IPSec erweitert das bestehende IPv4
Internet Protokoll um den Schutz der Vertraulichkeit, der Integrität
und der Authentifizierung von Datagrammen. Im IPv6 Internet
Protokoll ist IPSec standardmäßig enthalten. (nach [#!rfc2460!#])
IPSec ist z.B. für den Aufbau komplexer VPNs
(Virtuell Privat Networks) geeignet. VPNs nutzen keine exklusiven Leitungen
sondern offene Netze wie das Internet wobei gewährleistet
sein muß, das die Daten vor fremder Einsicht und Manipulation
gesichert sind und ein Partner geeignet authentifiziert werden kann.
IPSec eignet sich für den sicheren Datenaustausch zwischen
vertrauenswürdigen Rechnern, dabei kann festgestellt werden, ob
der Datenverkehr von anerkannten Standorten stammt. Es kann
jedoch nicht zuverlässig unterschieden werden, von welchem
Benutzer des anerkannten Standortes der Datenverkehr stammt.
Ist IPSec im Einsatz, so werden die Sicherungsmaßnahmen
automatisch vom System durchgeführt. Für den Benutzer sind diese
Sicherungsmaßnahmen völlig transparent.
Die Verantwortung einer sicheren Kommunikation liegt nicht beim einzelnen
Benutzer. Der Benutzer braucht kein spezielles Wissen und kann auch nichts
falsch machen.
IPSec ist ein Protokoll auf der Netzwerkschicht (Schicht 2) des
TCP/IP Referenzmodells.
Ein Sicherheitsprotokoll der Netzwerkschicht bietet Schutz
für alle Daten von Applikationen in den darüberliegenden Schichten,
ohne daß Applikationen modifiziert werden müssen. Somit profitieren
sozusagen alle darüberliegenden Schichten von der mit IPSec gegebenen
Sicherheit.
IPSec schützt alle Protokolle die auf dem Internet Protokoll aufsetzen (z.B.
HTTP, FTP, SNMP, TELNET, ...) [#!Frank00!#].
Sicherheitsvorkehrungen auf Basis von Anwendungsprogrammen können das
Ausspionieren von Kommunikationsbeziehungen und Angriffe durch gefälschte
Adressen, also das vortäuschen falscher Absenderadressen bzw.
Adressenverfälschung zum Umleiten von Daten auf z.B. unsichere
Rechner, nicht verhindern.
Hier hilft nur eine Sicherheitsvorkehrung im Transportprotokoll, also
auf der Vermittlungsschicht. Bei Verfahren, die direkt auf der Kommuniaktionsleitung
verschlüsseln, muß vor jedem Router dekodiert werden. Dadurch enstehen
Perfomance-Probleme bei Hochgeschwindigkeitsleitungen. Zudem fehlt unter
Umständen das Vertrauen in jeden Router.
Die neuen Sicherheitsfunktionen werden durch den IP Authentication
Header AH [#!rfc2402!#] und des Encapsulating Security Payload ESP
[#!rfc2406!#] umgesetzt.
Dabei gewährleistet der Authentication Header mittels einer
Prüfsumme die Datenintegrität und die Authentifizierung eines
jeden Paketes. Der Encapsulating Security Payload sorgt auf Wunsch
für die Vertraulichkeit des Datenverkehrs.
Die IPSec Working Group von der Internet Engineering Task Force (IETF) standardisierte das IPSec Framework (Rahmenwerk) um eine sichere Übertragung des Internet Protokolls IP auf der Vermittlungsschicht bereitzustellen. Das IPSec Framework stellt einen Rahmen dar, der festlegt, mit welchen Ergänzungen das IP Protokoll die Integrität der Datenpakete und die Vertraulichkeit der Inhalte sichert und welche kryptographische Algorithmen eingebunden werden. Diese Standardisierung ist eine gute Vorraussetzung um IPSec weit verbreitet antreffen zu können und sich auf dem Markt durchsetzen zu können. Hält man sich an diese Normen so können Implementierungen verschiedenster Hersteller in einer Einsatzumgebung eingesetzt werden.