5
IPSec - Tunnel- und Transportmodus
Hallo liebe Administrator-Gemeinde!
Muss mich für eine Prüfung in IPSec einarbeiten.
Weiß inzwischen das es den AH (nur Authentizität und Integrität der Daten) und den ESP-Heather (Authentizität, Integrität und Verschlüsselung der Daten) gibt.
Nur den Tunnel- und Transportmodus verstehe ich nicht.
Also den Transportmodus verstehe ich noch, weil der IP Header gleich bleibt.
Aber den Tunnelmodus verstehe ich nicht.
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Header) und dafür wird ein neuer externer Heather vor das Paket gestellt.
Nur was bringt das?
Welche IPs werden dadurch verschlüsselt(ESP) und somit geschützt? Und welche IPs landen im äußeren IP Header?
Bitte mit Beispiel, sonst verstehe ich das nicht, weil ich nich genau weiß ob eine interne(Ziel/Quell) oder eine externe(Ziel/Quell) IP im internen IP Header verschlüsselt wird.
Meine Frage bezieht sich auf die Infos von:
http://de.wikipedia.org/wiki/IPsec
Vielen vielen Dank für Hilfe
Gruß
Muss mich für eine Prüfung in IPSec einarbeiten.
Weiß inzwischen das es den AH (nur Authentizität und Integrität der Daten) und den ESP-Heather (Authentizität, Integrität und Verschlüsselung der Daten) gibt.
Nur den Tunnel- und Transportmodus verstehe ich nicht.
Also den Transportmodus verstehe ich noch, weil der IP Header gleich bleibt.
Aber den Tunnelmodus verstehe ich nicht.
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Header) und dafür wird ein neuer externer Heather vor das Paket gestellt.
Nur was bringt das?
Welche IPs werden dadurch verschlüsselt(ESP) und somit geschützt? Und welche IPs landen im äußeren IP Header?
Bitte mit Beispiel, sonst verstehe ich das nicht, weil ich nich genau weiß ob eine interne(Ziel/Quell) oder eine externe(Ziel/Quell) IP im internen IP Header verschlüsselt wird.
Meine Frage bezieht sich auf die Infos von:
http://de.wikipedia.org/wiki/IPsec
Vielen vielen Dank für Hilfe
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 86609
Url: https://administrator.de/contentid/86609
Printed on: April 19, 2024 at 20:04 o'clock
5 Comments
Latest comment
Die Sache ist etwas abstrakt - doch es ist begreifbar.
Also...
Wenn Du daheim bist und mit Deinem PC im Internet surfst, hast du eine bestimmte IP-Adresse zur Verfügung die du von deinem Provider bekommen hast, sagen wir z. B. die 86.76.78.7. Diese IP hat entweder dein PC selbst erhalten (wenn er an einem DSL Modem hängt) oder aber dein DSL-Router (wenn du einen DSL Router verwendest).
Im zweiten Fall hat dein PC dann eine so genannte private IPadresse wie z. B. 192.168.0.4.
Nun stell Dir vor, Du möchtest auf Daten in deiner Firma zugreifen, über Deinen privaten Internetzugang. Du möchtest gerne so auf die Firmendaten zugreifen, als wärst du in deinem Firmen-Netz an die LAN-Dose angeschlossen. Du möchest auch eine IP-Adresse haben, die aus deinem Firmen-Netzwerk stammt.
Mit VPN im Tunnelmodus kannst du genau das erreichen.
Ein IP Paket wird in ein anderes IP-Paket gekapselt.
Das INTERNE IP-Paket enthält eine IP-Adresse, nämlich die IP-Adresse die Du vom VPN Server beim Tunnelaufbau erhalten hast.
Dieses Interne IP Paket (das komplett verschlüsselt ist) bekommt einen Mantel umgehängt, der eine andere IP-Adresse trägt, nämlich die IP-Adresse die du von Deinem Provider bekommen hast.
So finden die IP-Pakete den Weg zum VPN Server (da zwischen Deinem DSL Router und dem VPN Server ja geroutet werden muss, also darf der äussere IP-Header nicht verschlüsselt sein, sonst könnte ihn kein Router weiterleiten da er nicht weiss wohin damit).
