IPsec ist eine Gruppe von Netzwerkprotokollen, die für den Aufbau sicherer verschlüsselter Verbindungen, wie z. B. VPNs, über öffentlich freigegebene Netzwerke verwendet werden.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
IPsec ist eine Gruppe von Protokollen zur Sicherung von Verbindungen zwischen Geräten. IPsec hilft, die über öffentliche Netze gesendeten Daten zu schützen. Es wird häufig verwendet, um VPNseinzurichten, und es funktioniert durch die Verschlüsselung IP Pakete, zusammen mit der Authentifizierung der Quelle, von der die Pakete kommen.
Im Begriff „IPsec“ steht „IP“ für „Internet Protocol“ und „sec“ für „secure“. Das Internet Protocol ist das wichtigste Routingprotokoll im Internet. Es legt fest, wohin die Daten mithilfe von IP-Adressen geleitet werden. IPsec ist sicher, weil es diesen Prozess um Verschlüsselung* und Authentifizierung erweitert.
* Verschlüsselung ist der Prozess der Verschleierung von Informationen durch mathematische Veränderung von Daten, sodass sie zufällig erscheinen. Einfacher ausgedrückt: Verschlüsselung ist die Verwendung eines“Geheimcodes", den nur autorisierte Parteien interpretieren können.
Sicherheitsprotokolle wie IPsec sind notwendig, weil Netzwerkmethoden standardmäßig nicht verschlüsselt sind.
Wenn man Post über einen Postdienstleister verschickt, schreibt man seine Nachricht normalerweise nicht auf die Außenseite des Umschlags. Stattdessen schließen sie ihre Nachricht in den Umschlag ein, damit niemand, der die Post zwischen Absender und Empfänger bearbeitet, ihre Nachricht lesen kann. Bei Netzwerkprotokollen wie TCP/IP geht es jedoch nur um die Verbindung und die Zustellung, und die gesendeten Nachrichten werden nicht verborgen. Jeder, der sich in der Mitte befindet, kann sie lesen. IPsec und andere Protokolle, die Daten verschlüsseln, umhüllen die Daten auf ihrem Weg durch die Netze und schützen sie so.
Ein virtuelles privates Netzwerk (VPN) ist eine verschlüsselte Verbindung zwischen zwei oder mehr Computern. VPN-Verbindungen finden über öffentliche Netzwerke statt, aber die über das VPN ausgetauschten Daten sind immer noch privat, weil sie verschlüsselt sind.
VPNs ermöglichen den sicheren Zugriff auf und den Austausch von vertraulichen Daten über gemeinsam genutzte Netzwerkinfrastrukturen, wie z. B. das öffentliche Internet. Wenn Mitarbeiter beispielsweise nicht im Büro, sondern remote arbeiten, greifen sie häufig über VPNs auf Dateien und Anwendungen des Unternehmens zu.
Viele VPN verwenden die IPsec-Protokollsuite, um diese verschlüsselten Verbindungen aufzubauen und zu betreiben. Allerdings nutzen nicht alle VPNs IPsec. Ein weiteres Protokoll für VPNs ist SSL/TLS, das auf einer anderen Ebene im OSI-Modell arbeitet als IPsec. (Das OSI-Modell ist eine abstrakte Darstellung der Prozesse, mit denen das Internet funktioniert.)
Nutzer greifen auf ein IPsec-VPN zu, indem sie sich bei einer VPN-Anwendung, einem „Client“, anmelden. Dazu muss der Nutzer die Anwendung in der Regel auf seinem Gerät installiert haben.
VPN-Anmeldungen sind in der Regel passwortbasiert. Die über ein VPN gesendeten Daten sind zwar verschlüsselt, aber wenn die Passwörter der Nutzer kompromittiert sind, können sich Angreifer in das VPN einloggen und diese verschlüsselten Daten stehlen. Eine Zwei-Faktor-Authentifizierung (2FA) kann die Sicherheit von IPsec-VPNs erhöhen, da ein Angreifer mit einem gestohlenen Passwort allein keinen Zugang mehr erhält.
