IPv6 mit IPsec

IPsec ist eines der komplexesten Themen des Internet Protokolls Version 6. Dieses Protokoll dient dem Schutze einer Verbindung über IPv6. Es agiert direkt auf der dritten Schicht des OSI-Modells (Vermittlungsschicht).

Im Gegensatz zu IPv4 ist IPsec bei IPv6 fest über die Extension Header integriert, wobei ESP und AH eigenständige Header haben.

IPsec basiert auf 3 weiteren Protokollen:

  • dem Authentication Header (AH) zur Authentifizierung des Senders
  • dem Encapsulated Security Payload (ESP) zur Sicherung der Vertraulichkeit von IP-Paketen
  • und dem Internet Key Exchange (IKE) zum Austausch des Keys

Auf Letzteres kann zwar verzichtet werden, wenn der Key manuell ausgetauscht wird, jedoch ist davon abzuraten.

IPsec benötigt 2 Datenbanken, in der für jede Verbindung und jeden Dienst Einträge vorhanden sein müssen, sodass diese abgesichert werden kann. Es gibt einmal die Security Policy Database. In dieser wird festgelegt, über welche Verschlüsselung die Verbindung gesichert wird. Hier wird zum Beispiel definiert, dass AH, ESP und IKE genutzt wird. Diese Einstellungen sind zeitlos, können aber geändert werden. Die zweite Datenbank ist die Security Association Database und verwaltet sowohl die Schlüssel, als auch Informationen zum AH und ESP. Einträge in der SAD (Security Assiciations) werden über IKE angelegt und sind von begrenzter Dauer um die Sicherheitsstufe zu erhöhen. Sie gelten nur in eine Richtung, dass heißt, für eine Verbindung existieren für zum Beispiel den AH zwei Einträge pro Host.

IPsec wird auch für die Konfiguration eines VPN im Tunnelmodus genutzt. Hierzu wird das ursprüngliche IPv6-Paket verkapselt und mit einem neuen Header versehen. Beim Tunnelmodus liegt ein weiterer Vorteil darin, dass lediglich die zwei Router, die miteinander in Verbindung treten, IPsec beherrschen müssen.

© 2009 - 2018 IPv6-Portal.de    |    Impressum Datenschutz