Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst IPSec - Tunnel- und Transportmodus

Mitglied: -bexter-

-bexter- (Level 1) - Jetzt verbinden

28.04.2008, aktualisiert 18.10.2012, 12078 Aufrufe, 5 Kommentare

Hallo liebe Administrator-Gemeinde!

Muss mich für eine Prüfung in IPSec einarbeiten.

Weiß inzwischen das es den AH (nur Authentizität und Integrität der Daten) und den ESP-Heather (Authentizität, Integrität und Verschlüsselung der Daten) gibt.

Nur den Tunnel- und Transportmodus verstehe ich nicht.


Also den Transportmodus verstehe ich noch, weil der IP Header gleich bleibt.


Aber den Tunnelmodus verstehe ich nicht.
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Header) und dafür wird ein neuer externer Heather vor das Paket gestellt.
Nur was bringt das?


Welche IPs werden dadurch verschlüsselt(ESP) und somit geschützt? Und welche IPs landen im äußeren IP Header?

Bitte mit Beispiel, sonst verstehe ich das nicht, weil ich nich genau weiß ob eine interne(Ziel/Quell) oder eine externe(Ziel/Quell) IP im internen IP Header verschlüsselt wird.


Meine Frage bezieht sich auf die Infos von:
http://de.wikipedia.org/wiki/IPsec



Vielen vielen Dank für Hilfe

Gruß
Mitglied: spacyfreak
28.04.2008 um 21:14 Uhr
Die Sache ist etwas abstrakt - doch es ist begreifbar.

Also...

Wenn Du daheim bist und mit Deinem PC im Internet surfst, hast du eine bestimmte IP-Adresse zur Verfügung die du von deinem Provider bekommen hast, sagen wir z. B. die 86.76.78.7. Diese IP hat entweder dein PC selbst erhalten (wenn er an einem DSL Modem hängt) oder aber dein DSL-Router (wenn du einen DSL Router verwendest).
Im zweiten Fall hat dein PC dann eine so genannte private IPadresse wie z. B. 192.168.0.4.

Nun stell Dir vor, Du möchtest auf Daten in deiner Firma zugreifen, über Deinen privaten Internetzugang. Du möchtest gerne so auf die Firmendaten zugreifen, als wärst du in deinem Firmen-Netz an die LAN-Dose angeschlossen. Du möchest auch eine IP-Adresse haben, die aus deinem Firmen-Netzwerk stammt.

Mit VPN im Tunnelmodus kannst du genau das erreichen.


Ein IP Paket wird in ein anderes IP-Paket gekapselt.

Das INTERNE IP-Paket enthält eine IP-Adresse, nämlich die IP-Adresse die Du vom VPN Server beim Tunnelaufbau erhalten hast.

Dieses Interne IP Paket (das komplett verschlüsselt ist) bekommt einen Mantel umgehängt, der eine andere IP-Adresse trägt, nämlich die IP-Adresse die du von Deinem Provider bekommen hast.

So finden die IP-Pakete den Weg zum VPN Server (da zwischen Deinem DSL Router und dem VPN Server ja geroutet werden muss, also darf der äussere IP-Header nicht verschlüsselt sein, sonst könnte ihn kein Router weiterleiten da er nicht weiss wohin damit).
Wenn diese Pakete im VPN Server landen, packt er das verpackte und verschlüsselte IP-Paket aus dem externen heraus, entschlüsselt es, und routet es ins LAN.

Wenn vom LAN Pakete zurückkommen, werden sie verschlüsselt und eingepackt, bekommen wieder den externen IP Header als "Hülle", und werden wieder zu Dir nach Hause geschickt, wo sie dein VPNClient wieder auspackt und entschlüsselt.



Doch das Drama geht weiter...

Daheim hat man in aller Regel ja keinen NAT-Router, sondern einen PAT Router (Port Adress Translation). Dieser übersetzt die private IP Deines Heim-PCs in die öffentliche IP die du vom Provider erhalten hast, wechselt also bei jedem Paket das in Richtung Internet abgeschickt wird vorher die Quell-IP aus, und bei zurückkommenden Paketen aus dem Internet wechselt er die öffentliche Ziel-IP wieder aus mit deiner privaten IP.

ESP hat leider keine Ports, es ist ein Protokoll der IP-Familie (IP Type 50).
Darum ist es auch nicht zu patten, da es keinen Port hat den man patten könnte.
Darum wird ESP in UDP gekapselt (UDP Port 4500, NAT-Transparency bzw. NAT-Traversal) damit man es über typische Heim PAT-Router leiten kann.
Bitte warten ..
Mitglied: -bexter-
28.04.2008 um 21:19 Uhr
Hallo spacyfreak..

vielen Dank für die super Erklärung!

Nun hab ich allerdings ein weiteres Problem:
Deine Erläuterung klingt sehr logisch, aaaber:

Wie funktioniert das ganze dann im Transportmodus?

Da gibt es ja nur einen IP Heather?!
Wo wird da die externe und wo die interne IP gespeichert?

Vielleicht fällt dir da auch noch so ein gutes Beispiel ein?


Vielen Dank
liebe Grüße
Bitte warten ..
Mitglied: spacyfreak
28.04.2008, aktualisiert 18.10.2012
Im Transport Modus gibt es keinen internen IP-Header (NICHT "Heather". Ich glaube Heather ist ein Frauenname??), sondern da werden nur die Daten verschlüsselt und NICHT das ganze IP-Paket.

