By 
IPSec VPN – eine umfangreiche Protokollsuite
Internet Protocol Security (IPSec) ist eine Reihe von Protokollen, die normalerweise von VPNs verwendet werden, um eine sichere Verbindung über das Internet herzustellen. Funktionen wie Tunneling und Kryptografie dienen der Sicherheit und zeichnen die IPSec-Suite aus. Unter anderem NordVPN verwendet IPSec, um sichere Tunnel zu erstellen. Was die IPSec-Protokollsuite an Vorteilen bietet und warum so viele VPN-Anbieter darauf setzen, erfahren Sie in diesem Blogbeitrag. Dabei werden viele Details näher betrachtet, die insbesondere Fragen von technisch versierten Anwendern beantworten.
Was ist IPSec?
Die IPSec-VPN-Protokollsuite bietet erweiterte Authentifizierungs-, Komprimierungs- und Verschlüsselungsdienste für VPN-Verbindungen. IPSec bietet die Freiheit, neben den Algorithmen auch die Sicherheitsprotokolle sowie den Modus zum Austauschen von Sicherheitsschlüsseln auszuwählen.
IPSec wird normalerweise auf der IP-Schicht eines Netzwerks implementiert und verwendet zwei Betriebsmodi – den Tunnelmodus und den Transportmodus. Der Tunnelmodus wird von den meisten VPN-Anbieter genutzt, um die gesamten IP-Pakete zu sichern und zu kapseln. Bei dem Transportmodus ist zu berücksichtigen, dass lediglich die Daten des Nutzers und nicht das vollständige Paket gesichert wird.
Die Protokollsuite stützt sich auf sichere Algorithmen, die Vertraulichkeit, Integrität und Authentizität gewährleisten. Hierzu zählen Authentifizierungsalgorithmen wie RSA, PSK und Elliptic-Curve-Kryptographie. Darüber hinaus symmetrische Verschlüsselungsalgorithmen wie AES-CBC und GCM, HMAC-SHA, TripleDES und ChaCha20-Poly1305.
Die zentralen Bestandteile von IPSec
Die IPSec-Protokollsuite umfasst Encapsulated Security Payload (ESP), Authentication Header (AH), IP Payload Compression (IPComp) und Internet Security Association and Key Management Protocol (ISAKMP).
Encapsulating Security Payload (ESP): ESP ist für die Bereiche Authentifizierung, Integrität und Vertraulichkeit von Daten verantwortlich. Auch die Nachrichtenauthentifizierung innerhalb der IPSec-Protokollsuite obliegt dem ESP. Im Tunnelmodus kapselt es das gesamte IP-Paket ab, während im Transportmodus nur die Daten der Nutzer geschützt werden.
Authentication Header (AH): AH bietet eine Datenursprungsauthentifizierung von IP-Paketen (Datagrammen), garantiert verbindungslose Integrität und bietet Schutz vor Replay-Angriffen. Der AH bietet auch signifikante Authentifizierungen sowohl für Protokolle der oberen Schicht als auch für IP-Header.
IP Payload Compression (IPComp): Bei IPComp handelt es sich um ein Low-Level-Komprimierungsprotokoll, das die Größe von IP-Paketen reduziert und auf diesem Wege die Kommunikation zwischen zwei Parteien verbessert. Dies ist nützlich, wenn die Kommunikation übermäßig langsam ist, zum Beispiel bei überlasteten Verbindungen.
Internet Security Association and Key Management Protocol (ISAKMP): ISAKMP ist mit Security Associations (SAs) beauftragt – einem Satz vorab vereinbarter Schlüssel und Algorithmen, die von Parteien beim Aufbau eines VPN-Tunnels verwendet werden. Dazu gehören Internet Key Exchange (IKE und IKEv2) und Kerberized Internet Negotiation of Keys (KINK).
Die IPSec-VPN-Betriebsmodi im Überblick
Wie bereits erwähnt, ist der Tunnelmodus neben dem Transportmodus einer von zwei verfügbaren IPsec-Modi.
Die VPN-Verschlüsselung im Tunnelmodus kapselt jedes ausgehende Paket mit neuen IPSec-Paketen mithilfe von Encapsulating Security Payload (ESP) ein. Der Tunnelmodus verwendet zudem Authentication Header (AH), um die Serverseite zu authentifizieren. Mitunter bei sicheren Gateways wie Firewalls findet der Tunnelmodus Anwendung.