IPsec-Verbindungen durchlaufen die folgenden Schritte:
Schlüsselaustausch: Für die Verschlüsselung sind Schlüssel erforderlich. Ein Schlüssel ist eine Zeichenfolge aus zufälligen Zeichen, die zum „Sperren“ (Verschlüsseln) und „Entsperren“ (Entschlüsseln) von Nachrichten verwendet werden kann. IPsec richtet die Schlüssel mit einem Schlüsselaustausch zwischen den verbundenen Geräten ein, so dass jedes Gerät die Nachrichten des anderen entschlüsseln kann.
Paket-Header und Trailer: Alle Daten, die über ein Netzwerk gesendet werden, werden in kleinere Teile, die so genannten Pakete, aufgeteilt. Die Pakete enthalten sowohl eine Nutzlast, d. h. die eigentlichen Daten, die gesendet werden, als auch Header (Header sind Informationen über diese Daten und geben den Computern, die die Pakete empfangen, Auskunft darüber, was mit ihnen zu tun ist). IPsec fügt den Datenpaketen mehrere Header mit Informationen zur Authentifizierung und Verschlüsselung hinzu. IPsec fügt außerdem Trailer hinzu, die nach der Nutzlast eines jeden Pakets stehen und nicht davor.
Authentifizierung: IPsec stellt für jedes Paket eine Authentifizierung bereit, wie ein Echtheitsstempel auf einem Sammlerstück. Dadurch wird garantiert, dass die Pakete von einer vertrauenswürdigen Quelle und nicht von einem Angreifer stammen.
Verschlüsselung: IPsec verschlüsselt die Nutzlasten in jedem Paket und den IP Header jedes Pakets (es sei denn, Sie verwenden den Transportmodus anstelle des Tunneling-Modus – siehe unten). Dadurch bleiben die über IPsec gesendeten Daten sicher und privat.
Übertragung: Verschlüsselte IPsec-Pakete werden mit Hilfe eines Transportprotokolls über ein oder mehrere Netzwerke zu ihrem Ziel geleitet. In dieser Phase unterscheidet sich der IPsec Traffic vom normalen IP Traffic dadurch, dass er meist UDP als Transportprotokoll verwendet und nicht TCP. TCP, das Transmission Control Protocol, stellt dedizierte Verbindungen zwischen Geräten her und sorgt dafür, dass alle Pakete ankommen. UDP, das User Datagram Protocol, baut diese dedizierten Verbindungen nicht auf. IPsec verwendet UDP, weil dadurch IPsec-Pakete durch Firewalls gelangen können.
Entschlüsselung: Am anderen Ende der Kommunikation werden die Pakete entschlüsselt, und Anwendungen (z. B. ein Browser) können nun die übermittelten Daten nutzen.
Im Networking ist ein Protokoll eine bestimmte Art der Datenformatierung, mit der jeder vernetzte Computer die Daten interpretieren kann. IPsec ist kein einzelnes Protokoll, sondern eine Reihe von Protokollen. Die folgenden Protokolle bilden die IPsec-Suite:
Authentification Header (AH): Das AH-Protokoll stellt sicher, dass die Datenpakete von einer vertrauenswürdigen Quelle stammen und dass die Daten nicht manipuliert wurden. Es ist wie ein fälschungssicheres Siegel auf einem Verbraucherprodukt. Diese Header bieten keine Verschlüsselung; sie helfen nicht, die Daten vor Angreifern zu verbergen.
Einkapselndes Sicherheitsprotokoll (ESP): ESP verschlüsselt den IP Header und die Nutzlast für jedes Paket – es sei denn, es wird der Transportmodus verwendet, in diesem Fall wird nur die Nutzlast verschlüsselt. ESP fügt jedem Datenpaket seinen eigenen Header und einen Trailer hinzu.
Security Association (SA): SA bezieht sich auf eine Reihe von Protokollen, die für die Aushandlung von Verschlüsselungsschlüsseln und -algorithmen verwendet werden. Eines der gängigsten SA-Protokolle ist Internet Key Exchange (IKE).
Und schließlich ist das Internetprotokoll (IP) zwar nicht Teil der IPsec-Suite, aber IPsec läuft direkt auf IP aufbauend.
