Home
IPSec

e-Mail an mich
Der Authentication Header

zurück     weiter

Der Authentication Header

IPSec bietet die Möglichkeit, die IP-Pakete gegen Verfälschung zu sichern. Hierzu dient der Authentication Header AH. Dieser Authentication Header wird dem Payload, wie z.B. einem TCP-Paket, vorangestellt. Er enthält die folgenden Felder:

  • Next Header (1 Byte): Dieses Feld zeigt an, welcher Header dem AH folgt. Dies kann z.B. der TCP-Header sein.
  • Payload Length (1 Byte): Das Feld Payload Length gibt die Größe des AH-Paketes in 32-Bit-Worten minus 2 an. Im Normalfall ist der Hashwert 96 Bit lang, was bewirkt, dass das ganze Paket 6 Worte lang ist. In diesem Fall enthält das Feld Payload Length den Wert 4.
  • Reserved (2 Byte): Dieses Feld ist für zukünftige Anforderungen reserviert.
  • Security Parameters Index SPI (4 Byte): In diesem Feld sind alle Parameter der SA angezeigt, die durch IKE ausgehandelt wurde.
  • Sequence Number (4 Byte): Die Sequenznummer wird zu Beginn einer Verbindung auf 1 gesetzt und nach jedem Paket inkrementiert. Hierdurch wird verhindert, dass Pakete mit falscher Sequenznummer eingespielt werden.
  • Authentication Data (variabel): Der Hashwert der Nachricht ist in diesem Feld abgelegt. In Normalfall ist es 96 Bit oder 12 Byte groß.

Bei der Sicherung der IP-Pakete gegen Verfälschung gibt es zwei Modi zur Übertragung der Daten – den Transportmodus und den Tunnelmodus. Im Transportmodus wird der AH zwischen IP-Header und Payload, z.B. dem TCP-Paket, eingefügt. Der Tunnelmodus wird benutzt, wenn zwei Standorte mit mehreren Rechnern über Security Gateways verbunden werden. Diese setzen vor das gesamte Paket zunächst den AH und setzen dann einen neuen IP-Header mit ihrer eigenen IP-Adresse vor das gesamte Paket. So erkennt das Security Gateway der Gegenseite das IPSec-geschütze Paket, bringt es wieder in den Originalzustand und leitet es an den Empfänger weiter. Der Hashwert, wird aus dem gesamten Payload und den Daten im IP-Header, die sich während der Übermittlung nicht oder nur vorhersagbar ändern, ermittelt. Ein Beispiel für ein sich nicht änderndes Feld ist das Feld Source Address. Ein Feld, das sich vorhersagbar ändert, ist das Feld Destination Address, da in diesem Feld am Ende der Übermittlung der gewünschte Zielpartner stehen muss. Dies bewirkt, dass die IP-Adressen von einem Angreifer nicht geändert werden können.

zurück     weiter

[Home] [IPSec] [SSL] [AES-Kandidaten] [Über mich] [Links] [Gästebuch]