Der exponentielle Anstieg der E-Business- und E-Commerce-Aktivitäten sorgt für gesteigerten Bedarf an sicheren Netzwerkverbindungen. So soll der Internet-Markt in diesem Jahr um 70 % auf fünf Milliarden US-Dollar wachsen. Sowohl die Inhalte der Datenpakete als auch die Umstände der Übermittlung werden damit als Zielscheibe von Netzwerkkriminalität zunehmend interessant. Fragwürdige Sicherheit ist immer noch der Hauptfaktor, der Unternehmen daran hindert, geschäftskritische Anwendungen ins Internet, Firmenintranet oder -extranet zu stellen. Mit wachsender Komplexität und Verwundbarkeit des Internets fordern Unternehmen immer bessere Systeme zur sicheren Datenübertragung.
Eine Schlüsselrolle spielen hier Virtual Private Networks (VPNs). Prognosen von Datamonitor zufolge soll allein der europäische Markt für VPNs im Jahre 2001 ein Volumen von einer Milliarde US-Dollar erreichen. VPNs ermöglichen die Herstellung sicherer Datenverbindungen zwischen verschiedenen Netzwerken oder Netzwerkterminals über unsichere öffentliche Netze wie das Internet. Durch ihren Aufbau sind VPNs Ausspähversuchen weit mehr ausgesetzt als geschlossene Netzwerke. Die Ziele eines VPN machen es zudem für Angriffe, wie vorsätzliche Datenverfälschungen und die Vorspiegelung falscher Nutzeridentitäten, besonders interessant.
VPns untertunneln praktisch das Internet und stellen quasi eine direkte Verbindung zwischen dem jeweiligen VPN-Client und einem zentralen VPN-Gateway dar. Beide Elemente bilden die Tunnel-Endpunkte. Zwischen ihnen werden Datenpakete mit einem IP-Rahmen versehen und sicher transportiert. Wie man einen solchen Tunnel aufbaut, ist in Standards wie Layer 2 Forwarding (L2F), Layer 2 Tunneling Protocol (L2TP) und IP Security (IPsec) festgelegt. L2F wurde von Cisco, Shiva und Northern Telecom entwickelt, L2TP ist aus der Kombination von L2F und dem Point-to-Point-Tunneling-Protocol (PPTP) entstanden. Diese Verfahren haben allerdings den Nachteil, dass nur die Datenintegrität und Nutzer-Authentifizierung definiert sind, nicht jedoch der Schutz der Daten gegen Ausspähen.
Um auch leistungsfähige Verschlüsselungsverfahren in
die Übertragung zu integrieren, wurde im Rahmen des
Internet-Protokolls IPv6 das IPsec-Protokoll entwickelt. IPsec soll
nach allgemeiner Auffassung den künftigen Standard für
VPN-Tunneling darstellen. Es handelt sich dabei um einen offenen
Standard der 
Internet Engineering Task Force (IETF)
zum Schutz von IP-Verkehr auf Paketebene, der alle IP-basierten
Dienste und Anwendungen absichern kann. Zahlreiche Anbieter haben
bereits IPsec übernommen und so zu dem Standard
für sichere Kommunikation im Internet gemacht.
Das Internet Protocol (IP) zerlegt die zu übertragenden Daten in IP-Datagramme und übermittelt diese an den Empfänger. Datagramme sind die kleinste Einheit, die zwei Kommunikationspartner in TCP/IP-basierten Netzwerken austauschen. Als verbindungsloses Protokoll gewährleistet IP nicht, dass diese Datagramme auch tatsächlich ihr Ziel erreichen. Die einzelnen Pakete behandelt IP unabhängig voneinander. Sendet ein Host unmittelbar nacheinander zwei Datagramme zur gleichen Zieladresse, erfolgt das Routing zum Bestimmungsort dennoch unabhängig voneinander. Dabei ist es durchaus möglich, dass das zweite Paket vor dem ersten ankommt. Für die Wiederherstellung der Daten ist der empfangende Client zuständig: Dieser fügt die einzelnen Datagramme in der richtigen Reihenfolge wieder zusammen. IP-Datagramme bestehen aus einem mindestens 20 Byte großen Header und dem Datenblock, der maximal 65.535 Bytes lang sein darf. Die einzelnen Blöcke des Headers sind 32 Bit groß (vgl. Abb.).
