IP Security (IPsec) ist ein Standard für die Sicherung von Internet-Protocol-(IP-)Kommunikationen durch Verschlüsselung und/oder Authentifizierung aller IP-Pakete.
Der IPsec-Standard kennt zwei Betriebsarten (Modi) und zwei Protokolle:
Des Weiteren bietet IPsec Methoden für die manuelle und die automatische Verwaltung von Sicherheitsverbindungen (SAs, engl. Security Associations) sowie zur Schlüsselverteilung. Alle diese Merkmale wurden in einer Domain of Interpretation (DOI) zusammengefasst.
IPsec kann entweder im Transportmodus oder im Tunnelmodus arbeiten. Eine Host-zu-Host-Verbindung kann grundsätzlich jeden Modus verwenden. Wenn es sich bei einem der beiden Tunnelendpunkte jedoch um eine Firewall handelt, muss der Tunnelmodus verwendet werden. Die IPsec-VPN-Verbindungen auf der Sophos UTM arbeiten immer im Tunnelmodus.
Im Transportmodus wird das zu bearbeitende IP-Paket nicht in ein anderes IP-Paket eingepackt. Der ursprüngliche IP-Header wird beibehalten und das übrige Paket wird entweder in Klartext (AH) oder verschlüsselt (ESP) gesendet. Nun kann entweder das komplette Paket mit AH authentifiziert oder die Payload mit Hilfe von ESP verschlüsselt und authentifiziert werden. In beiden Fällen wird der Original-Header in Klartext über das WAN geschickt.
Im Tunnelmodus wird das komplette Paket – Header und Payload – in ein neues IP-Paket gekapselt. Ein IP-Header wird vorne an das IP-Paket angehängt, wobei die Zieladresse auf den empfangenden Tunnelendpunkt gesetzt wird. Die IP-Adressen des gekapselten Paketes bleiben unverändert. Das Originalpaket kann dann mit AH authentifiziert oder mit ESP authentifiziert und verschlüsselt werden.
IPsec verwendet für die sichere Kommunikation auf IP-Ebene zwei Protokolle:
Das Authentication-Header-Protokoll (AH) überprüft die Authentizität und die Integrität des Paketinhalts. Des Weiteren überprüft es, ob die Sender- und Empfänger-IP-Adressen während der Übertragung geändert wurden. Die Authentifizierung des Pakets erfolgt anhand einer Prüfsumme, die mittels eines Hash-based Message Authentication Codes (HMAC) in Verbindung mit einem Schlüssel und einem Hash-Algorithmus berechnet wurde. Einer der folgenden Hash-Algorithmen wird verwendet:
Der Aufwand, einen Hash-Wert mittels SHA-1 zu berechnen, ist im Vergleich zum MD5-Algorithmus etwas höher. Die Berechnungsgeschwindigkeit hängt natürlich von der Prozessorgeschwindigkeit und der Anzahl der IPsec-VPN-Verbindungen ab, die auf Sophos UTM verwendet werden.
Das Encapsulated-Security-Payload-Protokoll (ESP) bietet zusätzlich zur Verschlüsselung auch die Möglichkeit, den Absender zu authentifizieren und den Paketinhalt zu verifizieren. Wenn ESP im Tunnelmodus verwendet wird, wird das komplette IP-Paket (Header und Payload) verschlüsselt. Zu diesem verschlüsselten Paket wird ein neuer unverschlüsselter IP- und ESP-Header hinzugefügt: Der neue IP-Header beinhaltet die Adresse des Empfänger-Gateways und die Adresse des Absender-Gateways. Diese IP-Adressen entsprechen denen des VPN-Tunnels.
Für ESP mit Verschlüsselung werden üblicherweise die folgenden Algorithmen verwendet:
Von diesen bietet AES den höchsten Sicherheitsstandard. Die effektiven Schlüssellängen, die mit AES verwendet werden können, sind 128, 192 oder 256 Bit. Sophos UTM unterstützt mehrere Verschlüsselungs-Algorithmen. Für die Authentifizierung kann der MD5- oder der SHA-1-Algorithmus verwendet werden.
NAT-Traversal ist ein Verfahren, um zwischen Hosts in TCP/IP-Netzwerken Verbindungen über NAT-Geräte aufzubauen. Dies wird erreicht, indem UDP-Verkapselung der ESP-Pakete genutzt wird, um IPsec-Tunnel über NAT-Geräte aufzubauen. Die UDP-Verkapselung wird nur verwendet, wenn zwischen den IPsec-Gegenstellen NAT gefunden wird; andernfalls werden normale ESP-Pakete verwendet.
Mit NAT-Traversal kann ein IPsec-Tunnel auch aufgebaut werden, wenn sich das Gateway oder ein Road Warrior hinter einem NAT-Router befindet. Wenn Sie diese Funktion nutzen wollen, müssen allerdings beide IPsec-Endpunkte NAT-Traversal unterstützen – das wird automatisch ausgehandelt. Zusätzlich muss auf dem NAT-Gerät der IPsec-Passthrough (IPsec-Durchreichung) ausgeschaltet sein, da dies NAT-Traversal beeinträchtigen kann.
Wenn Road Warriors NAT-Traversal verwenden wollen, muss ihr entsprechendes Benutzerobjekt im WebAdmin eine statische Fernzugriffs-IP-Adresse (RAS, engl. remote static IP address) besitzen (siehe auch Statische Fernzugriffs-IP verwenden auf der Seite Benutzer im WebAdmin).
Um zu verhindern, dass der Tunnel abgebaut wird, wenn keine Daten übermittelt werden, sendet NAT-Traversal standardmäßig in einem Intervall von 60 Sekunden ein Signal zur Aufrechterhaltung (engl. keep alive). Durch dieses Aufrechterhaltungssignal wird sichergestellt, dass der NAT-Router die Statusinformation der Sitzung behält, damit der Tunnel offen bleibt.
Type-of-Service-Bits (TOS) sind einige Vier-Bit-Flags im IP-Header. Die Bits werden Type-of-Service-Bits genannt, da sie es der übertragenden Anwendung ermöglichen, dem Netzwerk mitzuteilen, welche Art von Dienstqualität benötigt wird.
Bei der IPsec-Implementierung von Sophos UTM wird der TOS-Wert immer kopiert.