IPsec VPN ist ein VPN (Virtuelles Privates Netzwerk), das auf IPsec basiert – eine beliebte Gruppe von Protokollen, die eine sichere und private Kommunikation über IP-Netzwerke (Internet Protocol) gewährleistet.
Damit du ein Verständnis dafür entwickeln kannst, was IPsec genau für deine Cybersicherheit bedeutet, findest du im Folgenden einen Überblick über die technischen Hintergründe und die Funktionsweise von IPsec-VPNS.
Was ist IPsec?
IPsec ist die Abkürzung für Internet Protocol Security. Lass uns das Wort IPsec zunächst in seine beiden Bestandteile auseinandernehmen:
Der IP-Teil sagt den Daten, wohin sie gehen sollen, und der sec-Teil verschlüsselt und authentifiziert sie.
Oder mit anderen Worten: IPsec ist eine Gruppe von Protokollen, die eine sichere und verschlüsselte Verbindung zwischen Geräten über das öffentliche Internet herstellen.
Bei den IPsec-Protokollen erfolgt normalerweise eine Einteilung nach ihren drei Aufgaben:
- Authentication Header (AH): Sorgt für die Authentizität der zu übertragenen Daten und die Authentifizierung des Senders;
- Encapsulating Security Payload (ESP): Sorgt ebenfalls für die Authentisierung, Integrität und Vertraulichkeit der IP-Pakete. Im Unterschied zum Authentication Header erfolgt die Übertragung der Nutzdaten allerdings verschlüsselt;
- Security Association (SA): Eine Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können.
Wie funktioniert IPsec?
Im Folgenden eine schrittweise Übersicht über die Funktionsweise von IPsec. Die Erklärung dieses Vorgangs ist recht technisch, veranschaulicht dir aber hoffentlich, wie für dich eine sichere VPN-Verbindung durch IPsec entsteht.
- Aufbau der Security Association (deutsch: Sicherheitsverbindung): Bevor zwei Geräte sicher miteinander kommunizieren können, müssen sie eine Sicherheitsverbindung einrichten.
Eine solche enthält die für eine sichere Kommunikation erforderlichen Sicherheitsparameter, wie Verschlüsselungs- und Authentifizierungsalgorithmen, Schlüssel und andere Parameter. - Schlüsselaustausch: IPsec verwendet verschiedene Methoden, um Schlüssel zwischen den kommunizierenden Geräten auszutauschen. Die am häufigsten verwendeten Schlüsselaustauschprotokolle sind Internet Key Exchange (IKEv1 oder IKEv2).
Mit IKEv2 wurden einige der Probleme des ursprünglichen IPsec mit IKEv1 aktualisiert und behoben. Diese Protokolle handeln die gemeinsamen geheimen Schlüssel aus, die für die Verschlüsselung und Authentifizierung verwendet werden; - Datenkapselung: Sobald die Sicherheitsverbindungen hergestellt und die Schlüssel ausgetauscht sind, kapselt IPsec die ursprünglichen IP-Pakete in neue IP-Pakete ein. Dieser Vorgang wird als Datenkapselung oder Tunneling bezeichnet;
- Authentifizierung: IPsec authentifiziert jedes Datenpaket, indem es ihm einen eindeutigen „Namen“ oder eine ID gibt;
- Verschlüsselung: IPsec verschlüsselt die Inhalte der IP-Pakete. Für die Verschlüsselung ist das bereits erwähnte Encapsulating Security Payload (ESP)-Protokoll zuständig;
- Entschlüsselung und Verifizierung: Auf der Empfängerseite wird das eingekapselte IP-Paket mit Hilfe der gemeinsamen geheimen Schlüssel entschlüsselt.
Wie überträgt IPsec Informationen?
