__ __ __ .-----.--.--.----.| |.--.--.--| |.-----.--| | .-----.----.-----. | -__|_ _| __|| || | | _ || -__| _ |__| _ | _| _ | |_____|__.__|____||__||_____|_____||_____|_____|__|_____|__| |___ | by e-spider - member of excluded-team |_____| IP Security (IPSec) - Einführung Dieser Text ist der erste Teil über IPSec. Da dieses Thema ziemlich in die Tiefe geht und ich möchte das sich auch Einsteiger nach dem Lesen auskennen habe ich mich dazu entschlossen immer ein Kapitel nach dem anderen zu veröfentlichen, bzw zu schreiben. Der erste Teil ist eine allgemeine Einführung in das Thema. -) Einführung Beim Einsatz von TCP/IP sind die Anwendungen selbst für die Bereitstellung von Sicherheitsmechanismen zum eigenen Schutz verantwortlich. Protokolle wie IP, TCP und UDP bieten zwar einen gewissen Schutz vor physikalischer Datenfälschung durch Checksummen, aber der Schutz durch Checksummen ist nur begrenzt. Früher als das Internet noch in den Kinderschuhen stand war jedes Programm selbst für die Sicherheit bverantwortklich. Mittlerweile reicht das allerdigns nicht mehr aus, da das Internet imemr weiter wächst. Ein gewisser Grundschutz muss/musste in TCP/IP implementiert werden.IPSec ist eine Ansammlung von kryptographischen Algorithmen und Protokollen, welche das IP-Protokoll erweitern. Es bietet hohe Sicherheit für jede Anwendung die auf das IP-Protokoll zugreifen. Im eigentlichen erweiteret IPSec die IP-Datagrammstruktur. -) Was ist IPSec? IPSec ist entworfen worden um IP-Datagrammen im Transit über ein netzwerk zusätzliche Sicherheitsmechanisem zur Verfügung zu stellen, die über die von Anwendungen bereitgestellten Mechanismen hinausgehen. IPSec erstellt zuerst eine Sicherheitsassoziation zwischen zwei Computern und verwendet diese SA dann zur Transformation der IP-Datagramme, um den IP-Paketen Sicherheitsstrukturen hinzuzufügen. Es werden zwei unterschiedliche Transofrmationen unterstüzt: AH und ESP; Die bereitgestellten spezifischen Dienste stützen sich auf die folgenden Technologien: Authentifizierung: IPSec bestätigt die Ursprungsadresse und die Integrität jedes IP-Datagramms durch Absicherung der echten Identität des sendenden Pc´s. IPSec in Win2k stellt Authentifizierungsdienste auf der Grundlage von vor-veröffentlichten und gemeinsamen genutzten Schlüsseln oder Public Keys ( z.B. X.509 Zertifikate) bereit, oder via Kerberos und das Active Directory von Win2k. Integrität: Die Daten in einem Ip-Datagramm werden vor (unbefugten) Veränderungen während der Übertragung geschützt. Ausserdem wird sichergestellt das die empfangenen auch wirklich die selben Informationen sind wie die gesendeten. Kryptographische Hashfunktionen werden dazu verwendet jedes Paket einzigartig zu signieren. Beim empfangen kann der Computer jedes Paket auf die richtige Signatur überprüfen. Nur wenn die Sig. gültig ist wird dasPaket weitergegeben. Ist sie ungültig wird das Paket