IPsec: Grundprinzip und AH vs. ESP

IPsec (Internet Protocol Security) ist das dominierende Protokoll-Framework für VPN-Verbindungen auf Netzwerkebene. Es wurde in den 1990er Jahren entwickelt und ist heute Pflichtbestandteil von IPv6 sowie weit verbreitet in IPv4-Netzwerken. IPsec arbeitet auf OSI-Schicht 3 (Netzwerkschicht) und ist damit transparent für höhere Schichten – Anwendungen brauchen keine Änderungen, um von IPsec-Schutz zu profitieren.

IPsec ist kein einzelnes Protokoll, sondern eine Protokollsuite: Es besteht aus mehreren Komponenten, die zusammenarbeiten. Die zwei wichtigsten Übertragungsprotokolle sind AH (Authentication Header) und ESP (Encapsulating Security Payload). Der Schlüsselaustausch wird durch IKEv2 geregelt. Dazu kommen Security Associations (SA) als Verwaltungskonzept für die ausgehandelten Verbindungsparameter.

1) Paketaufbau: Original vs. AH vs. ESP

Die folgende Visualisierung zeigt, wie ein normales IP-Paket durch AH bzw. ESP verändert wird. Der Unterschied liegt darin, welche Felder authentifiziert und welche verschlüsselt werden.

2) AH vs. ESP im Detail

3) Security Association (SA) – das Verbindungsgedächtnis

Eine Security Association (SA) ist ein einseitiger Verbindungseintrag, der alle ausgehandelten Parameter einer IPsec-Verbindung enthält: Algorithmen, Schlüssel, SPI, Lebensdauer. Da IPsec-Verbindungen bidirektional sind, gibt es immer zwei SAs pro Verbindung – eine pro Richtung. Alle aktiven SAs werden in der Security Association Database (SAD) gespeichert.

4) AH vs. ESP – Kurzvergleich

Zusammenfassung

IPsec ist ein Protokoll-Framework auf Schicht 3. AH bietet Authentifizierung ohne Verschlüsselung (selten verwendet, NAT-inkompatibel). ESP bietet Verschlüsselung + Authentifizierung (Standard in der Praxis). Security Associations (SA) speichern alle Verbindungsparameter. Schlüsselaustausch über IKEv2. Tunnel-Modus vs. Transport-Modus: IPsec Modi.