsec Methoden für die manuelle und die automatische Verwaltung von Sicherheitsverbindungen (SAs, engl. Security Associations) sowie zur Schlüsselverteilung. Alle diese Merkmale wurden in einer Domain of Interpretation (DOI) zusammengefasst.

IPsec-Modi

IPsec kann entweder im Transportmodus oder im Tunnelmodus arbeiten. Eine Host-zu-Host-Verbindung kann grundsätzlich jeden Modus verwenden. Wenn es sich bei einem der beiden Tunnelendpunkte jedoch um eine Firewall handelt, muss der Tunnelmodus verwendet werden. Die IPsec-VPNClosed-Verbindungen auf der UTM arbeiten immer im Tunnelmodus.

Im Transportmodus wird das zu bearbeitende IP-Paket nicht in ein anderes IP-Paket eingepackt. Der ursprüngliche IP-Header wird beibehalten und das übrige Paket wird entweder in Klartext (AH) oder verschlüsselt (ESP) gesendet. Nun kann entweder das komplette Paket mit AH authentifiziert oder die Payload mit Hilfe von ESP verschlüsselt und authentifiziert werden. In beiden Fällen wird der Original-Header in Klartext über das WAN geschickt.

Im Tunnelmodus wird das komplette Paket – Header und Payload – in ein neues IP-Paket gekapselt. Ein IP-Header wird vorne an das IP-Paket angehängt, wobei die Zieladresse auf den empfangenden Tunnelendpunkt gesetzt wird. Die IP-Adressen des gekapselten Paketes bleiben unverändert. Das Originalpaket kann dann mit AH authentifiziert oder mit ESP authentifiziert und verschlüsselt werden.

IPsec-Protokolle

IPsec verwendet für die sichere Kommunikation auf IPClosed-Ebene zwei Protokolle:

  • Authentication Header (AH): Ein Protokoll für die Authentifizierung von Absendern eines Pakets sowie zur Überprüfung der Integrität des Paketinhalts.
  • Encapsulating Security Payload (ESP): Ein Protokoll für die Verschlüsselung des gesamten Pakets sowie für die Authentifizierung seines Inhalts.

Das Authentication-Header-Protokoll (AH) überprüft die Authentizität und die Integrität des Paketinhalts. Des Weiteren überprüft es, ob die Sender- und Empfänger-IP-Adressen während der Übertragung geändert wurden. Die Authentifizierung des Pakets erfolgt anhand einer Prüfsumme, die mittels eines Hash-based Message Authentication Codes (HMAC) in Verbindung mit einem Schlüssel und einem Hash-Algorithmus berechnet wurde. Einer der folgenden Hash-Algorithmen wird verwendet:

  • Message Digest Version 5 (MD5): Dieser Algorithmus erzeugt aus einer Nachricht mit beliebiger Länge eine 128-Bit-lange Prüfsumme. Diese Prüfsumme ist wie ein Fingerabdruck des Paketinhalts und ändert sich, wenn die Nachricht verändert wird. Dieser Hash-Wert wird manchmal auch als digitale Signatur oder als Message Digest bezeichnet.
  • The Secure Hash (SHA-1): Dieser Algorithmus erzeugt analog zum MD5 einen 160-Bit-langen Hash-Wert. SHA-1 ist aufgrund des längeren Schlüssels sicherer als MD5.

Der Aufwand, einen Hash-Wert mittels SHA-1 zu berechnen, ist im Vergleich zum MD5-Algorithmus etwas höher. Die Berechnungsgeschwindigkeit hängt natürlich von der Prozessorgeschwindigkeit und der Anzahl der IPsec-VPN-Verbindungen ab, die auf der Sophos UTM verwendet werden.

Das Encapsulated-Security-Payload-Protokoll (ESP) bietet zusätzlich zur Verschlüsselung auch die Möglichkeit, den Absender zu authentifizieren und den Paketinhalt zu verifizieren. Wenn ESP im Tunnelmodus verwendet wird, wird das komplette IP-Paket (Header und Payload) verschlüsselt. Zu diesem verschlüsselten Paket wird ein neuer unverschlüsselter IP- und ESP-Header hinzugefügt: Der neue IP-Header beinhaltet die Adresse des Empfänger-Gateways und die Adresse des Absender-Gateways. Diese IP-Adressen entsprechen denen des VPN-Tunnels.

Für ESP mit Verschlüsselung werden üblicherweise die folgenden Algorithmen verwendet:

  • Triple Data Encryption Standard (3DES)
  • Advanced Encryption Standard (AES)

Von diesen bietet AES den höchsten Sicherheitsstandard. Die effektiven Schlüssellängen, die mit AES verwendet werden können, sind 128, 192 oder 256 Bit. Sophos UTM unterstützt mehrere Verschlüsselungs-Algorithmen. Für die Authentifizierung kann der MD5- oder der SHA-1-Algorithmus verwendet werden.