Transportmodus wird vor allem intern im LAN genutzt, während der Tunnelmode vor allem bei Site-to-Site und Remote-Access Szenarien verwendet wird.

http://www.heise.de/security/VPN-Knigge--/artikel/71967

https://www.administrator.de/wissen/ipsec-protokoll-einsatz%2c-aufbau%2c ...
Bitte warten ..
Mitglied: filippg
28.04.2008 um 21:23 Uhr
Aber den Tunnelmodus verstehe ich nicht.
Der eigentliche IP Heather wird verschlüsselt (im internen IP-Heather) und dafür wird ein neuer > externer Heather vor das Paket gestellt.
Nur was bringt das?

Hallo,

ich denke, die Vorteile stehen in dem von dir benannten Artikel:
"Ein Vorteil des Tunnelmodus ist, dass bei der Gateway-zu-Gateway-Verbindung nur in die Gateways (Tunnelenden) IPsec implementiert und konfiguriert werden muss. Angreifer können dadurch nur die Tunnelendpunkte des IPsec-Tunnels feststellen, nicht aber den gesamten Weg der Verbindung."

Der Tunnelmodus erlaubt es dir, wirklich Pakete an einem Ende in den Tunnel Rein- und auf der anderen Seite _genau so_ wieder rausfallen zu lassen.
Damit kann man
- gesichert mit Kommunikationspartner kommunizieren, die selber kein IPSec können
- Alle Daten (inkl Header) vor Manipulation und Ausspionieren geschützt (IP-Adressen von Kommunikationspartnern sind durchaus vertraulich)
- auch mit Partnern kommunizieren, die keine öffentliche IP haben (nur die Tunnelendpunkte müssen die IPs kennen, für die Strecke zwischendrinn müssen nur die Tunnelendpunkte auflösen können).

Gruß

Filipp
Bitte warten ..
Mitglied: -bexter-
28.04.2008 um 21:31 Uhr
Danke für die schnellen Antworten!

Also habe ich das soweit richtig verstanden, das man den Transportmodus nur einsetzen kann, wenn die "verschlüsselungs-Endpunkte" auch gleich die Kommunikationsendpunkte sind?


Und Danke auch für die guten Links ^^

Gruß
und einen schönen Abend euch Beiden!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routingproblem IPsec Tunnel
gelöst Frage von tvprog1Router & Routing3 Kommentare

Hallo, folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider ...

Netzwerke
Ipsec VPN Tunnel RV110W - Bintec Be.IP
Frage von Zero01Netzwerke2 Kommentare

Hallo, kann mir jemand helfen eine IPsec LAN - LAN Verbindung zwischen diesen beiden Geräten auf zu bauen? Ist ...

Router & Routing

IPsec VPN Tunnel - Tunnel ok aber div. Clients nicht sichtbar?

gelöst Frage von joeyschweizRouter & Routing5 Kommentare

Hallo Zusammen, ich stehe gerade vor einem Rätsel. Um ein Homeofficeplatz mit dem Firmennetzwerk zu verbinden wurde eine IPsec ...

Netzwerke

IPSec Site to Site tunnel send errors

Frage von brammerNetzwerke3 Kommentare

Hallo, ich habe einen existierenden Site to Site Tunnel durch den mehrere Netze gehen . Tunnel ist auch in ...

Neue Wissensbeiträge
Exchange Server

1und1 IONOS: Probleme beim Mailversand mit Exchange

Information von reksierp vor 1 StundeExchange Server

Hallo, seit Do, 17.1.19 etwa Mittags nimmt 1und1 IONOS keine Mails mehr über den Standard-Port SMTP 25 an. Nachdem ...

LAN, WAN, Wireless

Cisco Mikrotik VPN Standort Vernetzung mit dynamischem Routing

Anleitung von aqui vor 15 StundenLAN, WAN, Wireless

1. Allgemeine Einleitung Das nachfolgende Tutorial ist eine Fortführung der hier bei Administrator.de schon bestehenden VPN Tutorials und beschreibt ...

Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 2 TagenWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 3 TagenInternet6 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Temporäre WLAN Verbindung für AD-Login
Frage von Christian.WidauerLAN, WAN, Wireless17 Kommentare

Hallo zusammen, ich weiß leider nicht unter welchem Begriff ich dafür suchen muss, daher habe ich bisher leider nichts ...

LAN, WAN, Wireless
Bekannte Drosselungen bei Providern ?
Frage von HenereLAN, WAN, Wireless15 Kommentare

Servus zusammen, in bereits angefangen, aber ich hoffe dass der Beitrag hier mehr Informationen bringt. Sind Portdrosselungen bzw gezielte ...

Netzwerkmanagement
Reverse Proxy für TCP und UDP Anfragen
gelöst Frage von flxklsNetzwerkmanagement14 Kommentare

Hallo zusammen, ich besitze einen Rootserver, der nur eine öffentliche IP besitzt und auf dem mehrere VMs laufen. Da ...

Windows Server
MSSQL Backup in Form von .sql einspielen
Frage von janosch12Windows Server14 Kommentare

Guten Morgen, wir verwenden das Tool SQLandFTPBackup ( ) zum sichern einiger MSSQL Datenbanken. Nun sichert das Toll die ...