Der Transportmodus verschlüsselt und authentifiziert die IP-Pakete, die zwischen zwei kommunizierenden Parteien gesendet werden. Daher ist der Transportmodus oft für die End-to-End-Kommunikation zwischen Parteien reserviert, da er den IP-Header der ausgehenden Pakete nicht ändert.
Wie funktioniert IPSec?
Normalerweise beginnt der Prozess damit, dass Hosts festlegen, dass eingehende oder ausgehende Pakete IPSec verwenden müssen. Wenn die Pakete IPSec-Richtlinien auslösen, findet eine Aushandlung und ein Schlüsseltausch statt. Dieser Schritt umfasst die Host-Authentifizierung und die Festlegung der zu verwendenden Richtlinien.
In der ersten Phase erstellen die Hosts einen sicheren Kanal. Verhandlungen werden entweder im aggressiven Modus (für einen schnelleren IP-Verbindungsaufbau) oder im Hauptmodus (für eine größere Sicherheit) durchgeführt. Alle Hosts einigen sich auf ein Internet Key Exchange (IKE) zum Aufbau der IP-Schaltung im Hauptmodus. Im aggressiven Modus übermittelt der initiierende Host das IKE zum Aufbau der IP-Schaltung, und der andere Host stimmt zu. In der zweiten Phase verhandeln und vereinbaren die Hosts die Art der kryptografischen Algorithmen, die während der Sitzung verwendet werden sollen.
Schließlich erfolgt der Austausch von Daten zwischen den Hosts. Normalerweise zerlegt IPSec Daten in Pakete, bevor sie über das Netzwerk gesendet werden. Die Pakete enthalten mehrere Segmente wie Header und Nutzerdaten. Darüber hinaus fügt IPSec auch Trailer und andere Segmente hinzu, die weitere Informationen zur Authentifizierung und Verschlüsselung enthalten.
Zum Schluss wird die Übertragung über den sicheren IPSec-Kanal beendet. Die Beendigung erfolgt, wenn der Datenaustausch abgeschlossen oder die Sitzung abgelaufen ist. Kryptografische Schlüssel werden im Rahmen des Abschlusses verworfen.
IPsec-VPN vs. SSL-VPN – die Unterschiede im Überblick
Neben IPSec VPN können Anbieter von VPN-Dienstleistungen auch SSL VPN nutzen, um Ihre Verbindung über das Internet zu sichern. Je nach benötigtem Sicherheitsniveau können VPN-Anbieter beide implementieren oder sich für eines entscheiden.
SSL-VPNs basieren auf dem Transport Layer Security (TLS)-Protokoll. Im Gegensatz zu IPSec, das auf der IP-Schicht arbeitet, agiert TLS auf der Transportschicht. Daher variieren die Sicherheit und die Anwendungen von IPSec VPN und SSL VPN.
Mit IPSec VPN ist Ihr Datenverkehr sicher, wenn er sich zu und von privaten Netzwerken sowie verschiedenen Hosts bewegt. Kurz gesagt, Sie können Ihr gesamtes Netzwerk schützen. Somit ist IPSec VPN zuverlässig für IP-basierte Nutzungen und Anwendungsfälle.
SSL VPN schützt den Datenverkehr zwischen entfernten Nutzern. In den meisten Fällen funktionieren SSL-VPNs mit Hosts, die browserbasierte Anwendungen unterstützen.
Welche VPN-Anbieter bauen auf der Protokollsuite auf?
Unter anderem NordVPN verwendet das VPN-Protokoll IKEv2/IPsec, das für seine Sicherheit und Zuverlässigkeit bekannt ist. Der gleichnamige VPN-Client ist sowohl für Windows als auch für macOS, iOS, Android und Linux verfügbar. Über 5.500 VPN-Server in 60 Ländern bilden bei NordVPN die Grundlage für ein sicheres Surfen.
Eine der vielen Alterativen ist Surfshark VPN, welches sine starke AES-256-GCM-Verschlüsselung und einen Schutz vor Datenlecks bietet Zu den unterstützten Protokollen zählen Wireguard, IKEv2/IPsec und OpenVPN UDP / TCP.
Bei BestSoftware finden Sie NordVPN, Surfshark VPN und viele andere Softwarelösungen stets zum besten Preis.
Comments