Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

IPSec - Tunnel- und Transportmodus

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: -bexter-

-bexter- (Level 1) - Jetzt verbinden

28.04.2008, aktualisiert 18.10.2012, 9980 Aufrufe, 5 Kommentare

Hallo liebe Administrator-Gemeinde!

Muss mich für eine Prüfung in IPSec einarbeiten.

Weiß inzwischen das es den AH (nur Authentizität und Integrität der Daten) und den ESP-Heather (Authentizität, Integrität und Verschlüsselung der Daten) gibt.

Nur den Tunnel- und Transportmodus verstehe ich nicht.


Also den Transportmodus verstehe ich noch, weil der IP Header gleich bleibt.


Aber den Tunnelmodus verstehe ich nicht.
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Header) und dafür wird ein neuer externer Heather vor das Paket gestellt.
Nur was bringt das?


Welche IPs werden dadurch verschlüsselt(ESP) und somit geschützt? Und welche IPs landen im äußeren IP Header?

Bitte mit Beispiel, sonst verstehe ich das nicht, weil ich nich genau weiß ob eine interne(Ziel/Quell) oder eine externe(Ziel/Quell) IP im internen IP Header verschlüsselt wird.


Meine Frage bezieht sich auf die Infos von:
http://de.wikipedia.org/wiki/IPsec



Vielen vielen Dank für Hilfe

Gruß
Mitglied: spacyfreak
28.04.2008 um 21:14 Uhr
Die Sache ist etwas abstrakt - doch es ist begreifbar.

Also...

Wenn Du daheim bist und mit Deinem PC im Internet surfst, hast du eine bestimmte IP-Adresse zur Verfügung die du von deinem Provider bekommen hast, sagen wir z. B. die 86.76.78.7. Diese IP hat entweder dein PC selbst erhalten (wenn er an einem DSL Modem hängt) oder aber dein DSL-Router (wenn du einen DSL Router verwendest).
Im zweiten Fall hat dein PC dann eine so genannte private IPadresse wie z. B. 192.168.0.4.

Nun stell Dir vor, Du möchtest auf Daten in deiner Firma zugreifen, über Deinen privaten Internetzugang. Du möchtest gerne so auf die Firmendaten zugreifen, als wärst du in deinem Firmen-Netz an die LAN-Dose angeschlossen. Du möchest auch eine IP-Adresse haben, die aus deinem Firmen-Netzwerk stammt.

Mit VPN im Tunnelmodus kannst du genau das erreichen.


Ein IP Paket wird in ein anderes IP-Paket gekapselt.

Das INTERNE IP-Paket enthält eine IP-Adresse, nämlich die IP-Adresse die Du vom VPN Server beim Tunnelaufbau erhalten hast.

Dieses Interne IP Paket (das komplett verschlüsselt ist) bekommt einen Mantel umgehängt, der eine andere IP-Adresse trägt, nämlich die IP-Adresse die du von Deinem Provider bekommen hast.

So finden die IP-Pakete den Weg zum VPN Server (da zwischen Deinem DSL Router und dem VPN Server ja geroutet werden muss, also darf der äussere IP-Header nicht verschlüsselt sein, sonst könnte ihn kein Router weiterleiten da er nicht weiss wohin damit).
Wenn diese Pakete im VPN Server landen, packt er das verpackte und verschlüsselte IP-Paket aus dem externen heraus, entschlüsselt es, und routet es ins LAN.

Wenn vom LAN Pakete zurückkommen, werden sie verschlüsselt und eingepackt, bekommen wieder den externen IP Header als "Hülle", und werden wieder zu Dir nach Hause geschickt, wo sie dein VPNClient wieder auspackt und entschlüsselt.



Doch das Drama geht weiter...

