2martens
/
uni
mirror of https://github.com/2martens/uni.git
1
0
Fork 0
Code Releases Activity

Grundsätzliche Struktur von IPSec-Teil

This commit is contained in:
2scholz 2014-11-24 10:26:01 +01:00
parent ba7304b443
commit 132ba4bd33
1 changed files with 35 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

36
sem/OpenVPN_vs_IPSec-Paper.tex
View File

@ -62,7 +62,41 @@ Relevanz: sichere Kommunikation zwischen zwei privaten Netzwerken
Was sind VPNs? Warum braucht man sie? Wozu werden sie verwendet?
Was ist das OSI-Referenzmodell? Wie ist es aufgebaut?
\section{IPSec}
Was ist IPSec? Wer ist dafür verantwortlich? Wie funktioniert es?
Entstehungsgeschichte
Mit Einfluss von einem Komitee entstanden.
Über die Jahre gab es viele Iterationen.
Der Standards ist in sogenannten "Request for Comments", kurz rfc, festgehalten.
Es gibt nicht nur einen rfc, sondern viele verschiedene für die verschiedenen Aspekte von IPSec.
So ist es leichter Neuerungen einzuführen, da man nur bestimmte rfcs erneuern muss.
Durch die Art und Weise der Entstehung ist IPSec sehr komplex.
Komplexität durch zu viele Optionen, da es einfach zu viele Einflüsse von verschiedenen Seiten gab.
Es gibt ein Mitglied, das die Ansicht vertritt, dass IPSec durch den Einfluss der im Komitee anwesenden NSA-Mitarbeiter so komplex geworden ist.
-------------------------------------------------------------------------------------------------------
\subsection{Entstehungsgeschichte}
IPSec ist unter der Aufsicht eines Komitees entstanden. Diese Vorgehensweise wurde dabei gezwungenermaßen auferlegt und erschwerte nach Ansicht vieler Mitwirkender die Arbeit erheblich. \footnote{Ferguson, Niels, and Bruce Schneier. "A cryptographic evaluation of IPsec." Counterpane Internet Security, Inc 3031 (2000).}
Die Entstehungsweise führte dazu, dass IPSec unnötig kompliziert wurde. Die einen Mitglieder wollten die eine Lösung implementieren und andere pledierten für eine andere Lösung, was dazu führte, dass beide Lösungen implementiert wurden. Dies geht jedoch zu Lasten der Nutzbarkeit. Zu viele Optionen führen nicht nur zur Verwirrung und Komplizierung der Implementation von IPSec bei den Nutzern, es kann vor Allem auch zu Sicherheitslücken führen. Experten bemängelten diese Komplexität.
\subsubsection{ToDo: guten Titel überlegen}
Die erste Version von IPSec ist 1995 spezifiziert worden. Doch über die Jahre ist der Standard immer weiter entwickelt worden und so gibt es eine zweite Version aus 1998 und eine dritte aus 2005. Diese gelten als zwar allgemein als V2 und V3, jedoch sind verschiedene Aspekte von IPSec in verschiedenen sogenannten "Request for Comments", kurz RFC, spezifiziert. So gibt es beispielsweise ein RFC, dass sich allgemein auf IPSec bezieht, aktuell RFC 4301 aus 2005, und es gibt beispielsweise ein RFC, dass sich auf die zu verwendenden Verschlüsselungsalgorithmen bezieht, aktuell RFC 7321 bereits aus 2014. So ist gewährleistet, dass IPSec weiterhin auf dem neuesten Stand gehalten werden kann, ohne dass man jedes mal die komplette Spezifikation überarbeiten muss.
Technische Details
Ist sehr tief im Betriebssystem verwurzelt.
Schicht?
Authentication Header vs. ESP
Key Management IKEv2
used algorithms
----------------------------------------------------------------------------------------------
\subsection{Technischer Aufbau}
\subsubsection{Tunnel Modus und Transport Modus}
IPSec kann in zwei verschiedenen Modi betrieben werden: Transport Modus oder Tunnel Modus.
Beim Tunnel Modus werden die IP-Pakete in neue Pakete verpackt mit einem neuen Header. Dabei werden die Pakete jedoch von den einzelnen Gateways bearbeitet. Das heißt im Endeffekt, dass die Sicherheit nur von Gateway zu Gateway gewährleistet wird und nicht vom einem Ende zum anderen. Der Vorteil ist, dass der Endnutzer die Anwendung nicht merkt, da zum Beispiel der Router dies übernehmen kann.
Im Transport Modus ist die Sicherheit vom einen zum anderen Ende gewährleistet. Dabei werden die eigentlichen IP-Pakete beibehalten und einige sicherheitsrelevante Felder hinzugefügt.
\subsubsection{Authentication Header}
\subsubsection{Encapsulating Security Payload}
\subsubsection{Algorithmen}
In RFC 4835 ist festgehalten welche Algorithmen implementiert werden können, sollen oder müssen. Dabei sind die Algorithmen mit den Bewertungen must, must not, should, should not und may versehen. Zusätzlich gibt es zum Beispiel must-, was bedeutet, dass es zwar noch implementiert werden muss, aber wahrscheinlich bald zu should herabgestuft wird. Dabei wird unterschieden zwischen Verschlüsselungs-Algorithmen und Authentifizierungs-Algorithmen für ESP und Authentifizierungs-Algorithmen für AH.
\section{OpenVPN}
Was ist OpenVPN? Wer ist dafür verantwortlich? Wie funktioniert es?
\section{Vergleich von IPSec mit OpenVPN}