NAT-Traversal (NAT-T)

NATClosed-Traversal ist ein Verfahren, um zwischen Hosts in TCP/IP-Netzwerken Verbindungen über NAT-Geräte aufzubauen. Dies wird erreicht, indem UDP-Verkapselung der ESP-Pakete genutzt wird, um IPsec-Tunnel über NAT-Geräte aufzubauen. Die UDP-Verkapselung wird nur verwendet, wenn zwischen den IPsec-Gegenstellen NAT gefunden wird; andernfalls werden normale ESP-Pakete verwendet.

Mit NAT-Traversal kann ein IPsec-Tunnel auch aufgebaut werden, wenn sich das Gateway oder ein Road Warrior hinter einem NAT-Router befindet. Wenn Sie diese Funktion nutzen wollen, müssen allerdings beide IPsec-Endpunkte NAT-Traversal unterstützen – das wird automatisch ausgehandelt. Zusätzlich muss auf dem NAT-Gerät der IPsec-Passthrough (IPsec-Durchreichung) ausgeschaltet sein, da dies NAT-Traversal beeinträchtigen kann.

Wenn Road Warriors NAT-Traversal verwenden wollen, muss ihr entsprechendes Benutzerobjekt im WebAdmin eine statische Fernzugriffs-IP-Adresse (RASClosed, engl. remote static IP address) besitzen (siehe auch Statische Fernzugriffs-IP verwenden auf der Seite Benutzer im WebAdmin).

Um zu verhindern, dass der Tunnel abgebaut wird, wenn keine Daten übermittelt werden, sendet NAT-Traversal standardmäßig in einem Intervall von 60 Sekunden ein Signal zur Aufrechterhaltung (engl. keep alive). Durch dieses Aufrechterhaltungssignal wird sichergestellt, dass der NAT-Router die Statusinformation der Sitzung behält, damit der Tunnel offen bleibt.

TOS

Type-of-Service-Bits (TOS) sind einige Vier-Bit-Flags im IP-Header. Die Bits werden Type-of-Service-Bits genannt, da sie es der übertragenden Anwendung ermöglichen, dem Netzwerk mitzuteilen, welche Art von Dienstqualität benötigt wird.

Bei der IPsec-Implementierung von Sophos UTM wird der TOS-Wert immer kopiert.

IP Security (IPsec) ist ein Standard für die Sicherung von Internet-Protocol -(IP-)Kommunikationen durch Verschlüsselung und/oder Authentifizierung aller IP-Pakete. Der IPsec-Standard... mehr erfahren »
Fenster schließen
IPsec

IP Security (IPsec) ist ein Standard für die Sicherung von Internet-Protocol-(IP-)Kommunikationen durch Verschlüsselung und/oder Authentifizierung aller IP-Pakete.

Der IPsec-Standard kennt zwei Betriebsarten (Modi) und zwei Protokolle:

  • Transportmodus (engl. Transport Mode)
  • Tunnelmodus (engl. Tunnel Mode)
  • Authentication Header (AH): Protokoll für Authentifizierung
  • Encapsulated Security Payload (ESP): Protokoll für Verschlüsselung (und Authentifizierung)

Des Weiteren bietet IPsec Methoden für die manuelle und die automatische Verwaltung von Sicherheitsverbindungen (SAs, engl. Security Associations) sowie zur Schlüsselverteilung. Alle diese Merkmale wurden in einer Domain of Interpretation (DOI) zusammengefasst.

IPsec-Modi

IPsec kann entweder im Transportmodus oder im Tunnelmodus arbeiten. Eine Host-zu-Host-Verbindung kann grundsätzlich jeden Modus verwenden. Wenn es sich bei einem der beiden Tunnelendpunkte jedoch um eine Firewall handelt, muss der Tunnelmodus verwendet werden. Die IPsec-VPNClosed-Verbindungen auf der UTM arbeiten immer im Tunnelmodus.

Im Transportmodus wird das zu bearbeitende IP-Paket nicht in ein anderes IP-Paket eingepackt. Der ursprüngliche IP-Header wird beibehalten und das übrige Paket wird entweder in Klartext (AH) oder verschlüsselt (ESP) gesendet. Nun kann entweder das komplette Paket mit AH authentifiziert oder die Payload mit Hilfe von ESP verschlüsselt und authentifiziert werden. In beiden Fällen wird der Original-Header in Klartext über das WAN geschickt.

Im Tunnelmodus wird das komplette Paket – Header und Payload – in ein neues IP-Paket gekapselt. Ein IP-Header wird vorne an das IP-Paket angehängt, wobei die Zieladresse auf den empfangenden Tunnelendpunkt gesetzt wird. Die IP-Adressen des gekapselten Paketes bleiben unverändert. Das Originalpaket kann dann mit AH authentifiziert oder mit ESP authentifiziert und verschlüsselt werden.

IPsec-Protokolle

IPsec verwendet für die sichere Kommunikation auf IPClosed-Ebene zwei Protokolle:

  • Authentication Header (AH): Ein Protokoll für die Authentifizierung von Absendern eines Pakets sowie zur Überprüfung der Integrität des Paketinhalts.
  • Encapsulating Security Payload (ESP): Ein Protokoll für die Verschlüsselung des gesamten Pakets sowie für die Authentifizierung seines Inhalts.

