IPsec

Was ist IPsec?

Internet Protocol Security, kurz IPsec, ist eine Gruppe von Standards, Protokollen und Protokollerweiterungen des Internet-Protokolls (IP), die eine sichere Kommunikation in IP-Netzwerken ermöglichen. IPsec dient der Authentifizierung und/oder Verschlüsselung von Daten, die über potenziell unsichere IP-Netze wie das Internet übertragen werden, sowie der Authentifizierung von Kommunikationspartnern.

IPsec ist eines der beiden Verschlüsselungsprotokolle, die für den Aufbau eines VPNs verwendet werden können. Das andere Protokoll heißt Transport Layer Security (TLS) und ist die Nachfolgeversion des Secure Sockets Layer (SSL) Protokolls. Obwohl TLS der neuere Standard ist, weisen die beiden Protokolle viele Ähnlichkeiten auf, so dass sie meist als TLS/SSL bezeichnet werden. Während TLS/SSL-Protokolle die verschlüsselungsbasierte Sicherheit auf Anwendungsebene bereitstellen, arbeitet IPsec auf Netzwerkebene. Internet Protocol Security wurde ursprünglich für die neueste Version des Internetprotokolls IPv6 entwickelt und nachträglich auch für IPv4 eingesetzt.

Wie funktioniert die sichere Datenübertragung über IPsec?

Um die Daten über das Internet übertragen zu können, werden sie in mehrere Bits aufgeteilt, die als IP-Pakete bezeichnet werden. Der Inhalt eines solchen Pakets (wie Sprache, Text, Zeichen oder Töne) wird als Nutzdaten (englisch „payload“) bezeichnet. Die Zusatzinformationen (wie die Adresse des Senders und Empfängers), die sogenannten Metadaten, werden Header oder Kopfdaten genannt. Um eine sichere Datenübertragung übers Internet zu gewährleisten, können mit IPsec zwei Übertragungsprotokolle (gemeinsam oder einzeln) zum Einsatz kommen:

·         Authentication Header (AH)

·         Encapsulating Security Payload (ESP)

Der Authentication Header sorgt für die Authentizität und Integrität der übertragenen Daten und die Authentifizierung des Senders. Dafür wird den Paketen eine digitale Signatur (siehe Hashfunktion) in Form eines Authentifizierungs-Headers hinzugefügt, wodurch eine Manipulation durch Dritte verhindert werden kann.

Das Encapsulating Security Payload kommt zum Einsatz, wenn die Pakete zusätzlich verschlüsselt werden sollen. Hierbei werden, je nach Transportmodus, das gesamte IP-Paket (Tunnelmodus) oder nur die Nutzdaten (Transportmodus) „eingekapselt“, das heißt mit einem ESP-Header und ESP-Trailern versehen, verschlüsselt und authentifiziert. Für die Ver- und Entschlüsselung werden symmetrische Verschlüsselungsverfahren und kryptographische Algorithmen verwendet. Die Schlüssel wandeln Klartext (einschließlich Bits) in einen Geheimtext um, wobei der Algorithmus die Methode zum Ver- und Entschlüsseln der Daten beschreibt. Die Datenpakete werden mithilfe eines Transportprotokolls (meist UDP) übertragen und am Zielort entschlüsselt.

Wenn ein Sender und ein Empfänger eine IPsec-Verbindung per ESP aufbauen möchten, müssen sie sich zunächst auf das Verschlüsselungsverfahren, den Authentifizierungs-Algorithmus, das Übertragungsprotokoll, den Transportmodus und weitere Parameter einigen. Der Aufbau einer IPsec-Verbindung erfolgt, grob vereinfacht dargestellt, in sechs Schritten:

1. Schlüsselaustausch zwischen den Kommunikationspartnern

2. Hinzufügen der ESP-Header und -Trailer

3. Verschlüsselung der Datenpakete und ESP-Trailer

4. Authentifizierung der Datenpakete, ESP-Header und -Trailer

5. Übertragung der Datenpakete

6. Entschlüsselung der Datenpakete am Zielort

Avira Phantom VPN unterstützt sowohl IPsec- als auch SSL/TSL-Protokolle. Die auf unserer Webseite zur Verfügung gestellten VPN-Versionen für Windows, VPN für macOS und VPN für Android-Geräte verwenden die SSL/TSL-Protokoll, die auf der Open-Source-Software OpenVPN basieren. Für iOS-Geräte und Anwendungen aus dem AppStore und Microsoft Store nutzt Avira Phantom VPN das IPsec-Protokoll.

Hier erfahren Sie mehr rund ums Thema VPN:

Was ist ein VPN?

Wie kann man mit einem VPN anonym surfen?

Ist ein VPN wirklich sicher?