www.vorhilfe.de
Vorhilfe

Kostenlose Kommunikationsplattform für gegenseitige Hilfestellungen.
Hallo Gast!einloggen | registrieren ]
Startseite · Forum · Wissen · Kurse · Mitglieder · Team · Impressum
Forenbaum
^ Forenbaum
Status Vorhilfe
  Status Geisteswiss.
    Status Erdkunde
    Status Geschichte
    Status Jura
    Status Musik/Kunst
    Status Pädagogik
    Status Philosophie
    Status Politik/Wirtschaft
    Status Psychologie
    Status Religion
    Status Sozialwissenschaften
  Status Informatik
    Status Schule
    Status Hochschule
    Status Info-Training
    Status Wettbewerbe
    Status Praxis
    Status Internes IR
  Status Ingenieurwiss.
    Status Bauingenieurwesen
    Status Elektrotechnik
    Status Maschinenbau
    Status Materialwissenschaft
    Status Regelungstechnik
    Status Signaltheorie
    Status Sonstiges
    Status Technik
  Status Mathe
    Status Schulmathe
    Status Hochschulmathe
    Status Mathe-Vorkurse
    Status Mathe-Software
  Status Naturwiss.
    Status Astronomie
    Status Biologie
    Status Chemie
    Status Geowissenschaften
    Status Medizin
    Status Physik
    Status Sport
  Status Sonstiges / Diverses
  Status Sprachen
    Status Deutsch
    Status Englisch
    Status Französisch
    Status Griechisch
    Status Latein
    Status Russisch
    Status Spanisch
    Status Vorkurse
    Status Sonstiges (Sprachen)
  Status Neuerdings
  Status Internes VH
    Status Café VH
    Status Verbesserungen
    Status Benutzerbetreuung
    Status Plenum
    Status Datenbank-Forum
    Status Test-Forum
    Status Fragwürdige Inhalte
    Status VH e.V.

Gezeigt werden alle Foren bis zur Tiefe 2

Navigation
 Startseite...
 Neuerdings beta neu
 Forum...
 vorwissen...
 vorkurse...
 Werkzeuge...
 Nachhilfevermittlung beta...
 Online-Spiele beta
 Suchen
 Verein...
 Impressum
Das Projekt
Server und Internetanbindung werden durch Spenden finanziert.
Organisiert wird das Projekt von unserem Koordinatorenteam.
Hunderte Mitglieder helfen ehrenamtlich in unseren moderierten Foren.
Anbieter der Seite ist der gemeinnützige Verein "Vorhilfe.de e.V.".
Partnerseiten
Dt. Schulen im Ausland: Mathe-Seiten:

Open Source FunktionenplotterFunkyPlot: Kostenloser und quelloffener Funktionenplotter für Linux und andere Betriebssysteme
Forum "Netzwerke" - IPsec, Kombi von ESP & AH
IPsec, Kombi von ESP & AH < Netzwerke < Praktische Inform. < Hochschule < Informatik < Vorhilfe
Ansicht: [ geschachtelt ] | ^ Forum "Netzwerke"  | ^^ Alle Foren  | ^ Forenbaum  | Materialien

IPsec, Kombi von ESP & AH: Frage (beantwortet)
Status: (Frage) beantwortet Status 
Datum: 18:49 Fr 07.12.2007
Autor: Guiniviere

Aufgabe
Ich habe die Aufgabe, mit Hilfe der IPsec Protokolle AH & ESP die Vertraulichkeit, Integrität und Authentizität von Nachrichten schützen. Die Frage dazu lautet: Welche 2 möglichen Kombinationen erreichen diese Ziele?

Hallo :-)

Die obige Frage beschäftigt micht jetzt schon eine Weile und nun habe ich mich entschlossen, sie mal im Forum zur Diskussion zu geben.

Mich wundert, dass es angeblich nur 2 Kombinationen gäbe. So, wie ich das verstanden habe, kann man ESP und AH jeweils im Transport und im Tunnelmodus ausführen. Somit ergeben sich die Kombinationen:
AH Tunnel & ESP Transport
ESP Tunnel & AH Transport
AH Transport & ESP Transport
ESP Transport & AH Tunnel
AH Transport & ESP Tunnel
AH Tunnel & ESP Tunnel
ESP Transport & AH Transport

Ich habe mir gedacht, dass die sinnvollsten Kombinationen AH Tunnel & ESP Tunnel sowie AH Tunnel & ESP Transport wären. Dabei bin ich davon ausgegangen, dass AH die Authentizität schützt und ESP die Daten schützt, nach folgendem Schema:

AH Tunnel&ESP Transport
IP neu Header - AH Header - IP Header original - Esp Header - Nutzdaten - Esp Trail - ESP Auth.

AH Tunnel & ESP Tunnel

IPneu Header - AH-Header - IPHeader neu - Ip Header original - ESP Header - Nutzdaten - ESP Trail - ESP Auth.

Macht das Sinn, oder habe ich da einen Denkfehler? Sind diese beiden Kombinationen wirklich die richtigen, oder wäre es anders besser? Und habe ich den beim doppelten Tunnelmodus die inneren Header richtig positioniert?

