Firewalling bei IPsec-Einsatz unter Kernel 2.6 « 12 « 2004 « Ausgaben « Heft & Abo

Open Source im professionellen Einsatz	Newsletter abonnieren Seite durchsuchen
HEFTARCHIV \| NEWS \| E-BIBLIOTHEK \| VIDEO \| BLOGS \| WHITEPAPER \| EVENTS \| ACADEMY \| ABO \| SHOP

Heftarchiv

Live-Streaming

IT-Profimarkt

Stellenangebote

Seminarsuche

Home » Heft & Abo » Heftarchiv » 2004 » 12 » Sicherer Brandstifter

Guter alter 2.4

Es bleibt zu hoffen, dass die Kernelentwickler den bisherigen Ansatz auch in Kernel 2.6 übernehmen. Viele der Probleme mit der IPsec/IPtables-Kombination lassen sich mit den beschriebenen Verfahren und Patches aber auch jetzt schon lösen. (fjl)

IPsec-Protokolle und -Modi

IPsec standardisiert zwei Protokolle, die IP-Pakete schützen: AH (Authentication Header) und ESP (Encapsulating Security Protocol). Beide gehören zur IP-Protokollfamilie (Nummern 50 und 51). AH schützt die Integrität des ganzen IP-Pakets einschließlich IP-Header, verschlüsselt aber nichts. ESP verschlüsselt den Paketinhalt und schützt die Integrität des inneren Pakets - ohne den äußeren IP-Header.

Transport- und Tunnelmodus

Außerdem sind Transport- und Tunnelmodus zu unterscheiden. Ersterer eignet sich nur für die direkte Kommunikation zweier Rechner, die dabei die IPsec-Endpunkte bilden. Im Transportmodus befindet sich der ESP- oder AH-Header zwischen IP-Header und Payload. Die Payload umfasst die Header der höheren Protokollschichten und Daten.

Anders verhält es sich im Tunnelmodus. AH- oder ESP-Header stehen hier vor dem IP- Header des Orignalpakets. Vor dem IPsec- Header wird ein weiterer IP-Header eingefügt, der die Adressen der Tunnelendpunkte enthält. Die Payload besteht im Tunnelmodus aus einem kompletten IP-Paket. Beim ESP-Protokoll ist damit das gesamte innere IP-Paket verschlüsselt. Ein frühere Artikel[6] erklärt den Aufbau des AH- und ESP-Headers und die Zusammensetzung der Pakete.

IPsec in der Kritik

Die Krypto-Experten Ferguson und Schneier empfehlen in ihrer Analyse des IPsec-Protokolls[2] unter anderem, das AH-Protokoll und den Transportmodus aus dem IPsec-Standard zu entfernen. Probleme, die sich aus AH für das Firewall-Design ergeben, berücksichtigt der vorliegende Artikel daher nicht.

Infos

[1] USAGI: [http://www.linux-ipv6.org]

[2] Bruce Schneier, "A Cryptographic Evaluation of IPsec": [http://www.schneier.com/paper-ipsec.html]

[3] Freeswan: [http://www.freeswan.org]

[4] Strongswan: [http://www.strongswan.org]

[5] Openswan: [http://www.openswan.org]

[6] Ralf Spenneberg, "Sicherer Transport - Virtuelle Private Netze mit Linux 2.6 und IPsec": Linux-Magazin 05/03, S. 60

[7] Netfilter-Projekt mit IPtables und Patch-o-matic-NG: [http://www.netfilter.org]

[8] Harald Welte, "Summary of the netfilter developer workshop 2004": [http://www.netfilter.org/documentation/conferences/nf-workshop-2004-summary.html]

[9] Achim Leitner, "Transport-Sicherheit - VPN mit verschiedenen Protokollen und Programmen": Linux-Magazin 10/03, S. 23

[10] Experimentelles Virtual-Device-Patch: [http://netfilter.basti79.de]

[11] Quellen zum Artikel: [ftp://ftp.linux-magazin.de/pub/listings/magazin/2004/12/IPsec-IPtables/]

Die Autoren

Sebastian Claßen und Michael Becker studieren Technische Informatik an der Hochschule Niederrhein und beschäftigen sich in ihren Abschlussarbeiten mit der Absicherung eines WLAN mittels IPsec.

« vorige Seite 1 2 3 4

Ähnliche Artikel
Sicherer Brandstifter	Firewalling bei IPsec-Einsatz unter Kernel 2.6
Regelmeister	Neue Features der Firewall-Oberfläche FW-Builder
Abschirmdienst	MSM-VPN-Appliance: Virtuelle private Netze mit IPsec, PKI und Smartcards
Wehrhafte Mediziner	Große VPNs einfach verwalten mit OpenVPN und Skripten
Aufmerksamer Wächter	Authentifizierung an der Firewall dank Netfilter-Modul
Zentral gesteuert	SSPE: Sicherheitsrichtlinien für mehrere Firewalls verwalten

Whitepaper

Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele

Über die letzten Jahre hinweg haben sich Open Source Lösungen als fester Bestandteil des gesamten Datenintegrationsmarktes etabliert. Viele Unternehmen haben bereits das Open Source Modell für Ihre Datenintegrationsprojekte aufgegriffen. Das vorliegende White Paper illustriert anhand ausgewählter Fallstudien und Anwendungsbeispiele die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.

Download PDF (Registrierung erforderlich)

The Role of Open Source in Data Integration

Obwohl in den letzten Jahren viele technische Fortschritte erzielt werden konnten, verfügen die meisten Datenintegrationsprozesse nach wie vor nur über eine sehr begrenzte Automatisierung. Das vorliegende White Paper von dem Industry Analyst Mark Madson wird zunächst ein grundlegendes Verständnis von Daten Integration vermitteln, die Vorzüge von Open Source Lösungen für Daten Integration erläutern und Ihnen professionelle Empfehlungen geben, damit Sie Ihre Integrationsjobs noch einfacher und produktiver gestalten können.

Download PDF (Registrierung erforderlich)

Kommentare (0)

Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.