IPSec VPN: Was es ist und wie es funktioniert

Justin Oyaro

By Justin Oyaro . 9 Juni 2022

Cybersecurity Expert

Miklos Zoltan

Fact-Checked this

IPSec (Internet Protocol Security, etwa Internetprotokoll-Sicherheit) ist eine Protokoll-Suite, die für gewöhnlich von VPNs genutzt wird, um eine sichere Verbindung über das Internet aufzubauen.

Die IPSec-Suite bietet Features wie Tunneling und Kryptographie zu Sicherheitszwecken. Deshalb nutzen VPNs meistens IPSec, um sichere Tunnel aufzubauen.

IPSec VPN ist weithin auch als ‚VPN over IPSec’ bekannt.

Kurze Zusammenfassung

IPSec wird für gewöhnlich in der IP-Schicht eines Netzwerks implementiert. IPSec nutzt zwei Funktionsweisen; Tunnel-Modus und Transport-Modus.

Die meisten VPN-Anbieter verwenden den Tunnel-Modus, um die kompletten IP-Pakete zu sichern und einzukapseln. Der Transport-Modus schützt nur die Nutzdaten und nicht das komplette IP-Paket.

Im Allgemeinen bietet die IPSec VPN-Protokoll-Suite Dienste zur erweiterten Authentifizierung, Komprimierung und Verschlüsselung für VPN-Verbindungen.

IPSec bietet die Freiheit, Algorithmen, Sicherheitsprotokolle und den Modus für den Austausch von Sicherheitsschlüsseln zwischen Kommunikations-Hosts auszuwählen.

Verwandter Leitfaden: IKEv2-VPN-Protokoll erklärt

Was ist IPSec?

Die IPSec Protokoll-Suite beinhaltet Authentication Header (AH), Encapsulated Security Payload (ESP), Internet Security Association and Key Management Protocol (ISAKMP), sowie IP Payload Compression (IPComp).

  • Authentication Header (AH): AH bietet eine Authentifizierung der Datenherkunft von IP-Paketen (Datagrammen), garantiert verbindungslose Integrität und bietet Schutz gegen Replay-Attacken (dank der Sliding-Window-Technik). Der AH bietet außerdem bedeutende Authentifizierungen für sowohl IP-Header als auch Upper-Layer-Protokolle.
  • Encapsulating Security Payload (ESP): ESP ist für Authentifizierung, Integrität und Vertraulichkeit von Daten zuständig. ESP bietet außerdem die Vertraulichkeit von Nutzdaten und die Authentifizierung von Nachrichten innerhalb der IPSec-Protokoll-Suite.
Im Tunnel-Modus wird das komplette IP-Paket eingekapselt, während im Transport-Modus nur die Nutzdaten geschützt werden.
  • Internet Security Association and Key Management Protocol (ISAKMP): ISAKMP hat die Aufgabe, Security Association (SAs) zu erstellen – eine Reihe von im Voraus vereinbarter Schlüssel und Algorithmen, die von Parteien beim Aufbau eines VPN-Tunnels genutzt werden. Dazu zählen Kerberized Internet Negotation of Keys (KINK) und Internet Key Exchange (IKE und IKEv2).
  • IP Payload Compression (IPComp): IPComp ist ein Low-Level-Kompressionsprotokoll, welches die Größe der IP-Pakete reduziert und dadurch die Kommunikation zwischen zwei Parteien verbessert. Das ist insbesondere dann nützlich, wenn die Kommunikation übermäßig langsam ist, beispielsweise bei überlasteten Verbindungen.
IPComp bietet keine Sicherheit und muss mit AH oder ESP über VPN-Tunnel verwendet werden.

IPSec VPN Funktionsweisen

Werfen wir einen Blick auf die beiden IPSec VPN-Modi und vergleichen sie:

IPSec Tunnel-Modus

Die VPN-Verschlüsselung im Tunnel-Modus kapselt jedes ausgehende Paket mit neuen IPSec-Paketen unter Verwendung von ESP ein. Der Tunnel-Modus nutzt auch AH zur Authentifizierung der Server-Seite.

Folglich nutzt IPSec den Tunnel-Modus bei sicheren Gateways wie Firewalls, die auf die die beiden kommunizierenden Parteien verbindet.

Transport-Modus

Der Transport-Modus verschlüsselt und authentifiziert die zwischen den beiden kommunizierenden Parteien versendeten IP-Pakete.

Als solches wird der Transport-Modus häufig für Ende-zu-Ende-Kommunikation zwischen Parteien reserviert, da er den IP-Header der ausgehenden Pakete nicht verändert.

Kryptografische Algorithmen für IPSec

IPSec stützt sich auf sichere Algorithmen, die Vertraulichkeit, Integrität und Authentizität gewährleisten.

Dazu zählen:

  • Algorithmen zur Authentifizierung wie RSA, PSK und Elliptic Curve Cryptography
  • Symmetrische Algorithmen zur Verschlüsselung wie AES-CBC und GCM, HMAC-SHA, TripleDES und ChaCha20-Poly1305
  • Algorithmen zum Schlüsselaustausch wie Elliptic Curve Diffie-Hellman und der Diffie-Hellman-Schlüsselaustausch

Wie funktioniert IPSec?