Viele Grüße

Guini


Ich habe diese Frage in keinem Forum auf anderen Internetseiten gestellt.

        
Bezug
IPsec, Kombi von ESP & AH: Antwort
Status: (Antwort) fertig Status 
Datum: 19:58 Fr 07.12.2007
Autor: rainerS

Hallo Guini!

> Ich habe die Aufgabe, mit Hilfe der IPsec Protokolle AH &
> ESP die Vertraulichkeit, Integrität und Authentizität von
> Nachrichten schützen. Die Frage dazu lautet: Welche 2
> möglichen Kombinationen erreichen diese Ziele?

>

>  Hallo :-)
>  
> Die obige Frage beschäftigt micht jetzt schon eine Weile
> und nun habe ich mich entschlossen, sie mal im Forum zur
> Diskussion zu geben.
>  
> Mich wundert, dass es angeblich nur 2 Kombinationen gäbe.
> So, wie ich das verstanden habe, kann man ESP und AH
> jeweils im Transport und im Tunnelmodus ausführen.

>

> Somit
> ergeben sich die Kombinationen:
>  AH Tunnel & ESP Transport
>  ESP Tunnel & AH Transport
>  AH Transport & ESP Transport
>  ESP Transport & AH Tunnel
>  AH Transport & ESP Tunnel
>  AH Tunnel & ESP Tunnel
>  ESP Transport & AH Transport
>  
> Ich habe mir gedacht, dass die sinnvollsten Kombinationen
> AH Tunnel & ESP Tunnel sowie AH Tunnel & ESP Transport
> wären. Dabei bin ich davon ausgegangen, dass AH die
> Authentizität schützt und ESP die Daten schützt, nach
> folgendem Schema:
>  
> AH Tunnel&ESP Transport
>  IP neu Header - AH Header - IP Header original - Esp
> Header - Nutzdaten - Esp Trail - ESP Auth.

Ein Problem dabei: in "IP Header original" stehen die ursprünglichen srcip und dstip Adressen der Kommunikation. Da AH nicht verschlüsselt, sind sie sichtbar. Wie vertraulich soll die Kommunikation sein? Dürfen diese IP-Adressen sichtbar sein? Ist mir nicht klar, ob das gefordert ist.

> AH Tunnel & ESP Tunnel
>  
> IPneu Header - AH-Header - IPHeader neu - Ip Header
> original - ESP Header - Nutzdaten - ESP Trail - ESP Auth.

Stimmt nicht ganz: der "IP Header Original" kommt hinter dem ESP Header. Im ESP Tunnel Mode wird das gesamte IP-Paket, Header und Nutzlast verschlüsselt. Ich würde daher schreiben:

IPneu Header(für AH)  - AH-Header - IPHeader neu (von ESP) - ESP Header - verschlüsseltes IP Paket (Ip Header+Nutzdaten) - ESP Trail - ESP Auth.

> Macht das Sinn, oder habe ich da einen Denkfehler? Sind
> diese beiden Kombinationen wirklich die richtigen, oder
> wäre es anders besser?

Geh mal von folgenden Überlegungen aus:

- ESP sichert Vertraulichkeit und Integrität, aber nur für das ursprüngliche IP-Paket. Der ESP-Header ist nicht geschützt.
- AH schützt das gesamte Paket vor Veränderung, kann aber keine Verschlüsselung bieten.
- Der Transportmodus legt die ursprünglichen srcip und dstip Adressen offen.

Daraus würde ich folgern:
- Um Vertraulichkeit zu gewährleisten, muss ESP dabei sein.
- Um srcip und dstip geheim zu halten, muss der Tunnelmodus verwendet werden.
- Um Integrität zu gewährleisten, muss AH das äußere Protokoll sein.

Welche Möglichkeiten bleiben übrig?

So, jetzt hab ich mir - wie immer bei ipsec - das Gehirn verknotet ;-)

Viele Grüße
   Rainer

Bezug
                
Bezug
IPsec, Kombi von ESP & AH: Frage (beantwortet)
Status: (Frage) beantwortet Status 
Datum: 23:23 Fr 07.12.2007
Autor: Guiniviere

Vielen lieben Dank Rainer, für die schnelle Antwort. Ich bin froh, dass Du meine Überlegungen bestätigen konntest und ich nicht ganz falsch lag.
Nun ist mir noch eine kleine Frage dazu eingefallen. Wie sieht es den mit den aufgebauten SA aus? Ich habe gelesen, dass man, wenn man ESP außen herum anwendet 2 SA (1Hin, 1 Rück) braucht. Reicht es dann, wenn man AH außen hat, mit einer Verbindung?

Viele Grüße

Guini

Bezug
                        
Bezug
IPsec, Kombi von ESP & AH: Antwort
Status: (Antwort) fertig Status 
Datum: 19:23 So 09.12.2007
Autor: rainerS

Hallo Guini!

> Vielen lieben Dank Rainer, für die schnelle Antwort. Ich
> bin froh, dass Du meine Überlegungen bestätigen konntest
> und ich nicht ganz falsch lag.

