Hauptbestandteil von IPsec sind die
Vertrauensstellungen (Security Association) zwischen
zwei Kommunikationspartner. Diese müssen nicht zwangsläufig zwischen den Endpunkten
(Client) einer Übertragungsstecke liegen. Es reicht aus, wenn z. B. bei der Kopplung
zweier Netze die zwei Router über eine Vertrauensstellung verfügen. Selbstverständlich
dürfen auch mehrere Vertrauensstellungen für eine Verbindung vorhanden sein.
Die Vertrauensstellungen regeln die Kommunikation von IPsec. Diese relativ flexiblen
Kombinationen von Vertrauensstellungen erfordern einen sehr hohen
Konfigurationsaufwand. Um eine gesicherte Verbindung zwischen zwei Stationen
aufbauen zu können, müssen auf beiden Seiten viele Parameter ausgetauscht werden:
Art der gesicherten Übertragung
(Authentifizierung oder Verschlüsselung)
Verschlüsselungsalgorithmus
Schlüssel
Dauer der Gültigkeit
der Schlüssel.
Vertrauensstellungen
werden durch den Austausch vorab definierter Schlüssel hergestellt. Eine
andere Form ist die Vergabe von Zertifikaten durch ein Trust-Center oder einen installierten
Zertifikate-Server. Schlüssel und Zertifikate sollen sicherstellen, dass derjenige welcher einen
Schlüssel oder ein Zertifikat besitzt, auch der ist, für den er sich ausgibt. Ähnlich
wie bei einem
Personalausweis, mit sich eine Person gegenüber einer anderen Person ausweist.
Schlüssel oder Zertifikat, ganz egal, beide Methoden benötigen viel Zeit und Sorgfalt bei
der
Einrichtung.
Die einfache Variante ist der geheime Schlüssel. Wichtig ist, dass die beiden Endpunkte über
IP- Adresse, Subnetzmaske, Tunnelname und den geheimen Schlüssel bescheid wissen. Dazu
gibt es weitere Parameter, die die Details der Authentifizierung und Verschlüsselung
insbesondere die Länge des Schlüssels festlegen.
1. Funktionelle Anforderung an da...
