Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst IPSec - Tunnel- und Transportmodus

Mitglied: -bexter-

-bexter- (Level 1) - Jetzt verbinden

28.04.2008, aktualisiert 18.10.2012, 11453 Aufrufe, 5 Kommentare

Hallo liebe Administrator-Gemeinde!

Muss mich für eine Prüfung in IPSec einarbeiten.

Weiß inzwischen das es den AH (nur Authentizität und Integrität der Daten) und den ESP-Heather (Authentizität, Integrität und Verschlüsselung der Daten) gibt.

Nur den Tunnel- und Transportmodus verstehe ich nicht.


Also den Transportmodus verstehe ich noch, weil der IP Header gleich bleibt.


Aber den Tunnelmodus verstehe ich nicht.
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Header) und dafür wird ein neuer externer Heather vor das Paket gestellt.
Nur was bringt das?


Welche IPs werden dadurch verschlüsselt(ESP) und somit geschützt? Und welche IPs landen im äußeren IP Header?

Bitte mit Beispiel, sonst verstehe ich das nicht, weil ich nich genau weiß ob eine interne(Ziel/Quell) oder eine externe(Ziel/Quell) IP im internen IP Header verschlüsselt wird.


Meine Frage bezieht sich auf die Infos von:
http://de.wikipedia.org/wiki/IPsec



Vielen vielen Dank für Hilfe

Gruß
Mitglied: spacyfreak
28.04.2008 um 21:14 Uhr
Die Sache ist etwas abstrakt - doch es ist begreifbar.

Also...

Wenn Du daheim bist und mit Deinem PC im Internet surfst, hast du eine bestimmte IP-Adresse zur Verfügung die du von deinem Provider bekommen hast, sagen wir z. B. die 86.76.78.7. Diese IP hat entweder dein PC selbst erhalten (wenn er an einem DSL Modem hängt) oder aber dein DSL-Router (wenn du einen DSL Router verwendest).
Im zweiten Fall hat dein PC dann eine so genannte private IPadresse wie z. B. 192.168.0.4.

Nun stell Dir vor, Du möchtest auf Daten in deiner Firma zugreifen, über Deinen privaten Internetzugang. Du möchtest gerne so auf die Firmendaten zugreifen, als wärst du in deinem Firmen-Netz an die LAN-Dose angeschlossen. Du möchest auch eine IP-Adresse haben, die aus deinem Firmen-Netzwerk stammt.

Mit VPN im Tunnelmodus kannst du genau das erreichen.


Ein IP Paket wird in ein anderes IP-Paket gekapselt.

Das INTERNE IP-Paket enthält eine IP-Adresse, nämlich die IP-Adresse die Du vom VPN Server beim Tunnelaufbau erhalten hast.

Dieses Interne IP Paket (das komplett verschlüsselt ist) bekommt einen Mantel umgehängt, der eine andere IP-Adresse trägt, nämlich die IP-Adresse die du von Deinem Provider bekommen hast.

So finden die IP-Pakete den Weg zum VPN Server (da zwischen Deinem DSL Router und dem VPN Server ja geroutet werden muss, also darf der äussere IP-Header nicht verschlüsselt sein, sonst könnte ihn kein Router weiterleiten da er nicht weiss wohin damit).
Wenn diese Pakete im VPN Server landen, packt er das verpackte und verschlüsselte IP-Paket aus dem externen heraus, entschlüsselt es, und routet es ins LAN.

Wenn vom LAN Pakete zurückkommen, werden sie verschlüsselt und eingepackt, bekommen wieder den externen IP Header als "Hülle", und werden wieder zu Dir nach Hause geschickt, wo sie dein VPNClient wieder auspackt und entschlüsselt.



Doch das Drama geht weiter...

Daheim hat man in aller Regel ja keinen NAT-Router, sondern einen PAT Router (Port Adress Translation). Dieser übersetzt die private IP Deines Heim-PCs in die öffentliche IP die du vom Provider erhalten hast, wechselt also bei jedem Paket das in Richtung Internet abgeschickt wird vorher die Quell-IP aus, und bei zurückkommenden Paketen aus dem Internet wechselt er die öffentliche Ziel-IP wieder aus mit deiner privaten IP.

ESP hat leider keine Ports, es ist ein Protokoll der IP-Familie (IP Type 50).
Darum ist es auch nicht zu patten, da es keinen Port hat den man patten könnte.
Darum wird ESP in UDP gekapselt (UDP Port 4500, NAT-Transparency bzw. NAT-Traversal) damit man es über typische Heim PAT-Router leiten kann.
Bitte warten ..
Mitglied: -bexter-
28.04.2008 um 21:19 Uhr
Hallo spacyfreak..

vielen Dank für die super Erklärung!

Nun hab ich allerdings ein weiteres Problem:
Deine Erläuterung klingt sehr logisch, aaaber:

Wie funktioniert das ganze dann im Transportmodus?

Da gibt es ja nur einen IP Heather?!
Wo wird da die externe und wo die interne IP gespeichert?

Vielleicht fällt dir da auch noch so ein gutes Beispiel ein?


Vielen Dank
liebe Grüße
Bitte warten ..
Mitglied: spacyfreak
28.04.2008, aktualisiert 18.10.2012
Im Transport Modus gibt es keinen internen IP-Header (NICHT "Heather". Ich glaube Heather ist ein Frauenname??), sondern da werden nur die Daten verschlüsselt und NICHT das ganze IP-Paket.