Daheim hat man in aller Regel ja keinen NAT-Router, sondern einen PAT Router (Port Adress Translation). Dieser übersetzt die private IP Deines Heim-PCs in die öffentliche IP die du vom Provider erhalten hast, wechselt also bei jedem Paket das in Richtung Internet abgeschickt wird vorher die Quell-IP aus, und bei zurückkommenden Paketen aus dem Internet wechselt er die öffentliche Ziel-IP wieder aus mit deiner privaten IP.

ESP hat leider keine Ports, es ist ein Protokoll der IP-Familie (IP Type 50).
Darum ist es auch nicht zu patten, da es keinen Port hat den man patten könnte.
Darum wird ESP in UDP gekapselt (UDP Port 4500, NAT-Transparency bzw. NAT-Traversal) damit man es über typische Heim PAT-Router leiten kann.
Bitte warten ..
Mitglied: -bexter-
28.04.2008 um 21:19 Uhr
Hallo spacyfreak..

vielen Dank für die super Erklärung!

Nun hab ich allerdings ein weiteres Problem:
Deine Erläuterung klingt sehr logisch, aaaber:

Wie funktioniert das ganze dann im Transportmodus?

Da gibt es ja nur einen IP Heather?!
Wo wird da die externe und wo die interne IP gespeichert?

Vielleicht fällt dir da auch noch so ein gutes Beispiel ein?


Vielen Dank
liebe Grüße
Bitte warten ..
Mitglied: spacyfreak
28.04.2008, aktualisiert 18.10.2012
Im Transport Modus gibt es keinen internen IP-Header (NICHT "Heather". Ich glaube Heather ist ein Frauenname??), sondern da werden nur die Daten verschlüsselt und NICHT das ganze IP-Paket.

Transportmodus wird vor allem intern im LAN genutzt, während der Tunnelmode vor allem bei Site-to-Site und Remote-Access Szenarien verwendet wird.

http://www.heise.de/security/VPN-Knigge--/artikel/71967

http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Mitglied: filippg
28.04.2008 um 21:23 Uhr
Aber den Tunnelmodus verstehe ich nicht.
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Heather) und dafür wird ein neuer > externer Heather vor das Paket gestellt.
Nur was bringt das?

Hallo,

ich denke, die Vorteile stehen in dem von dir benannten Artikel:
"Ein Vorteil des Tunnelmodus ist, dass bei der Gateway-zu-Gateway-Verbindung nur in die Gateways (Tunnelenden) IPsec implementiert und konfiguriert werden muss. Angreifer können dadurch nur die Tunnelendpunkte des IPsec-Tunnels feststellen, nicht aber den gesamten Weg der Verbindung."

Der Tunnelmodus erlaubt es dir, wirklich Pakete an einem Ende in den Tunnel Rein- und auf der anderen Seite _genau so_ wieder rausfallen zu lassen.
Damit kann man
- gesichert mit Kommunikationspartner kommunizieren, die selber kein IPSec können
- Alle Daten (inkl Header) vor Manipulation und Ausspionieren geschützt (IP-Adressen von Kommunikationspartnern sind durchaus vertraulich)
- auch mit Partnern kommunizieren, die keine öffentliche IP haben (nur die Tunnelendpunkte müssen die IPs kennen, für die Strecke zwischendrinn müssen nur die Tunnelendpunkte auflösen können).

Gruß

Filipp
Bitte warten ..
Mitglied: -bexter-
28.04.2008 um 21:31 Uhr
Danke für die schnellen Antworten!

Also habe ich das soweit richtig verstanden, das man den Transportmodus nur einsetzen kann, wenn die "verschlüsselungs-Endpunkte" auch gleich die Kommunikationsendpunkte sind?


Und Danke auch für die guten Links ^^

Gruß
und einen schönen Abend euch Beiden!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Routingproblem IPsec Tunnel (3)

Frage von tvprog1 zum Thema Router & Routing ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Netzwerkgrundlagen
IPsec - .conf und .secret erstellen aus Gruppe und User (16)

Frage von MaxMLe zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...