Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

IPSec - Tunnel- und Transportmodus

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: -bexter-

-bexter- (Level 1) - Jetzt verbinden

28.04.2008, aktualisiert 18.10.2012, 10973 Aufrufe, 5 Kommentare

Hallo liebe Administrator-Gemeinde!

Muss mich für eine Prüfung in IPSec einarbeiten.

Weiß inzwischen das es den AH (nur Authentizität und Integrität der Daten) und den ESP-Heather (Authentizität, Integrität und Verschlüsselung der Daten) gibt.

Nur den Tunnel- und Transportmodus verstehe ich nicht.


Also den Transportmodus verstehe ich noch, weil der IP Header gleich bleibt.


Aber den Tunnelmodus verstehe ich nicht.
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Header) und dafür wird ein neuer externer Heather vor das Paket gestellt.
Nur was bringt das?


Welche IPs werden dadurch verschlüsselt(ESP) und somit geschützt? Und welche IPs landen im äußeren IP Header?

Bitte mit Beispiel, sonst verstehe ich das nicht, weil ich nich genau weiß ob eine interne(Ziel/Quell) oder eine externe(Ziel/Quell) IP im internen IP Header verschlüsselt wird.


Meine Frage bezieht sich auf die Infos von:
http://de.wikipedia.org/wiki/IPsec



Vielen vielen Dank für Hilfe

Gruß
Mitglied: spacyfreak
28.04.2008 um 21:14 Uhr
Die Sache ist etwas abstrakt - doch es ist begreifbar.

Also...

Wenn Du daheim bist und mit Deinem PC im Internet surfst, hast du eine bestimmte IP-Adresse zur Verfügung die du von deinem Provider bekommen hast, sagen wir z. B. die 86.76.78.7. Diese IP hat entweder dein PC selbst erhalten (wenn er an einem DSL Modem hängt) oder aber dein DSL-Router (wenn du einen DSL Router verwendest).
Im zweiten Fall hat dein PC dann eine so genannte private IPadresse wie z. B. 192.168.0.4.

Nun stell Dir vor, Du möchtest auf Daten in deiner Firma zugreifen, über Deinen privaten Internetzugang. Du möchtest gerne so auf die Firmendaten zugreifen, als wärst du in deinem Firmen-Netz an die LAN-Dose angeschlossen. Du möchest auch eine IP-Adresse haben, die aus deinem Firmen-Netzwerk stammt.

Mit VPN im Tunnelmodus kannst du genau das erreichen.


Ein IP Paket wird in ein anderes IP-Paket gekapselt.

Das INTERNE IP-Paket enthält eine IP-Adresse, nämlich die IP-Adresse die Du vom VPN Server beim Tunnelaufbau erhalten hast.

Dieses Interne IP Paket (das komplett verschlüsselt ist) bekommt einen Mantel umgehängt, der eine andere IP-Adresse trägt, nämlich die IP-Adresse die du von Deinem Provider bekommen hast.

So finden die IP-Pakete den Weg zum VPN Server (da zwischen Deinem DSL Router und dem VPN Server ja geroutet werden muss, also darf der äussere IP-Header nicht verschlüsselt sein, sonst könnte ihn kein Router weiterleiten da er nicht weiss wohin damit).
Wenn diese Pakete im VPN Server landen, packt er das verpackte und verschlüsselte IP-Paket aus dem externen heraus, entschlüsselt es, und routet es ins LAN.

Wenn vom LAN Pakete zurückkommen, werden sie verschlüsselt und eingepackt, bekommen wieder den externen IP Header als "Hülle", und werden wieder zu Dir nach Hause geschickt, wo sie dein VPNClient wieder auspackt und entschlüsselt.



Doch das Drama geht weiter...

Daheim hat man in aller Regel ja keinen NAT-Router, sondern einen PAT Router (Port Adress Translation). Dieser übersetzt die private IP Deines Heim-PCs in die öffentliche IP die du vom Provider erhalten hast, wechselt also bei jedem Paket das in Richtung Internet abgeschickt wird vorher die Quell-IP aus, und bei zurückkommenden Paketen aus dem Internet wechselt er die öffentliche Ziel-IP wieder aus mit deiner privaten IP.

ESP hat leider keine Ports, es ist ein Protokoll der IP-Familie (IP Type 50).
Darum ist es auch nicht zu patten, da es keinen Port hat den man patten könnte.
Darum wird ESP in UDP gekapselt (UDP Port 4500, NAT-Transparency bzw. NAT-Traversal) damit man es über typische Heim PAT-Router leiten kann.
Bitte warten ..
Mitglied: -bexter-
28.04.2008 um 21:19 Uhr
Hallo spacyfreak..

vielen Dank für die super Erklärung!