gelöscht. Vertraulichkeit: Mit Hilfe der Ip-Datagramm eigenen Verschlüsselung wird sichergestellt das nur der gewünschte Empfänger die Daten bekommt. Identifikation: Es wird sichergestellt das nur eine Person der Sender sein kann. Dadurch wird verhindert dass es später eventuell geleugnet werden kann. Dieser Vorteil wird durch eine Kombination von Authentifizierung und Integritätsüberprüfung erreicht. Anti-Replay: Weiteres wird die Einzigartigkeit eines jeden IP-Pakets sichergestellt. Dadurch wird verhindert das Pakete aufgezeichnet und wieder eingespielt werden. Vor allem beim Transfer zwischen Banken könnte das ziemlich ungemütlich werden. Wer möchte schon zweimal für etwas zahlen das er sich gerade bestellt hat? Das ganze wird durch die Verwendung von Sequenznummern realisiert, die dem Ip-Datagramm Vorspann angefügt werden. Schlüsselverw.: IPSec unterstützt Schlüsselgenerierung, -austausch und -aktualisierung auf sichere Art und Weise. -)legal stuff Copyright by e-spider - Kopieren ist erlaubt, verändern verboten! Greetings to excluded, lostkey, invisible, reggid, mellon, Nova, zinni and so on ... some links: www.excluded.org www.lostkey.org www.computer-security.de www.google.de Contact: e-spider@excluded.org 107206421 (icq) Für wichtige Sachen: -----BEGIN PGP PUBLIC KEY BLOCK----- mQGiBD9LWLwRBAD3c8uELylTnBnyNT9HhrgDEj2h6MVkAH3wzlhQkLO9pg372SoK jzRNJ7dPNr8wbYEdBr3MSrQkOi/EfYYouvnWSuBEvnvffEbRxjcm7Z/qM2pAynSs vkgudiP68ySOrlH14POsBik38scUuXw85fI1X5PxtIZerYM8iq9+i1zzdQCg/6/4 gYiSMgJOBw6Y+mO4/NysLp8D/R+V/ZfPHGpwJofIZPXGVeZyqRWdxLdSD4TG+uwE wIfwQaQe7SOXKtOR4AjfrQmRFQIpAG/w8B8o39EzlyTm3KVnQYj+6+PKM4UlB5IQ Ionfq2ZEopMK+5UWGAyLn4qecz+9g+dqGr2F0BuFr45N7amTXMFSkkAHsyZhaMb2 4MCzBACv42AiNSSfVNsEm16+j5UrnF2AczUmZemCOfsBlhwFJEVNnCVxAIOL/kHf Zma2tfz2fwYf5BRGGvLoNuvfS8ytQgy1+INp+wTTS3ZKt84BQcIPfczpXBBsov9d ABYo+cB+4f/STcWAsnft1P9Em4ehcADSIJ4quKO4IANpXeoy2bQUSkYgPGUtc3Bp ZGVyQGdteC5hdD6JAFcEEBECABcFAj9LWLwHCwkIBwMCCgIZAQUbAwAAAAAKCRBW Xxe62o5WdaqXAKDAwQZvA3jTpCTUwhB+vJodSa0KQwCg+aZFbKtp/AV44CvIk16n 3tm1+8+5Ag0EP0tYvBAIAPZCV7cIfwgXcqK61qlC8wXo+VMROU+28W65Szgg2gGn VqMU6Y9AVfPQB8bLQ6mUrfdMZIZJ+AyDvWXpF9Sh01D49Vlf3HZSTz09jdvOmeFX klnN/biudE/F/Ha8g8VHMGHOfMlm/xX5u/2RXscBqtNbno2gpXI61Brwv0YAWCvl 9Ij9WE5J280gtJ3kkQc2azNsOA1FHQ98iLMcfFstjvbzySPAQ/ClWxiNjrtVjLhd ONM0/XwXV0OjHRhs3jMhLLUq/zzhsSlAGBGNfISnCnLWhsQDGcgHKXrKlQzZlp+r 0ApQmwJG0wg9ZqRdQZ+cfL2JSyIZJrqrol7DVekyCzsAAgIH/RMIz8+eNE+SUxI0 mdr5frou20d2+JBASWIlRgwxD6vYtrFoibSa7Hwxw4zAyaTAYmxsprLtiV5HHDPj nuKFNYPC/A+GF3mwaawdAVKBvR8T+Yddsd5+Q/FiKCqox+b3ENjvRIlXSRaiucpj n/EBSAxaRDoA2ovQe1Rc9/6IpstQceQqi20hNNUHWIBy8HlaYdmtJ0GPip44Yo/j i0U6tq0WvmzAAa3Eqq4aGGQQM3q2bAlpOQ0ZZWH2ftQPlSFYcHmA4ZT2tqQjxw3X UqBrX/zOIFgN3t5HRhwk/qODDENM2uJx3L68HMfMMqJOUwEHoH/Dey1iz6nbBhLx I4Db6zeJAEwEGBECAAwFAj9LWLwFGwwAAAAACgkQVl8XutqOVnUnLgCfVpuGQF+f zZHyuppvpF/bs4ms7LEAoKk9aer4Q7pD4IDguVR/PB12fPIv =WjXE -----END PGP PUBLIC KEY BLOCK-----