Wenn diese Pakete im VPN Server landen, packt er das verpackte und verschlüsselte IP-Paket aus dem externen heraus, entschlüsselt es, und routet es ins LAN.
Wenn vom LAN Pakete zurückkommen, werden sie verschlüsselt und eingepackt, bekommen wieder den externen IP Header als "Hülle", und werden wieder zu Dir nach Hause geschickt, wo sie dein VPNClient wieder auspackt und entschlüsselt.
Doch das Drama geht weiter...
Daheim hat man in aller Regel ja keinen NAT-Router, sondern einen PAT Router (Port Adress Translation). Dieser übersetzt die private IP Deines Heim-PCs in die öffentliche IP die du vom Provider erhalten hast, wechselt also bei jedem Paket das in Richtung Internet abgeschickt wird vorher die Quell-IP aus, und bei zurückkommenden Paketen aus dem Internet wechselt er die öffentliche Ziel-IP wieder aus mit deiner privaten IP.
ESP hat leider keine Ports, es ist ein Protokoll der IP-Familie (IP Type 50).
Darum ist es auch nicht zu patten, da es keinen Port hat den man patten könnte.
Darum wird ESP in UDP gekapselt (UDP Port 4500, NAT-Transparency bzw. NAT-Traversal) damit man es über typische Heim PAT-Router leiten kann.
Also...
Wenn Du daheim bist und mit Deinem PC im Internet surfst, hast du eine bestimmte IP-Adresse zur Verfügung die du von deinem Provider bekommen hast, sagen wir z. B. die 86.76.78.7. Diese IP hat entweder dein PC selbst erhalten (wenn er an einem DSL Modem hängt) oder aber dein DSL-Router (wenn du einen DSL Router verwendest).
Im zweiten Fall hat dein PC dann eine so genannte private IPadresse wie z. B. 192.168.0.4.
Nun stell Dir vor, Du möchtest auf Daten in deiner Firma zugreifen, über Deinen privaten Internetzugang. Du möchtest gerne so auf die Firmendaten zugreifen, als wärst du in deinem Firmen-Netz an die LAN-Dose angeschlossen. Du möchest auch eine IP-Adresse haben, die aus deinem Firmen-Netzwerk stammt.
Mit VPN im Tunnelmodus kannst du genau das erreichen.
Ein IP Paket wird in ein anderes IP-Paket gekapselt.
Das INTERNE IP-Paket enthält eine IP-Adresse, nämlich die IP-Adresse die Du vom VPN Server beim Tunnelaufbau erhalten hast.
Dieses Interne IP Paket (das komplett verschlüsselt ist) bekommt einen Mantel umgehängt, der eine andere IP-Adresse trägt, nämlich die IP-Adresse die du von Deinem Provider bekommen hast.
So finden die IP-Pakete den Weg zum VPN Server (da zwischen Deinem DSL Router und dem VPN Server ja geroutet werden muss, also darf der äussere IP-Header nicht verschlüsselt sein, sonst könnte ihn kein Router weiterleiten da er nicht weiss wohin damit).
Wenn diese Pakete im VPN Server landen, packt er das verpackte und verschlüsselte IP-Paket aus dem externen heraus, entschlüsselt es, und routet es ins LAN.
Wenn vom LAN Pakete zurückkommen, werden sie verschlüsselt und eingepackt, bekommen wieder den externen IP Header als "Hülle", und werden wieder zu Dir nach Hause geschickt, wo sie dein VPNClient wieder auspackt und entschlüsselt.
Doch das Drama geht weiter...
Daheim hat man in aller Regel ja keinen NAT-Router, sondern einen PAT Router (Port Adress Translation). Dieser übersetzt die private IP Deines Heim-PCs in die öffentliche IP die du vom Provider erhalten hast, wechselt also bei jedem Paket das in Richtung Internet abgeschickt wird vorher die Quell-IP aus, und bei zurückkommenden Paketen aus dem Internet wechselt er die öffentliche Ziel-IP wieder aus mit deiner privaten IP.