Es gibt zwei Modi, mit denen IPSec Informationen überträgt, den IPsec-Transportmodus und den IPSec-Tunnelmodus:
IPsec-Transportmodus: Dieser Modus verschlüsselt die Daten, die du sendest, aber nicht die Information über das Ziel. Cyberkriminelle können deine abgefangene Kommunikation in diesem Fall zwar nicht lesen, aber sie sind in der Lage, Zeitpunkt und Ziel festzustellen.
IPsec-Tunnelmodus: Beim Tunneling wird eine sichere, geschlossene Verbindung zwischen zwei Geräten über das Internet hergestellt. Vereinfacht ausgedrückt, kannst du dir einen tatsächlichen Tunnel vorstellen, durch den deine Daten laufen, und der von außen nicht einsehbar oder zugänglich ist.
Was ist IPsec VPN?
Ein VPN ist ein Tool für deine Cybersicherheit, das deine Daten verschlüsselt zu einem VPN-Server sendet. Erst dort erfolgt eine Entschlüsselung und die Weitergabe zum eigentlichen Zielserver.
Ein VPN verwendet Protokolle für diese Verschlüsselung der Verbindung, und es gibt mehr als eine Möglichkeit, dies zu tun. Die Verwendung von IPsec ist eine davon. Ein VPN, das IPsec verwendet, wird als IPsec-VPN bezeichnet.
VPN-Anbieter können sich auch für SSL–VPN statt IPsec–VPN entscheiden oder beides implementieren, falls es für die Sicherheit notwendig ist. In den FAQs findest du einen Vergleich zwischen IPsec und SSL.
Wie funktioniert IPsec–VPN Schritt für Schritt?
Erfahre im Folgenden das Vorgehen beim IPsec–VPN. IPsec im Allgemeinen wurde bereits erwähnt, doch in diesem Punkt soll es darum gehen, welche Schritte für ein IPsec–VPN notwendig sind. Die gute Nachricht für dich lautet: Du musst eigentlich nur einen Klick tätigen.
- Klicke auf Verbinden.
- Eine IPsec-VPN-Verbindung mit ESP und Tunnelmodus wird aufgebaut.
- Die SA legt die Sicherheitsparameter fest; unter anderem die Art der Verschlüsselung, die verwendet werden soll;
- Die Daten können nun gesendet und empfangen werden.
Welche Auswirkungen hat IPsec auf MSS und MTU?
Kann IPsec aufgrund der zusätzlichen Daten, die durch das IPsec-Protokoll entstehen, Auswirkungen auf die maximale Segmentgröße (MSS, Maximum Segment Size) und die maximale Übertragungseinheit (MTU, Maximum Transmission Unit) haben?
Eine kurze Erläuterung zu MMS und MTU vor der Beantwortung dieser Frage:
MSS bezieht sich auf die größte Datenmenge, die in der Nutzlast eines TCP-Segments enthalten sein kann.
TCP ist die Abkürzung für Transmission Control Protocol und ist, vereinfacht ausgedrückt, die Vereinbarung darüber, wie Daten zwischen Computern ausgetauscht werden.
MTU hingegen steht für die maximale Größe eines IP-Pakets, das ohne Fragmentierung über ein Netzwerk übertragen werden kann.
IPsec hat keinen Einfluss auf den Wert der maximalen Übertragungseinheit, senkt aber immer den Wert der maximalen Segmentgröße. Schau dir im Folgenden an, wie sich dies errechnen lässt.
Die Standardübertragung von IP-Paketen über das Internet:
MTU (1500 Bytes) – (IP-Header (20 Bytes) + TCP-Header (20 Bytes)) = MSS (1460 Bytes)
Da IPsec jedoch zusätzliche Header zu den gesendeten Daten hinzufügt, ändert sich der Umfang des gesamten IP-Pakets.
MTU (1500 Bytes) – (IP-Header (20 Bytes) + TCP-Header (20 Bytes) + IPsec-Bytes) = MSS (1460 Bytes – IPsec-Bytes)
FAQs
Ist ein IPsec–VPN sicher?
In Verbindung mit IKEv2 ist IPsec sicher.
