Abstract

This paper is about security on IP layer (network layer). Using the internet may be very easy but there are many security risks. To prevent that someone get your secret data or manipulate your data, you have to take care about your network traffic. With IPSec you have on network layer the possibility to hide your data traffic by tunnelling the IP packets. This technique encapsulate data packets into new IP packets. On the other side you have the possibility to transport the data traffic which means that the IP packet will be encrypted. The IP header itself will not be encrypted. So the network traffic may be visible, but the content of the IP packets are readable only by the artificial recipient. There are additional protocols for security on network layer. Applications for security are VPNs and firewalls. A VPN allows a secure connection over an insecure connection by using IPSec. A firewall is used as a security wall between network components. You can use a firewall as a simple packet filter to prohibit the use of some services, or you can use it as a proxy to cut your direct access to an internet host on your computer. Very complex dynamical configurations of firewalls are possible in the mean time.

In summary you have to be careful by using the internet. On network layer, IPSec is the choice to fulfil strong security needs. But security does not end at network layer. You must think about activities on application layer to protect the user-to-user connection.

Seite i

Inhaltsverzeichnis

  Inhaltsverzeichnis  

1.  Einleitung  1

2.  Konzeptionelle und begriffliche Grundlagen  1

2.1  Sicherheit  1

2.2  IP-Ebene  1

3.  Sicherheitsstrategien  3

3.1  Sicherheitsziele  3

3.2  Sicherheitsaspekte  4

3.3  Daten Tunneln  4

3.4  Daten Transportieren  5

4.  Sicherheitsprotokolle  6

4.1  IPSec  6

4.1.1  IPSec-Sicherheitsdienste  7

4.1.2  IPSec-Grundlagen und Funktionsweisen  7

4.1.3  IPSec-Authentifizierung  8

4.1.4  IPSec-Verschlüsselung  9

4.1.5  IPSec-Schlüsselverwaltung  9

4.2  Weitere Sicherheitsprotokolle  10

5  Anwendungen  11

5.1  VPN  11

5.2  Firewall  13

6.  Fazit  15

  Glossar a  

  Literaturverzeichnis a  

Seite ii

  Abbildungsverzeichnis  

  Abbildungsverzeichnis  

  Abbildung 2 1 : ISO-OSI Referenzmodell im Vergleich zum TCP/IP-Referenzmodell  

  Tanenb98 , S. 54  1

  Abbildung 2 2 : IP-Header ohne optionale Felder, 20 Byte NoNo01 , S. 55  2

  Abbildung 3 1 : Daten Tunneln CaPo01 , S. 39  5

  Abbildung 4 1 : Szenario für ein SA-Bundle im Transport- bzw. Tunnelmodus FiReRö00 , S  

158].............................................................................................................................................   8

  Abbildung 4 2 : Format und Inhalt des AH von IPSec Smith98 , S. 146  8

  Abbildung 4 3 : Format und Inhalt des ESP von IPSec Smith98 , S. 148  9

  Abbildung 5 1 Anwendungsszenario - Remote-Ankoppelung mittels VPN CaPo01 , S. 46  11

  Abbildung 5 2 : Die verschiedenen Stufen von IP-VPN Diensten und der Grad der Beteiligung  

  durch Kunde, Service Provider und Carrier Lipp01 , S 5  12

  Abbildung 5 3 : Firewall FiReRö00 , S. 209  13

Seite iii

1. Einleitung

Die Benutzung des Internet ist heute fast schon so selbstverständlich geworden, wie das Telefonieren oder das Benutzen eines Toasters. Doch diese Selbstverständlichkeit birgt auch Gefahren. So ist sich nicht jeder Internetanwender bewusst, dass er seinen Datenverkehr mitunter einer breiten Öffentlichkeit preisgibt. Das schafft Spielraum für die verschiedensten Angriffsoptionen. Vom gerade noch harmlosen Lauschen bis hin zur gezielten, versteckten Manipulation der Daten. Diese Seminararbeit hat zum Ziel, dass sich ein Internetanwender dieser Gefahren bewusst wird und es soll ihm eine Möglichkeit gegeben werden, aus den erkannten Gefahren in Verbindung mit Sicherheitszielen Sicherheitsstrategien abzuleiten, die seine individuelle Anwendung sicher macht.

In vorliegender Seminararbeit wird auf das Thema Sicherheit auf IP-Ebene eingegangen. In einem einführenden Kapitel werden die Begriffe Sicherheit und IP-Ebene definiert. Im nächsten Kapitel wird auf Sicherheitsziele eingegangen und aus den daraus gewonnenen Erkenntnissen Sicherheitsstrategien abgeleitet.

Im Hauptteil wird auf realisierte Sicherheitsprotokolle auf IP-Ebene eingegangen, insbesondere auf IPSec. Abschließend werden übersichtsartig Sicherheitsanwendungen behandelt.

Seite 1

2. Konzeptionelle und begriffliche Grundlagen

2.1 Sicherheit

Der Sicherheitsbegriff im IT-Umfeld umfaßt zwei abgrenzbare Anwendungsgebiete, die im Englischen mit Safety und Security bezeichnet werden.

Safety

Wenn von Safety die Rede ist, wird von dem Versuch gesprochen, die Auswirkungen unbeabsichtigter Ereignisse (Arbeitsumgebung), die zu einem Ausfall oder Beschädigung von Rechnern, gespeicherten oder übertragenen Daten und Kommunikationsbeziehungen führen, zu vermindern.

Security

Mit Security werden Maßnahmen bezeichnet, die beabsichtigte Angriffe auf Rechner, gespeicherte und übertragene Daten sowie Kommunikationsbeziehungen verhindern. Typische Teilgebiete der IT-Security sind: Datenschutz (besonderer Schutz personenbezogener Daten), Informationsschutz und Datensicherheit [Dittma00, F. 15ff].

In vorliegender Seminararbeit soll nur auf den Sicherheitsbegriff im Sinne von Security eingegangen werden.

2.2 IP-Ebene

Die IP-Ebene entspricht der Vermittlungsschicht (Network Layer) des ISO-OSI Referenzmodells bzw. des Internet Layers des TCP/IP-Referenzmodells.

Abbildung 2-1: ISO-OSI Referenzmodell im Vergleich zum TCP/IP-Referenzmodell [Tanenb98, S. 54]

Das Schichtenmodell ist so spezifiziert, dass eine Schicht der nächsthöheren Schicht Dienste zur Verfügung stellt. Jeweils gleiche Schichten verstehen die gleichen Protokolle.

Seite 1

Die Vermittlungsschicht realisiert den Zugriff auf Subnetze und die Zusammenführung von Subnetzen, leitet durchlaufende Pakete weiter und ist für die Wegewahl verantwortlich [FiReRö00, S. 51]. Somit ist diese Schicht dafür verantwortlich, dass Datenpakete von einer Quelle zu einem Ziel gelangen, dies geschieht meist in vielen Teilwegen. Es kommen Wege zwischen zwei Datenendgeräten (z. B. Computer), einem Datenendgerät und einem Router oder zwischen zwei Routern in betracht. Für diese Wegewahl erhält jedes IP-Paket einen IP-Header, der die Quell- und Zieladresse und weitere Felder beinhaltet. Anhand dieses IP-Headers findet ein solches IP-Paket seinen Weg durch das Netzwerk [NoNo01, S49f].

Abbildung 2-2: IP-Header ohne optionale Felder, 20 Byte [NoNo01, S. 55]

Seite 2