Aufbau eines IP-Datagrammes
Ziel der IPsec-Protokoll-Suite ist es, durch den Einsatz moderner Verschlüsselungsmethoden die Vertraulichkeit und Authentizität von Daten zu gewährleisten. IPsec arbeitet im Gegensatz zu PPTP oder L2TP auf der Netzwerkschicht (Ebene 3). Es verschlüsselt die Datenpakete inklusive aller Informationen wie Empfänger oder Statusmeldungen und fügt einen "normalen" IP-Header hinzu. Um den Inhalt eines IP-Datagramms zu schützen, werden die Daten kryptographisch behandelt. Zwei verschiedene Umwandlungsarten bilden die Bausteine von IPsec: die AH-Umwandlung (Authentication Header) und die ESP-Umwandlung (Encapsulating Security Payload). Die Konfiguration läuft über eine Security Association (SA) genannte Datenstruktur.
Der Authentication Header (AH) authentifiziert das Datagramm. Außerdem schützt er entsprechend den Angaben in der Security Association alle Daten im Datagramm einschließlich der Felder, die sich bei der Umwandlung nicht ändern. Über den AH stellt IPsec also sicher, dass das empfangene Paket tatsächlich vom richtigen Absender stammt (und nicht von einem Angreifer, der sich in die Kommunikation einklinken will). Darüber hinaus sichert er die Integrität, garantiert also, dass das Paket nicht verändert wurde, und enthält eine Sequenznummer, die das Wiedereinspielen alter Pakete verhindert (Replay-Attacke). Da der AH jedoch nichts verschlüsselt, gewährleistet er keine Vertraulichkeit.
Aufbau des Authentication Header
Der Encapsulating Security Payload Header (ESP) bietet dagegen Vertraulichkeit, Authentizität des Datenursprungs (optional), verbindungslose Integrität (optional), Wiedereinspielsicherheit sowie Schutz gegen Verkehrsflussanalysen (Limited Traffic Flow Confidentiality). Dazu verschlüsslet er den kompletten Inhalt des Datagramms entsprechend den Angaben in der Security Association. Die ESP-Umwandlungen ver- und entschlüsseln Teile des Datagramms und hüllen es optional in ein anderes IP-Datagramm ein, sodass kein zusätzlicher AH notwendig ist.
Aufbau des Encapsulating Security Payload Header
(ESP)
Die eigentliche Methoden zur Verschlüsselung und Authentifizierung sind dabei nicht im Standard festgelegt. Allerdings hat die IETF bestimmte Algorithmen zwingend für IPsec-Implementationen vorgesehen, um Interoperabilität zwischen verschiedenen Produkten zu gewährleisten. Unter anderem folgende Standards und Verfahren sind obligatorisch:
IPsec kann man außer für VPNs auch als "normales" Transportprotokoll verwenden. Dabei wird nicht wie beim Tunnel-Modus das gesamte IP-Paket verschlüsselt und in ein neues eingepackt, sondern nur die reine Nutzlast chiffriert (vgl. Abb.). Der Original-IP-Header mit Absender- und Zielangaben bleibt dann erhalten. Dadurch müssen weniger zusätzliche Daten (Overhead) übermittelt werden, die Bandbreitenbelastung ist geringer. Allerdings kann ein Lauscher auch erkennen, von wem die Daten kommen und an wen sie gehen. Da die Informationen oberhalb der Ebene 3 im OSI-Modell jedoch verschlüsselt sind, kann der Hacker nicht feststellen, um welche Art der Kommunikation es sich handelt (E-Mail, HTTP usw.).
Bevor zwei Stationen Daten über IPsec austauschen können, müssen sie eine ganze Reihe von Schritten zur Initialisierung durchführen. Zunächst sind die gewünschten Sicherheitsdienste festzulegen: Verschlüsselung, Authentifizierung/Integrität oder alle drei. Danach einigen sich die Stationen auf die exakten Algorithmen: etwa DES zur Verschlüsselung und MD5 für die Integrität. Im nächsten Schritt tauschen sie die Schlüssel für die Sitzung (Session Keys) aus.
Für die Sicherung der Kommunikation verwendet IPsec die so genannte Security Association (SA). Eine SA bezeichnet die Beziehung zwischen zwei oder mehreren Stationen und beschreibt, wie diese Stationen Sicherheitsdienste zur Kommunikation verwenden. Eine SA ist entweder statisch, d. h. sie enthält nur Daten, die bei der Umwandlung nicht verändert werden, oder sie ist dynamisch, d. h. sie enthält Daten, die bei der Umwandlung beibehalten und bei jeder Verarbeitung der Daten geändert werden. Auf Seriennummern basierender Wiedereinspielschutz und Kompression sind Beispiele für Umwandlungen, die dynamische Daten erfordern.
