Erläutern von IPSec

  • 3 Minuten

Sie können IPsec verwenden, um Vertraulichkeit, Integrität und Authentifizierung beim Datentransport über nicht sichere Kanäle hinweg sicherzustellen. Obwohl der ursprüngliche Zweck darin bestand, Datenverkehr über öffentliche Netzwerke zu schützen, haben sich viele Organisationen entschieden, IPsec zu implementieren, um wahrgenommene Schwachstellen in ihren eigenen privaten Netzwerken zu beheben, die anfällig für Ausbeutung sind.

Wenn Sie IPsec ordnungsgemäß implementieren, bietet es einen privaten Kanal zum Senden und Austauschen potenziell vertraulicher oder anfälliger Daten, unabhängig davon, ob es sich um E-Mails, FTP-Datenverkehr, Nachrichtenfeeds, Partner- und Lieferkettendaten, medizinische Datensätze oder andere TCP/IP-basierte Daten handelt.

IPsec

  • Bietet gegenseitige Authentifizierung sowohl vor als auch während der Kommunikation.
  • Zwingt beide Parteien, sich während des Kommunikationsprozesses zu identifizieren.
  • Ermöglicht Vertraulichkeit durch Verschlüsselung von IP-Datenverkehr und Authentifizierung mit digitalen Paketen.

IPsec-Modi

IPsec verfügt über zwei Modi:

  • Kapselung der Sicherheitsnutzlast (ESP) In diesem Modus werden Daten mit einem von mehreren verfügbaren Algorithmen verschlüsselt.
  • Authentifizierungsheader (AH) Dieser Modus signiert Datenverkehr, verschlüsselt ihn jedoch nicht.

Bereitstellen der IP-Datenverkehrsintegrität durch Ablehnen geänderter Pakete

ESP und AH überprüfen die Integrität des gesamten IP-Datenverkehrs. Wenn ein Paket geändert wurde, stimmt die digitale Signatur nicht überein, und IPsec verwirft das Paket. ESP im Tunnelmodus verschlüsselt die Quell- und Zieladresse als Teil der Nutzlast. Im Tunnelmodus fügt ESP dem Paket einen neuen IP-Header hinzu, der die Quell- und Zieladressen der Tunnelendpunkte angibt. ESP kann die Verschlüsselungsalgorithmen Data Encryption Standard (DES), Triple Data Encryption Standard (3DES) und Advanced Encryption Standard (AES) in Windows Server und Windows-Clients verwenden. Als bewährte Methode sollten Sie die Verwendung von DES vermeiden, es sei denn, Clients können die stärkere Verschlüsselung, die AES oder 3DES bietet, nicht unterstützen.

Bereitstellen von Schutz vor Replay-Angriffen

ESP und AH verwenden Sequenznummern. Daher verwenden alle Pakete, die Hacker für die spätere Wiedergabe zu erfassen versuchen, Zahlen, die nicht sequenziert sind. Die Verwendung sequenzierter Zahlen stellt sicher, dass ein Angreifer die erfassten Daten nicht wiederverwenden oder wiedergeben kann, um eine Sitzung einzurichten oder Informationen zu erhalten. Die Verwendung von sequenzierten Nummern schützt auch vor Versuchen, eine Nachricht abzufangen und sie für den Zugriff auf Ressourcen zu verwenden, möglicherweise Monate später.

Sicherheitsregeln für Verbindungen

Sie können ein Netzwerk mit zwei Isolationstypen schützen:

  • Serverisolation. Sie können einen Server isolieren, indem Sie bestimmte Server so konfigurieren, dass eine IPsec-Richtlinie erforderlich ist, bevor authentifizierte Kommunikation von anderen Computern akzeptiert wird. Beispielsweise können Sie einen Datenbankserver so konfigurieren, dass er nur Verbindungen von einem Webanwendungsserver akzeptiert.
  • Domänenisolation. Sie können eine Domäne isolieren, indem Sie die Active Directory-Domänenmitgliedschaft verwenden, um sicherzustellen, dass Computer, die Domänenmitglieder sind, nur authentifizierte und gesicherte Kommunikation von anderen Domänenmitgliedscomputern akzeptieren. Das isolierte Netzwerk besteht nur aus den Mitgliedscomputern dieser Domäne, und die Domänenisolation verwendet eine IPsec-Richtlinie, um den Datenverkehr zwischen Domänenmitgliedern einschließlich aller Client- und Servercomputer zu schützen.