Das Authentication-Header-Protokoll (AH) überprüft die Authentizität und die Integrität des Paketinhalts. Des Weiteren überprüft es, ob die Sender- und Empfänger-IP-Adressen während der Übertragung geändert wurden. Die Authentifizierung des Pakets erfolgt anhand einer Prüfsumme, die mittels eines Hash-based Message Authentication Codes (HMAC) in Verbindung mit einem Schlüssel und einem Hash-Algorithmus berechnet wurde. Einer der folgenden Hash-Algorithmen wird verwendet:

  • Message Digest Version 5 (MD5): Dieser Algorithmus erzeugt aus einer Nachricht mit beliebiger Länge eine 128-Bit-lange Prüfsumme. Diese Prüfsumme ist wie ein Fingerabdruck des Paketinhalts und ändert sich, wenn die Nachricht verändert wird. Dieser Hash-Wert wird manchmal auch als digitale Signatur oder als Message Digest bezeichnet.
  • The Secure Hash (SHA-1): Dieser Algorithmus erzeugt analog zum MD5 einen 160-Bit-langen Hash-Wert. SHA-1 ist aufgrund des längeren Schlüssels sicherer als MD5.

Der Aufwand, einen Hash-Wert mittels SHA-1 zu berechnen, ist im Vergleich zum MD5-Algorithmus etwas höher. Die Berechnungsgeschwindigkeit hängt natürlich von der Prozessorgeschwindigkeit und der Anzahl der IPsec-VPN-Verbindungen ab, die auf der Sophos UTM verwendet werden.

Das Encapsulated-Security-Payload-Protokoll (ESP) bietet zusätzlich zur Verschlüsselung auch die Möglichkeit, den Absender zu authentifizieren und den Paketinhalt zu verifizieren. Wenn ESP im Tunnelmodus verwendet wird, wird das komplette IP-Paket (Header und Payload) verschlüsselt. Zu diesem verschlüsselten Paket wird ein neuer unverschlüsselter IP- und ESP-Header hinzugefügt: Der neue IP-Header beinhaltet die Adresse des Empfänger-Gateways und die Adresse des Absender-Gateways. Diese IP-Adressen entsprechen denen des VPN-Tunnels.

Für ESP mit Verschlüsselung werden üblicherweise die folgenden Algorithmen verwendet:

  • Triple Data Encryption Standard (3DES)
  • Advanced Encryption Standard (AES)

Von diesen bietet AES den höchsten Sicherheitsstandard. Die effektiven Schlüssellängen, die mit AES verwendet werden können, sind 128, 192 oder 256 Bit. Sophos UTM unterstützt mehrere Verschlüsselungs-Algorithmen. Für die Authentifizierung kann der MD5- oder der SHA-1-Algorithmus verwendet werden.

NAT-Traversal (NAT-T)

NATClosed-Traversal ist ein Verfahren, um zwischen Hosts in TCP/IP-Netzwerken Verbindungen über NAT-Geräte aufzubauen. Dies wird erreicht, indem UDP-Verkapselung der ESP-Pakete genutzt wird, um IPsec-Tunnel über NAT-Geräte aufzubauen. Die UDP-Verkapselung wird nur verwendet, wenn zwischen den IPsec-Gegenstellen NAT gefunden wird; andernfalls werden normale ESP-Pakete verwendet.

Mit NAT-Traversal kann ein IPsec-Tunnel auch aufgebaut werden, wenn sich das Gateway oder ein Road Warrior hinter einem NAT-Router befindet. Wenn Sie diese Funktion nutzen wollen, müssen allerdings beide IPsec-Endpunkte NAT-Traversal unterstützen – das wird automatisch ausgehandelt. Zusätzlich muss auf dem NAT-Gerät der IPsec-Passthrough (IPsec-Durchreichung) ausgeschaltet sein, da dies NAT-Traversal beeinträchtigen kann.

Wenn Road Warriors NAT-Traversal verwenden wollen, muss ihr entsprechendes Benutzerobjekt im WebAdmin eine statische Fernzugriffs-IP-Adresse (RASClosed, engl. remote static IP address) besitzen (siehe auch Statische Fernzugriffs-IP verwenden auf der Seite Benutzer im WebAdmin).

Um zu verhindern, dass der Tunnel abgebaut wird, wenn keine Daten übermittelt werden, sendet NAT-Traversal standardmäßig in einem Intervall von 60 Sekunden ein Signal zur Aufrechterhaltung (engl. keep alive). Durch dieses Aufrechterhaltungssignal wird sichergestellt, dass der NAT-Router die Statusinformation der Sitzung behält, damit der Tunnel offen bleibt.

TOS

Type-of-Service-Bits (TOS) sind einige Vier-Bit-Flags im IP-Header. Die Bits werden Type-of-Service-Bits genannt, da sie es der übertragenden Anwendung ermöglichen, dem Netzwerk mitzuteilen, welche Art von Dienstqualität benötigt wird.

Bei der IPsec-Implementierung von Sophos UTM wird der TOS-Wert immer kopiert.