Der IPsec-Tunnelmodus wird zwischen zwei dedizierten Routern verwendet. Jeder Router fungiert dabei als Ende eines virtuellen „Tunnels“ durch ein öffentliches Netzwerk. Im IPsec-Tunnelmodus wird zusätzlich zur Nutzlast des Pakets auch der ursprüngliche IP-Header verschlüsselt, der das endgültige Ziel des Pakets enthält. Um den zwischengeschalteten Routern mitzuteilen, wohin die Pakete weitergeleitet werden sollen, fügt IPsec einen neuen IP-Header hinzu. An jedem Ende des Tunnels entschlüsseln die Router die IP Header, um die Pakete an ihr Ziel weiterzuleiten.
Im Transportmodus wird die Nutzlast der einzelnen Pakete verschlüsselt, der ursprüngliche IP-Header jedoch nicht. Zwischengeschaltete Router können daher das endgültige Ziel jedes Pakets einsehen – es sei denn, es wird ein separates Tunneling-Protokoll (wie GRE) verwendet.
Ein Netzwerkport ist der virtuelle Ort, an dem Daten in einem Computer übertragen werden. Wenn Daten an einen bestimmten Port gehen, weiß das Betriebssystem des Computers, zu welchem Prozess sie gehören. IPsec verwendet normalerweise Port 500.
MSS und MTU sind zwei Maßeinheiten für die Größe von Paketen. Pakete können nur eine bestimmte Größe (gemessen in Bytes) erreichen, bevor Computer, Router und Switches sie nicht mehr verarbeiten können. MSS misst die Größe der Nutzlast eines jeden Pakets, während MTU das gesamte Paket, einschließlich der Header, misst. Pakete, die die MTU eines Netzwerks überschreiten, können fragmentiert werden, d. h. sie werden in kleinere Pakete aufgeteilt und dann wieder zusammengesetzt. Pakete, die die MSS überschreiten, werden einfach verworfen.
IPsec-Protokolle fügen den Paketen mehrere Header und Trailer hinzu, die alle mehrere Bytes benötigen. Bei Netzwerken, die IPsec verwenden, müssen entweder die MSS und die MTU entsprechend angepasst werden, oder die Pakete werden fragmentiert und leicht verzögert. Normalerweise beträgt die MTU für ein Netzwerk 1.500 Bytes. Ein normaler IP Header ist 20 Bytes lang und ein TCP-Header ist ebenfalls 20 Bytes lang, d. h. jedes Paket kann 1.460 Bytes Nutzlast enthalten. IPsec fügt jedoch einen Authentification Header, einen ESP-Header und zugehörige Trailer hinzu. Diese erweitern ein Paket um 50–60 Bytes oder mehr.
Erfahren Sie mehr über MTU und MSS unter „Was ist MTU?“.
Cloudflare unterstützt IPsec als On-Ramp für unsere Secure Access Service Edge (SASE) Lösung, Cloudflare One.
Zum Schutz des Traffics erfordert IPsec die Einrichtung einer SA zwischen zwei Punkten, wodurch ein Tunnel für den Traffic entsteht. Je nach Implementierungsmodell stellt dies einige Herausforderungen dar. So sind in einem Mesh-Modell alle Knoten (oder Standorte) durch dedizierte Tunnel miteinander verbunden. Dies erfordert jedoch die Erstellung und Verwaltung mehrerer IPsec-Tunnel, was sich nur schwer skalieren lässt.
Cloudflare verwendet jedoch das Anycast IPsec-Modell. (Ein Anycast-Netzwerk ist ein Netzwerk, das eingehende Anfragen an eine Vielzahl von Knotenpunkten weiterleitet.) Mit Anycast IPsec müssen Nutzer nur einen IPsec-Tunnel zu Cloudflare einrichten und stellen eine Verbindung zu den mehr als 250 Standorten in unserem globalen Netzwerk her.
Cloudflare dupliziert und verteilt SAs auf die Server im Cloudflare Edge-Netzwerk, um Anycast IPsec möglich zu machen. Das bedeutet, dass das gesamte Cloudflare-Netzwerk wie ein einziger IPsec-Tunnel zu Ihrem Netzwerk funktioniert.
Erfahren Sie mehr über Anycast IPsec und Cloudflare One.