AP2_FISI - IPsec - Bestandteile

Deck: AP2_FISI Kategorie: IPsec Subkategorie: Bestandteile Anzahl Karten: 19


Was ist der Zweck von AH (Authentication Header)?::AH bietet Authentifizierung, Integrität und optional Anti-Replay für IP-Pakete, aber verschlüsselt die Daten nicht.

Wie funktioniert AH?::AH fügt einen Header zum IP-Paket hinzu, der Informationen für die Authentifizierung und Integrität enthält.

Was ist ein Nachteil von AH?::Da AH keine Verschlüsselung anbietet, bleiben die Nutzdaten des IP-Pakets für jeden sichtbar, der Zugriff auf das übertragene Paket hat.

Was ist der Zweck von ESP (Encapsulating Security Payload)?::ESP wird verwendet, um Vertraulichkeit (Verschlüsselung), Authentizität, Integrität und Anti-Replay-Schutz für IP-Pakete anzubieten.

Wie funktioniert ESP?::ESP umhüllt die Nutzdaten des IP-Pakets mit einem ESP-Header und einem ESP-Trailer. Die Nutzdaten, zusammen mit dem ESP-Trailer (und gegebenenfalls Teilen des ESP-Headers), werden verschlüsselt.

Was ist ein Vorteil von ESP?::Mit der Verschlüsselungsfähigkeit bietet ESP eine starke Datenschutzmaßnahme, die es unbefugten Parteien erschwert, Zugriff auf die übertragenen Daten zu erhalten.

Was ist ein Nachteil von ESP?::ESP kann, ähnlich wie AH, Probleme mit NAT verursachen, da die Verschlüsselung der Nutzdaten die Bearbeitung und Identifikation der Pakete durch NAT-Geräte erschwert.

Was ist die Aufgabe von ISAKMP (Internet Security Association and Key Management Protocol)?::ISAKMP legt die Basis für die Schaffung, Aushandlung und Verwaltung von Security Associations.

Was ist IKE (Internet Key Exchange)?::IKE ist eine Implementierung von ISAKMP und wahrscheinlich die am häufigsten verwendete Methode zur Aushandlung von SAs und zum Schlüsselaustausch für IPsec.

Welches Verfahren verwendet IKE für den Schlüsselaustausch?::IKE verwendet den Diffie-Hellman-Schlüsselaustausch.

Was sind die zwei Phasen von IKE?::Phase 1: Hier wird eine sichere, verschlüsselte Verbindung zwischen den beiden Kommunikationspartnern erstellt (IKE-SA). Phase 2: In dieser Phase wird die eigentliche IPsec-SA etabliert.

Was ist der Zweck der Phase 1 von IKE?::In Phase 1 erfolgt die Authentifizierung der beiden Teilnehmer gegeneinander und es werden die Methoden für die Verschlüsselung und die Schlüsselverwaltung ausgehandelt.

Was ist der Zweck der Phase 2 von IKE?::In Phase 2 wird die eigentliche IPsec-SA etabliert. Diese SA ist für die Verschlüsselung und Integrität der übertragenen Daten verantwortlich.

Was ist Perfect Forward Secrecy?::Perfect Forward Secrecy ist ein Sicherheitsprinzip, angewendet in der verschlüsselten Kommunikation, das sicherstellt, dass das Aufdecken eines privaten Schlüssels nicht dazu führt, dass die gesamte vorherige und zukünftige Kommunikation entschlüsselt werden kann.

Welche Schlüsselaustauschmechanismen ermöglichen Perfect Forward Secrecy?::Die bekanntesten Schlüsselaustauschmechanismen für Perfect Forward Secrecy sind Diffie-Hellman (DH), Elliptic Curve Diffie-Hellman (ECDH) und RSA.

Was ist eine Sicherheitsassoziation (SA)?::Eine Sicherheitsassoziation (SA) ist eine grundlegende Komponente von IPsec und beschreibt, wie zwei Netzwerkgeräte miteinander kommunizieren. Sie beinhaltet alle Informationen, die notwendig sind, um Datenverkehr zwischen diesen Geräten sicher zu verarbeiten.

Was ist die Funktion der Security Policy Database (SPD)?::Die Security Policy Database (SPD) ist wesentlich für die Entscheidung, wie ein eingehendes oder ausgehendes Paket behandelt wird. Sie legt fest, welche Art von IP-Datenverkehr welche Sicherheitsbehandlung erhält.

Was ist die Funktion der Security Association Database (SAD)?::Die Security Association Database (SAD) enthält Informationen über aktive Sicherheitsassoziationen. Für jede SA speichert die SAD Details wie den SA-Identifikator, den Verschlüsselungs- und Authentifizierungsalgorithmus, die Schlüssel, Lebensdauer-Parameter und den Modus.

Warum sind SPD und SAD wichtig?::Diese Komponenten ermöglichen es Netzwerkadministratoren, detaillierte Sicherheitsrichtlinien zu definieren, die sicherstellen, dass nur autorisierter Datenverkehr in einer gesicherten Manier durch das Netzwerk fließen kann. Außerdem erleichtern sie die Interoperabilität.