ESP hat leider keine Ports, es ist ein Protokoll der IP-Familie (IP Type 50).
Darum ist es auch nicht zu patten, da es keinen Port hat den man patten könnte.
Darum wird ESP in UDP gekapselt (UDP Port 4500, NAT-Transparency bzw. NAT-Traversal) damit man es über typische Heim PAT-Router leiten kann.
Hallo spacyfreak..
vielen Dank für die super Erklärung!
Nun hab ich allerdings ein weiteres Problem:
Deine Erläuterung klingt sehr logisch, aaaber:
Wie funktioniert das ganze dann im Transportmodus?
Da gibt es ja nur einen IP Heather?!
Wo wird da die externe und wo die interne IP gespeichert?
Vielleicht fällt dir da auch noch so ein gutes Beispiel ein?
Vielen Dank
liebe Grüße
vielen Dank für die super Erklärung!
Nun hab ich allerdings ein weiteres Problem:
Deine Erläuterung klingt sehr logisch, aaaber:
Wie funktioniert das ganze dann im Transportmodus?
Da gibt es ja nur einen IP Heather?!
Wo wird da die externe und wo die interne IP gespeichert?
Vielleicht fällt dir da auch noch so ein gutes Beispiel ein?
Vielen Dank
liebe Grüße
Im Transport Modus gibt es keinen internen IP-Header (NICHT "Heather". Ich glaube Heather ist ein Frauenname??), sondern da werden nur die Daten verschlüsselt und NICHT das ganze IP-Paket.
Transportmodus wird vor allem intern im LAN genutzt, während der Tunnelmode vor allem bei Site-to-Site und Remote-Access Szenarien verwendet wird.
http://www.heise.de/security/VPN-Knigge--/artikel/71967
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Transportmodus wird vor allem intern im LAN genutzt, während der Tunnelmode vor allem bei Site-to-Site und Remote-Access Szenarien verwendet wird.
http://www.heise.de/security/VPN-Knigge--/artikel/71967
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Aber den Tunnelmodus verstehe ich nicht.
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Heather) und dafür wird ein neuer > externer Heather vor das Paket gestellt.
Nur was bringt das?
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Heather) und dafür wird ein neuer > externer Heather vor das Paket gestellt.
Nur was bringt das?
Hallo,
ich denke, die Vorteile stehen in dem von dir benannten Artikel:
"Ein Vorteil des Tunnelmodus ist, dass bei der Gateway-zu-Gateway-Verbindung nur in die Gateways (Tunnelenden) IPsec implementiert und konfiguriert werden muss. Angreifer können dadurch nur die Tunnelendpunkte des IPsec-Tunnels feststellen, nicht aber den gesamten Weg der Verbindung."
Der Tunnelmodus erlaubt es dir, wirklich Pakete an einem Ende in den Tunnel Rein- und auf der anderen Seite _genau so_ wieder rausfallen zu lassen.
Damit kann man
- gesichert mit Kommunikationspartner kommunizieren, die selber kein IPSec können
- Alle Daten (inkl Header) vor Manipulation und Ausspionieren geschützt (IP-Adressen von Kommunikationspartnern sind durchaus vertraulich)
- auch mit Partnern kommunizieren, die keine öffentliche IP haben (nur die Tunnelendpunkte müssen die IPs kennen, für die Strecke zwischendrinn müssen nur die Tunnelendpunkte auflösen können).
Gruß
Filipp
Danke für die schnellen Antworten!
Also habe ich das soweit richtig verstanden, das man den Transportmodus nur einsetzen kann, wenn die "verschlüsselungs-Endpunkte" auch gleich die Kommunikationsendpunkte sind?
Und Danke auch für die guten Links ^^
Gruß
und einen schönen Abend euch Beiden!
Also habe ich das soweit richtig verstanden, das man den Transportmodus nur einsetzen kann, wenn die "verschlüsselungs-Endpunkte" auch gleich die Kommunikationsendpunkte sind?
Und Danke auch für die guten Links ^^
Gruß
und einen schönen Abend euch Beiden!