Im Folgenden bekommst du Schritt für Schritt einen allgemeinen Überblick, wie IPSec funktioniert.

Für gewöhnlich beginnt dieser Prozess damit, dass die Hosts (die kommunizierenden Parteien) festlegen, dass eingehende oder ausgehende Pakete IPSec nutzen müssen.

Wenn die Pakete die IPSec-Richtlinien auslösen, wird der Prozess wie folgt fortgesetzt:

  • Verhandlung und Schlüsselaustausch: Dieser Schritt umfasst die Authentifizierung der Hosts und der genutzten Richtlinien. In der ersten Phase erstellt der Host einen sicheren Tunnel. Die Verhandlungen werden entweder im Hauptmodus (für mehr Sicherheit) oder im aggressiven Modus (für einen schnelleren Aufbau der IP-Verbindung) geführt.
Alle Hosts vereinbaren ein IKE für den Aufbau der IP-Schaltung im Hauptmodus. Im aggressiven Modus präsentiert der initiierende Host das IKE für den Aufbau der IP-Schaltung und der andere Host akzeptiert.
In der zweiten Phase verhandeln die Hosts und einigen sich auf die Art der kryptografischen Algorithmen, die während der Sitzung verwendet werden.
  • Übertragung: Das umfasst den Austausch von Daten zwischen den Hosts. In der Regel bricht IPSec die Daten in einzelne Pakete, bevor sie über das Netzwerk versendet werden. Diese Pakete umfassen mehrere Segmente wie Nutzdaten und Header. IPSec fügt auch Trailer und andere Segmente hinzu, die Details zu Authentifizierung und Verschlüsselung enthalten.
  • Ende der Übertragung: Das ist der letzte Schritt und dieser umfasst die Beendigung des sicheren IPSec-Kanals. Die Beendigung erfolgt, wenn der Datenaustausch vollständig ist oder die Sitzung abgelaufen ist. Auch die kryptografischen Schlüssel werden verworfen.

IPSec VPN vs. SSL VPN

Neben IPSec VPN können VPN-Anbieter auch SSL VPN verwenden, um deine Verbindung über das Internet zu sichern. In Abhängigkeit des erforderlichen Sicherheitsniveaus können VPN-Anbieter beides implementieren oder sich für eines der beiden Verfahren entscheiden.

SSL VPNs stützen sich auf das Transport Layer Security (TLS)-Protokoll. Im Gegensatz zu IPSec, das auf der IP-Ebene fungiert, arbeitet TLS auf der Transport-Ebene. Deshalb variieren Sicherheit und Anwendungsfälle von IPSec VPN und SSL VPN.

Mit IPSec VPN ist dein Datenverkehr auf dem Weg von und zu privaten Netzwerken und verschiedenen Hosts sicher, kurz gesagt kannst du dein gesamtes Netzwerk schützen. Dementsprechend ist IPSec VPN zuverlässig für IP-basierte Zwecke und Anwendungen.

SSL VPN schützt den Datenverkehr zwischen entfernten Benutzern. In den meisten Fällen arbeiten SSL VPNs mit Hosts, die Browser-basierte Anwendungen unterstützen.

Häufig gestellte Fragen

Einige Leute fanden die Antworten auf diese Fragen hilfreich

Welchen Netzwerk-Port nutzt IPSec häufig?

IPSec verwendet oft den UDP-Port 500 für ISAKMP und UDP-Port 4500, um Firewalls zu passieren, NAT ist erlaubt.


Was ist besser, SSL VPN oder IPSec VPN?

Die Anwendungen der Protokolle unterscheidet sich voneinander. Zum Beispiel lässt IPSec VPN die Nutzer aus der Ferne auf das gesamte Netzwerk und die Anwendungen zugreifen. SSL VPN hingegen erlaubt den Nutzern Remote-Tunnel-Zugriff auf bestimmte Apps im Netzwerk.


Kann IPSec gehackt werden?

IPSec (Internet Protocol Security) gilt allgemein als sicher. Laut den Snowden-Leaks hat die NSA die IPSec-Verschlüsselungen jedoch gezielt mit verschiedenen Schwachstellen versehen. Anderen Berichten zufolge können Hacker einige der IPSec-Verschlüsselungen knacken. Das hängt alles von der verwendeten Implementierung ab.


Wofür wird IPSec verwendet?

IPSec (Internet Protocol Security) ist eine Protokoll-Suite, die den Datenverkehr auf Paketebene über ein Netzwerk sichert. Du kannst IPSec nutzen, um Informationen zwischen zwei Parteien zu schützen. Außerdem ist IPSec für Datenintegrität sowie Originalität, Authentifizierung und Vertraulichkeit der Daten verantwortlich.


Ist IPSec dasselbe wie ein VPN?

Einfach ausgedrückt ist IPSec (Internet Protocol Security) wie eine herkömmliche VPN-Technologie. Die Protokoll-Suite wurde erstmals 1990 eingeführt und hat seither erhebliche Verbesserungen erfahren, sodass sie ein weit verbreitetes und viel verwendetes Protokoll in der VPN-Branche ist.


Leave a Comment