Einsatzziele von AH,ESP,AH/ESP

Je nach Einsatz von AH, ESP, AH und ESP jeweils im Tunnel oder im Transport Modus werden unterschiedliche Ziele verfolgt.

• AH-Transport Mode
  • Zugangskontrolle und Verkehrsfilterung.
  • Nutzdaten dürfen von allen gelesen werden, jedoch soll die Nachricht im Originalzustand sein.
  • IP-Header bis auf variable Einträge und Nutzdaten dürfen nicht verändert werden. Der Absender soll identifiziert werden (shared key).
• AH-Tunnel Mode
  • Änderungen am IP-Header und an den Nutzdaten sollen erkannt werden.
• AH-Tunnel Mode / ESP-Transport Mode
  • Nutzung von privaten IP-Adressen.
  • Anbindung von externen Zulieferern an das Firmennetz:
    Zugriffskontrolle auf eindeutig abgegrenzte Bereiche im Netz des Herstellers. (Host A will nicht, daß Host B bzw. ein unauthorisierter Mitarbeiter der Firma X an sensitiven Daten gelangt. Umgekehrt möchte sich der Hersteller gegen Lauschangriffe aus dem Intranet seiner Partner absichern.
    Eine Lösung ist eine End-zu-End Verbindung, die man unter der Verwendung von AH im Tunnel-Mode und eingeschlossener ESP im Transport-Mode erreicht. Nur authentifizierte Pakete werden verarbeitet und (an höheren Schichten) weitergeleitet werden, (dadurch verhindert man auch Denial-of-Service-Attacken). Diese Filterfunktion können durch eine End-zu-End Verschlüsselung und Authentifizierung des ESP im Intranet ergänzt werden. Die sensitive Daten werden dadurch vom Client im Intranet des Zulieferers bis zum Server beim Hersteller verschlüsselt übertragen. Unberechtigte Zugriffe durch vortäuschen von zulässigen Absenderadressen (Spoofing) kann die Authentifizierungsfunktion des ESPs abwehren. (Es können nur berechtigte und im Besitz des geheimen Schlüssels befindliche Partner mit den entsprechenden Servern Kontakt aufnehmen). Hierzu müssen allerdings alle Clients und Server IPSec unterstützen. Auch die Firewalls müssen mit den neuen Next Header-Kennzahlen in den IP-Paketen umgehen können, die nun auf die AH bzw. ESP verweisen.
• ESP-Transport Mode
  • Nutzdaten müssen verschlüsselt werden.
  • Vertraulichkeit auch innerhalb ``sicherer'' Standorte.
  • Verschlüsseln der Nutzdaten und des ESP-Trailers.
  • Erkennen von veränderten Nutzdaten.
• ESP-Tunnel Mode
  • Vertraulichkeit zwischen Standorten.
  • Geheimhaltung der internen Topologie der Standorte.
  • IP-Daten und Nutzdaten sollen verschlüsselt werden.
  • Authentfizierung des originalen IP-Header und der Nutzdaten.
  • VPN-Gateways an den Übergängen zum Internet sollen nur Pakete annehmen, die tatsächlich von einem im Extranet befindlichen Rechner stammen.
    

    ESP im Tunnel-Modus mit aktivierter Authentifizierung erfüllt die Anforderung ideal. Hier werden die Daten und die intern verwendeten IP-Adressen verschlüsselt über das Internet transportiert.

• ESP-Tunnel Mode / AH-Transport Mode
  • Anwendungen mit sehr hohen Sicherheitsanforderungen, die auch den äußeren IP-Header authentifiziert wissen wollen. (Biete sich als Alternative AH und ESP im Tunnel-Modus an. ESP-Authentifizierung alleine würde nur die unveränderlichen Daten im Original-Datagramm zuzüglich ESP-Header und Trailer absichern).
• ESP-Transport Mode / AH-Transport Mode
  • Intranet A soll z.B. nur Verkehr von Intranet B zulassen und dabei eine sichere End-zu-End Verbindung von einem Host aus dem Intranet A mit einem Host vom Intranet B aufbauen. Das Intranet soll vor unberechtigte Zugriffen aus dem Internet geschützt werden und außerdem noch innerhalb des Intranets eine gesicherte Kommunikation bieten.
    

    Durch Verwendung des AH wird Verkehr unerlaubter Hosts innerhalb des Intranets verhindert (secret shared key) und durch den ESP Transport Modus wird eine sicher End-zu-End Verbindung realisiert.