Du liegst schon richtig.

Allerdings bin ich mir nicht so ganz sicher, wie ich die Aufgabe verstehen soll. Ist da nach dem Unterschied zwischen Tunnel- und Transportmodus gefragt, oder geht es nur um die Protokolle, das heisst, mit welcher Kombination von AH und ESP kann ich die gewünschten Eigenschaften erzielen.

Zum Beispiel könntest du so argumentieren: die Authenzität der Daten sichere ich auch, in dem ich zunächst die Nutzdaten in ein AH-Paket verpacke. Drumherum mache ich ESP im Tunnelmodus, um die Vertraulichkeit zu gewährleisten. Da im ESP-Tunnelmodus das gesamte IP-Paket (Header und Nutzdaten) verschlüsselt werden, kann ein Angreifer nicht die Original-IP-Adressen einsehen; er sieht nur die Endpunkte des Tunnels.

Also wären mit den beiden Möglichkeiten a) außen ESP, innen AH, b) außen AH, innen ESP gemeint.

Andererseits bietet auch ESP die Möglichkeit, die Authenzität die Daten per kryptografischem Hash zu garantieren.

[]Hier findest du eine sehr schöne Beschreibung, zum Beispiel auch mit der Kritik (Schneier/Ferguson) am ipsec-Protokoll.

>  Nun ist mir noch eine kleine Frage dazu eingefallen. Wie
> sieht es den mit den aufgebauten SA aus? Ich habe gelesen,
> dass man, wenn man ESP außen herum anwendet 2 SA (1Hin, 1
> Rück) braucht. Reicht es dann, wenn man AH außen hat, mit
> einer Verbindung?

Du brauchst immer zwei SA je Protokoll, denn Teil der SA ist die Ziel-IP-Adresse und eine Identifier für das benutzte Protokoll. Schau mal []hier.

Viele Grüße
   Rainer

Bezug
                                
Bezug
IPsec, Kombi von ESP & AH: Mitteilung
Status: (Mitteilung) Reaktion unnötig Status 
Datum: 17:33 Mo 10.12.2007
Autor: Guiniviere


  

> Allerdings bin ich mir nicht so ganz sicher, wie ich die
> Aufgabe verstehen soll. Ist da nach dem Unterschied
> zwischen Tunnel- und Transportmodus gefragt, oder geht es
> nur um die Protokolle, das heisst, mit welcher Kombination
> von AH und ESP kann ich die gewünschten Eigenschaften
> erzielen.


Die wortwörtliche Aufgabe lautete:

Bei der Anbindung einer Bankfiliale an die Zentrale haben sich die Sicherheitsberater für den Einsatz von IPSec entschieden, um die Vertraulichkeit, Integrität und Authetizität der Daten zu schützen.
a) Welche zwei Möglichkeiten der IPSec-Protokolle AH und ESP erreichen diese Ziele? (Nennen Sie auch den eingesetzten Modus!)
b) Skizzieren Sie die Struktur der durch die beiden Kombinationen entstehenden IP-Pakete, inklusive der IP- und IPSec-Header sowie die Nutzdaten!
c) Wenn auf beiden Seiten ein IPSec-Gateway die bidirektionale Weiterleitung der Datenströme erldigen soll, wie viele Sicherheitsassoziationen sind dann für jede der zwei Kombinationen notwendig?





> Zum Beispiel könntest du so argumentieren: die Authenzität
> der Daten sichere ich auch, in dem ich zunächst die
> Nutzdaten in ein AH-Paket verpacke. Drumherum mache ich ESP
> im Tunnelmodus, um die Vertraulichkeit zu gewährleisten.

Ich dachte, diese Variante ist nicht möglich, weil durch die Verschlüsselung durch das ESP könnte ja auch kein Proxyserver, oder Virenscanner nachgucken, ob schädlicher Inhalt übertragen wird. Darum habe ich die ESP-außen-Varianten alle gleich als nicht in Frage kommend ausgeschlossen.

Da

> im ESP-Tunnelmodus das gesamte IP-Paket (Header und
> Nutzdaten) verschlüsselt werden, kann ein Angreifer nicht
> die Original-IP-Adressen einsehen; er sieht nur die
> Endpunkte des Tunnels.
>  
> Also wären mit den beiden Möglichkeiten a) außen ESP, innen
> AH, b) außen AH, innen ESP gemeint.
>  
> Andererseits bietet auch ESP die Möglichkeit, die
> Authenzität die Daten per kryptografischem Hash zu
> garantieren.
>  
>

Die beiden Möglichkeiten, für die ich mich entschieden habe sind:

1.)AH(Tunnel) außen - ESP(Tunnel)innen
und
2.)AH(Tunnel) außen - ESP(Transport)innen

Nun aber nochmal vielen lieben Dank für Deine Hilfe.


Viele liebe Grüße

Guini

Bezug
Ansicht: [ geschachtelt ] | ^ Forum "Netzwerke"  | ^^ Alle Foren  | ^ Forenbaum  | Materialien


^ Seitenanfang ^
www.vorhilfe.de