Transportmodus wird vor allem intern im LAN genutzt, während der Tunnelmode vor allem bei Site-to-Site und Remote-Access Szenarien verwendet wird.

http://www.heise.de/security/VPN-Knigge--/artikel/71967

https://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Mitglied: filippg
28.04.2008 um 21:23 Uhr
Aber den Tunnelmodus verstehe ich nicht.
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Heather) und dafür wird ein neuer > externer Heather vor das Paket gestellt.
Nur was bringt das?

Hallo,

ich denke, die Vorteile stehen in dem von dir benannten Artikel:
"Ein Vorteil des Tunnelmodus ist, dass bei der Gateway-zu-Gateway-Verbindung nur in die Gateways (Tunnelenden) IPsec implementiert und konfiguriert werden muss. Angreifer können dadurch nur die Tunnelendpunkte des IPsec-Tunnels feststellen, nicht aber den gesamten Weg der Verbindung."

Der Tunnelmodus erlaubt es dir, wirklich Pakete an einem Ende in den Tunnel Rein- und auf der anderen Seite _genau so_ wieder rausfallen zu lassen.
Damit kann man
- gesichert mit Kommunikationspartner kommunizieren, die selber kein IPSec können
- Alle Daten (inkl Header) vor Manipulation und Ausspionieren geschützt (IP-Adressen von Kommunikationspartnern sind durchaus vertraulich)
- auch mit Partnern kommunizieren, die keine öffentliche IP haben (nur die Tunnelendpunkte müssen die IPs kennen, für die Strecke zwischendrinn müssen nur die Tunnelendpunkte auflösen können).

Gruß

Filipp
Bitte warten ..
Mitglied: -bexter-
28.04.2008 um 21:31 Uhr
Danke für die schnellen Antworten!

Also habe ich das soweit richtig verstanden, das man den Transportmodus nur einsetzen kann, wenn die "verschlüsselungs-Endpunkte" auch gleich die Kommunikationsendpunkte sind?


Und Danke auch für die guten Links ^^

Gruß
und einen schönen Abend euch Beiden!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routingproblem IPsec Tunnel
gelöst Frage von tvprog1Router & Routing3 Kommentare

Hallo, folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider ...

MikroTik RouterOS

RouterOS IPSEC Tunnel wird nur von einer Seite initiert....

Frage von PittlerMikroTik RouterOS3 Kommentare

Hallo, ich habe 2 Mikrotiks die untereinander einen IPSEC Tunnel aufbauen sollen, und dies auch tun RB1: v6.15 1.1.1.1/24 ...

MikroTik RouterOS

Mikrotik CCR 1036 und Juniper ipsec Tunnel steht dennoch kein Traffic im Tunnel

gelöst Frage von nahdekaMikroTik RouterOS1 Kommentar

Hallo, ein Nachtrag zu meinem Post: Nachdem ich diversen Anleitungen von Greg Sowell als auch den Anleitungen aus der ...

Router & Routing

Hilfe bei Mikrotik Fritzbox IPSec VPN Tunnel mit DynDNS

Frage von mids112Router & Routing2 Kommentare

Hallo zusammen, nachdem ich mich selbst mit eurer Hilfe an meinem Projekt probiert und kläglich gescheitert bin :D, wollte ...

Neue Wissensbeiträge
Humor (lol)
Wieder mal DSGVO
Information von brammer vor 9 StundenHumor (lol)2 Kommentare

Mal was zum Lachen: Der Countdown zur Datenschutz-Grundverordnung läuft. Ab 25. Mai sollte man folgende Regeln beachten: Visitenkarten nur ...

Router & Routing

Cisco Talos deckt riesiges Router- und NAS-Botnetz auf

Tipp von Bosnigel vor 9 StundenRouter & Routing

Anscheinend kommt da wieder was auf uns zu: Gruß Bosnigel

SAN, NAS, DAS
QNAP NAS Datenschutz-Loop nach Firmware-Update
Tipp von vanTast vor 1 TagSAN, NAS, DAS2 Kommentare

Moin, im allgemeinen Trend seine geänderten Datenschutzbedingungen den Kunden zukommen zu lassen kam die Firma QNAP auf die glorreiche ...

Datenschutz
DSGVO Datenschutzgesetz
Anleitung von 1Werner1 vor 1 TagDatenschutz7 Kommentare

Moin, ja was ist das, da ist die DSGVO Datenschutzverordnung. Wie das Gesetz gibt es schon 2 Jahre? Nun ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Powerline über zwei Stockwerke optimieren
gelöst Frage von DultusLAN, WAN, Wireless45 Kommentare

Guten Morgen liebes Forum, ich hätte einmal eine Frage bezüglich Powerline Adapter: Mein Problem ist seit gestern präsent, da ...

HTML
Link nicht vollständig
Frage von jensgebkenHTML32 Kommentare

Hallo Gemeinschaft, ich erstelle mit Word einen Serienbrief, den ich per Mail versende. Nun mein Problem der Wordserienbrief holt ...

Datenschutz
E-Mail Verschlüsselung DSGVO 2018
Frage von SoccerdeluxDatenschutz27 Kommentare

Hallo zusammen, ich verzweifele langsam und wende mich an euch und hoffe vielleicht ein paar Antworten zu finden. Ich ...

Rechtliche Fragen
DISKUSSION: Was bringt der Disclaimer "Wenn Sie nicht der Empfänger sind."
Frage von N8DragonRechtliche Fragen23 Kommentare

So oder ähnlich, lese ich immer wieder Kleingedrucktes am Ende diverser Mails. Letzten Endes wollen sie mir alle sagen, ...