Skip to content

Unterschiede von AH und ESP bei IPSec

MCSE IPSec wird in RFC 2401 definiert und ist der einzig brauchbare Ansatz in der Praxis IP-Daten auf ISO Ebene 3 zu verschlüsseln. Das heisst, es werden direkt die Datenpakete verschlüsselt und signiert, man kann also eine gesicherte Kommunikation zwischen zwei Punkten herstellen. Dabei wird sichergestellt dass die Daten erstens authentisch sind zweitens unverändert übertragen wurden und drittens nicht während der Übertragung eingesehen werden konnten.

Der Authentication Header (AH) ist eine Art Prüfsumme (Hashcode) über ein Datenpaket und alle Felder des Headers, die nicht von einem Router geändert werden. Man kann damit den richtigen Absender des Pakets sicherstellen. Damit wird aber keine Verschlüsselung der Daten durchgeführt. Ein Problem sind jedoch NAT-Router, da sie die Adressen der Datenpakete ändern müssen um zu funktionieren.

Encapsulating Security Payload (ESP) sorgt für die Verschlüsselung mit Triple-DES-Sitzungsschlüssel. Die zusätzliche SHA1- oder MD5-Signierung ist nur eine Option, bezieht sich aber nur auf den Inhalt des Datenpakets. Damit kann ESP auch zusammen mit NAT-Routern funktionieren. Allerdings ist damit allein nicht mehr die Authenzität des Absenders sicherzustellen.

AH und ESP schließen sich nicht aus, können also zusammen verwendet werden, allerdings wird damit ein leichter Overhead erzeugt.
3desah esp

3DES erfordert höheren Rechenaufwand als DES, es bearbeitet jeden Block drei Mal und verwendet dabei jedes Mal einen einmaligen 56-Bit-Schlüssel. MD5 (Message Digest 5) basiert auf RFC 1321 und berechnet einem 128-Bit-Hash, der für die Integritätsprüfung verwendet wird. SHA1 (Secure Hash Algorithm 1) wurde eng an MD5 angelehnt und führt zu einem 160-Bit-Hash, durch die längere Prüfsumme ist dieser Algorithmus sicherer, aber aufwändiger.

Quellen:
http://de.wikipedia.org/wiki/IPsec
Netzwerke mit IPSec schützen

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Formular-Optionen
tweetbackcheck