Nun hab ich allerdings ein weiteres Problem:
Deine Erläuterung klingt sehr logisch, aaaber:

Wie funktioniert das ganze dann im Transportmodus?

Da gibt es ja nur einen IP Heather?!
Wo wird da die externe und wo die interne IP gespeichert?

Vielleicht fällt dir da auch noch so ein gutes Beispiel ein?


Vielen Dank
liebe Grüße
Bitte warten ..
Mitglied: spacyfreak
28.04.2008, aktualisiert 18.10.2012
Im Transport Modus gibt es keinen internen IP-Header (NICHT "Heather". Ich glaube Heather ist ein Frauenname??), sondern da werden nur die Daten verschlüsselt und NICHT das ganze IP-Paket.

Transportmodus wird vor allem intern im LAN genutzt, während der Tunnelmode vor allem bei Site-to-Site und Remote-Access Szenarien verwendet wird.

http://www.heise.de/security/VPN-Knigge--/artikel/71967

http://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Mitglied: filippg
28.04.2008 um 21:23 Uhr
Aber den Tunnelmodus verstehe ich nicht.
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Heather) und dafür wird ein neuer > externer Heather vor das Paket gestellt.
Nur was bringt das?

Hallo,

ich denke, die Vorteile stehen in dem von dir benannten Artikel:
"Ein Vorteil des Tunnelmodus ist, dass bei der Gateway-zu-Gateway-Verbindung nur in die Gateways (Tunnelenden) IPsec implementiert und konfiguriert werden muss. Angreifer können dadurch nur die Tunnelendpunkte des IPsec-Tunnels feststellen, nicht aber den gesamten Weg der Verbindung."

Der Tunnelmodus erlaubt es dir, wirklich Pakete an einem Ende in den Tunnel Rein- und auf der anderen Seite _genau so_ wieder rausfallen zu lassen.
Damit kann man
- gesichert mit Kommunikationspartner kommunizieren, die selber kein IPSec können
- Alle Daten (inkl Header) vor Manipulation und Ausspionieren geschützt (IP-Adressen von Kommunikationspartnern sind durchaus vertraulich)
- auch mit Partnern kommunizieren, die keine öffentliche IP haben (nur die Tunnelendpunkte müssen die IPs kennen, für die Strecke zwischendrinn müssen nur die Tunnelendpunkte auflösen können).

Gruß

Filipp
Bitte warten ..
Mitglied: -bexter-
28.04.2008 um 21:31 Uhr
Danke für die schnellen Antworten!

Also habe ich das soweit richtig verstanden, das man den Transportmodus nur einsetzen kann, wenn die "verschlüsselungs-Endpunkte" auch gleich die Kommunikationsendpunkte sind?


Und Danke auch für die guten Links ^^

Gruß
und einen schönen Abend euch Beiden!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routingproblem IPsec Tunnel
gelöst Frage von tvprog1Router & Routing3 Kommentare

Hallo, folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider ...

MikroTik RouterOS
RouterOS IPSEC Tunnel wird nur von einer Seite initiert....
Frage von PittlerMikroTik RouterOS3 Kommentare

Hallo, ich habe 2 Mikrotiks die untereinander einen IPSEC Tunnel aufbauen sollen, und dies auch tun RB1: v6.15 1.1.1.1/24 ...

MikroTik RouterOS
Mikrotik CCR 1036 und Juniper ipsec Tunnel steht dennoch kein Traffic im Tunnel
gelöst Frage von nahdekaMikroTik RouterOS1 Kommentar

Hallo, ein Nachtrag zu meinem Post: Nachdem ich diversen Anleitungen von Greg Sowell als auch den Anleitungen aus der ...

Router & Routing
Hilfe bei Mikrotik Fritzbox IPSec VPN Tunnel mit DynDNS
Frage von mids112Router & Routing2 Kommentare

Hallo zusammen, nachdem ich mich selbst mit eurer Hilfe an meinem Projekt probiert und kläglich gescheitert bin :D, wollte ...

Neue Wissensbeiträge
Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 1 StundeMicrosoft Office2 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 7 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Batch & Shell
Dateien verschieben mit batch
gelöst Frage von michi-ffmBatch & Shell13 Kommentare

Hallo Zusammen hat jemand evtl eine Idee? Zunächst hier das Skript: Leider werden keine UNC-Pfade unterstüzt, kann mir jemand ...