SAs werden über den Security Parameter Index (SPI) eindeutig gekennzeichnet. Der SPI besteht aus einer 32-Bit-Zufallszahl und der Zieladresse. Bei der Kommunikation zweier Stationen existieren daher immer zwei SPIs: einer für den Weg von A nach B und einer für die Rückrichtung. Will eine Station Daten gesichert übertragen, überprüft sie die mit der Zielstation vereinbarte Sicherheitsassoziation und wendet die spezifizierten Verfahren auf das Datenpaket an. Dann schreibt sie den SPI in den Paketheader und schickt das Paket an die Zieladresse.
IPsec baut auf das Vorhandensein solcher SAs, definiert jedoch keinen Mechanismus zum Erzeugen einer solchen Struktur. Damit sich der Vorgang in globalen Netzwerken wie dem Internet einsetzen lässt, ist natürlich ein automatisiertes Protokoll hierfür erforderlich: der Internet Key Exchange (IKE). Er dient zum Erzeugen, Aushandeln, Modifizieren und Löschen von SAs. IKE kombiniert das Internet Security Association and Key Management Protocol (ISAKMP) mit dem Oakley Key Exchange. Das ISAKMP ist ein Rahmenprotokoll zur Erzeugung von verbindungsspezifischen Parametern, das nicht auf IPsec beschränkt ist. Oakley ist die eigentliche Ausprägung des ISAKMP-Rahmenprotokolls zur Generierung des IPsec-Schlüssels und der SA.
IKE arbeitet in zwei Phasen: Ziel der ersten Phase ist die Erzeugung eines sicheren Kanals für den weiteren Verhandlungsverkehr sowie die Authentifizierung der verhandelnden Parteien. Phase 1 erzeugt eine SA für das ISAKMP selbst. In der zweiten Verhandlungsstufe wird dann die SA für IPsec erzeugt. Beim ersten Aushandeln ist der zweistufige Ansatz zwar zeitaufwendiger als ein einstufiger Ansatz; ist die erste Phase aber einmal erfolgt, lassen sich die häufiger vorkommenden Aushandlungen der zweiten Phase schneller durchführen.
Für die Erzeugung der SA der ersten Phase stehen zwei Modi zur Verfügung: der Main Mode und der Aggressive Mode. Der Aggressive Mode ist etwas schneller, bietet jedoch keinen Identitätsschutz für die verhandelnden Knoten. In Phase 2 dient der Quick Mode zur Erzeugung der SA. Dies geht, wie der Name schon verrät, sehr schnell.
IPsec hilft außerdem bis zu einem gewissen Maß gegen "Denial of Service"-Angriffe (DoS). Wenn der Zielrechner nur bestimmten authentifizierten IP-Adressen (etwa innerhalb einer Public Key Infrastruktur) zur Verfügung stehen soll, dann lässt sich zumindest jedes nicht-authentifizierte Paket "von außen" abweisen. In einem eingehenden Paket entscheidet ja der SPI-Wert zusammen mit der Zieladresse über die zur Entschlüsselung oder Überprüfung des eingehenden Datagramms einzusetzende Security Association. Ist einem Angreifer keine gültige Dreierkombination (Protokoll, SPI, Zieladresse) bekannt, so ist die Wahrscheinlichkeit gering, eine zu erraten. Das Vortäuschen beziehungsweise Aneignen von Absenderadressen (IP-Spoofing) ist damit ausgeschlossen.
Spätestens dann, wenn ungültige oder abzuweisende Anfragen die gesamte Bandbreite des eingehenden Netzwerkstrangs füllen, hilft aber auch keine Prüfung am Endpunkt mehr. Zudem bleiben interne Angriffe möglich: Jede Partei, die eine gültige Dreierkombination kennt, kann Ressourcen belegen, indem sie verschlüsselte oder integritätsgeschützte Pakete versendet, die sich nicht entschlüsseln lassen oder ungültige Inhalte tragen.
Das IPsec-Protokoll kann viele der heutigen Internet-Sicherheitsprobleme lösen hefen. IPsec genießt die Unterstützung aller wichtigen Branchenvertreter, bietet ein hohes Maß an Sicherheit und Kompatibilität. Seine Spezifikation als offener Internet-Standard ermöglicht eine Vielzahl von Implementationen, die der Verbreitung dieser Technik förderlich sein dürften.
Timo Rinne ist Vice President Engineering bei der SSH Communications Security Corp. und für die Produktentwicklung des gesamten Unternehmens zuständig. Seine Schwerpunkte liegen in den Bereichen Telekommunikations-Protokolle und Krypthographie.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 5/2000, Seite 77