Vor ein paar Jahren gab es Gerüchte, dass die Nationale Sicherheitsbehörde der USA (NSA) das Verfahren ausnutzen könnte. Es wurde behauptet, dass die Behörden entweder Hintertüren in IPsec eingebaut oder Wege gefunden hätten, den Schlüsselaustausch zu manipulieren. Einige Experten auf diesem Gebiet haben diese Behauptung jedoch bestritten.
Wenn du jedoch nach einer anderen Lösung suchst, weil du dich nicht sicher fühlst, bieten die meisten VPN-Anbieter Alternativen zu IPsec-VPN-Protokollen an, wie zum Beispiel SSL VPN.
Sind IPsec VPNs besser als SSL VPNs?
Ein IPsec–VPN und ein SSL–VPN unterscheiden sich voneinander, was aber nicht bedeutet, dass das eine besser als das andere wäre.
Sie lassen sich schlicht nur schlecht miteinander vergleichen. Denn beide Protokolle arbeiten auf verschiedenen Ebenen des OSI-Modells (Open Systems Interconnection).
Im Folgenden ein Vergleich zwischen IPsec– und SSL–VPN. Bitte beachte, dass dies nur ein Ausschnitt aus den Funktionen darstellt und der Vergleich nicht vollständig ist:
Funktion | IPsec | SSL |
---|---|---|
Protokoll | Netzwerkschicht | Transportschicht |
Funktionsweise | IP-Paketverschlüsselung | End-zu-End-Verschlüsselung |
Verschlüsselung | Verschlüsselt ganze IP-Pakete | Verschlüsselt Daten auf der Anwendungsebene |
Authentifizierung | Unterstützt sowohl die Authentifizierung auf Host- als auch auf Netzwerkebene | Unterstützt in erster Linie die serverseitige Authentifizierung |
Schutz gegen Angriffe | Anfälliger für Angriffe auf der Netzwerkebene | Anfälliger für Angriffe auf der Anwendungsebene |
Fazit | Idealer Standort-zu-Standort-VPN | Bevorzugt für Remote-Zugriff |
Wie wird ein IPsec–VPN verwendet?
VPNs verwenden Protokolle zur Verschlüsselung der Verbindung, und es gibt mehr als eine Möglichkeit dafür. Die Verwendung von IPsec ist eine davon. Ein VPN, das eine IPsec-Protokollfamilie verwendet, wird als IPsec-VPN bezeichnet.
Du selbst wählst über dein VPN aus, dass eine Verbindung erstellt wird. Eine IPsec-VPN-Verbindung wird dann automatisch aufgebaut,vorausgesetzt, der VPN-Anbieter nutzt IPsec.
Was ist IKEv2?
IKEv2 (Internet Key Exchange Version 2) ist ein Protokoll zum Aufbau sicherer Kommunikationskanäle und zur Aushandlung von Verschlüsselungs- und Authentifizierungsmethoden in VPNs.
Es ist eine Verbesserung gegenüber seinem Vorgänger IKEv1 und wird in verschiedenen VPN-Anwendungen und -Systemen eingesetzt.
Im Zusammenhang von IPsec findet es bei der Sicherheitsverbindung (Security Association, SA) Anwendung. Ein IPsec, das mit dem IKEv2-Protokoll arbeitet, wird als IKEv2/IPsec bezeichnet.
Fazit
Insgesamt bieten IPsec-VPNs eine sichere und zuverlässige Lösung für den Aufbau privater und verschlüsselter Verbindungen über öffentliche Netzwerke.
Aufgrund ihrer Eigenschaften sind sie vor allem eine gute Wahl für Unternehmen, die ihre Daten schützen und eine sichere Kommunikation zwischen ihren Netzwerken und entfernten Standorten gewährleisten wollen.
Es ist jedoch nicht das einzige VPN-Protokoll. Es gibt zahlreiche Alternativen, die alle verschiedene Vor- und Nachteile bieten.