Diskussion:IPsec

aus Wikipedia, der freien Enzyklopädie

Bitte alle Diskussionsbeiträge mit --~~~~ "unterschreiben"! Das gilt auch für IP-User ohne Benutzernamen! --Badenserbub

Inhaltsverzeichnis 1 Verschiebung 2 Überarbeitung und fehlendes 3 Inkonsistenz RFC 4 IPsec ist KEIN protokoll 5 Sachlicher Fehler? 6 Ein paar Worte zu Zertifikaten und PSK 6.1 pro Zertifikat 6.2 contra Cert 7 Main Mode + Aggressive Mode 8 Anwendung in der Praxis

[Bearbeiten] Verschiebung

Artikel wurde von IPSec verschoben. IPsec ist die korrekte Schreibweise für das Protokoll Qbi 22:07, 26. Mär 2004 (CET)

[Bearbeiten] Überarbeitung und fehlendes

Ich habe den Artikel heute komplett neu überarbeitet, da er meiner Meinung viel zu kurz griff. Trotzdem ist hier noch sehr viel zu tun. Bisher habe ich nur IKE beschrieben. Es fehlen noch AH und ESP. Evtl. setze ich mich hier in den nächsten Tagen weiter ran.

Qbi 23:33, 26. Mär 2004 (CET)

[Bearbeiten] Inkonsistenz RFC

Ich finde die Inkonsistenz von RfC vs. RFC innerhalb der Wikipedia nicht schön. Vom englischen Original ("Request for Comments") klingt es nach RfC, allerdings findet man im Netz (und in de- und en-Wikipedia) nur "RFC" erklärt. Also muss entweder alles in der Wikipedia auf "RfC" umgestellt werden (oder zumindest eine Weiterleitung eingerichtet werden) oder dieser Artikel sollte konsequenterweise auch RFC verwenden. kklklk

[Bearbeiten] IPsec ist KEIN protokoll

ipsec selbst ist KEIN protokoll. schaut euch die englische wiki-ausgabe an: IPsec is a protocol suite (ie, a set of interdependent protocols) oder das original RFC: IPsec is designed to provide interoperable, high quality,

  cryptographically-based security for IPv4 and IPv6.  The set of
  security services offered includes access control, connectionless
  integrity, data origin authentication, protection against replays (a
  form of partial sequence integrity), confidentiality (encryption),
  and limited traffic flow confidentiality.  These services are
  provided at the IP layer, offering protection for IP and/or upper
  layer protocols.

Protokolle in dem Sinn sind AH, ESP und IKE.

Klar. Deswegen ist L2TP auch kein Protokoll, es enthält ja auch PPTP und L2F.

[Bearbeiten] Sachlicher Fehler?

ESP: "Im Unterschied zu AH wird der Kopf des IP-Paketes nicht mit berücksichtigt." Wenn ESP im Tunnel-Modus läuft wird sehr wohl der Kopf vom IP Paket berücksichtig, oder?! Hier sieht das jedenfalls so aus.

Ja, aber nur das Header des gekapselten Paketes, der äußere nicht.

(Vorstehender nicht signierter Beitrag stammt von 213.39.132.157 (Diskussion • Beiträge) 12:27, 13. Jul 2006)

[Bearbeiten] Ein paar Worte zu Zertifikaten und PSK

• Zertifikate kann man selbst erzeugen (z.B. mit openssl), muss sie nicht von eTrust o.ae. kaufen. Auch eine Root-CA/PKI kann man selbst betreiben - das duerfte sich erst ab ca. 1000 Endpunkten lohnen. Meist werden daher self-signed Zertifikate verwendet.
• Bei PSK muessen nicht alle Endpunkte neu konfiguriert werden, wenn ein Freund nichtmehr vertrauenswuerdig ist. Das passiert nur, wenn fuer alle Verbindungen der selbe Key verwendet wird - das muss (und soll) man aber nicht tun.

[Bearbeiten] pro Zertifikat

• Software-Clients lassen sich mit Zertifikaten im p12-Format leichter konfigurieren lassen als von Hand mit PSK.
• Auf einem Tunnelendpunkt koennen nicht mehrere Tunnel zu Gegenstellen mit unbekannter (dynamischer) IP und mit verschiedenen PSKs verwendet werden. Das duerfte der Hauptgrund sein, PSK nicht einzusetzen. Als Abhilfe muss man nicht unbedingt Zertifikate einsetzen, man kann auch einfach den Tunnelendpunkten festen IPs verpassen.

Das stimmt so nicht! Es funktioniert nur dann nicht, wenn alle Systeme auch die gleiche Identity nutzen.

[Bearbeiten] contra Cert

• In der Praxis werden haeufig keine Zertifikate eingesetzt, da dies bei ettlichen Endgeraeten Probleme bereitet (Erzeugung oder Import, z.B. wg. Case-sensitivity der Distinguished Names, ...).
• Die Kunden scheuen die Kosten der offiziellen Zertifikate (eTrust und Co.)
• Die Provider scheuen Kosten/Aufwand, eine eigene RootCA zu betreiben

Comments? -- Wikifh 00:38, 23. Dez 2005 (CET)

[Bearbeiten] Main Mode + Aggressive Mode

Der Aggressive Mode ist afaik nicht korrekt beschrieben, bzw. die Unterschiede zwischen den beiden Modi. So heißt es: "Der Main Mode (dem Aggressive Mode vorzuziehen)[...]". Was ist, wenn die Gegenseite keine feste IP-Adresse hat? Die Anbindung von Clients mit dynamischer IP-Adresse ist afaik nur im Aggressive Mode möglich. Es klingt, als könnte man den Aggressive Mode ignorieren, da "[...]die Werte im Klartext übertragen[...]" werden.

[Bearbeiten] Anwendung in der Praxis

Was im Artikel irgendwie etwas zu kurz kommt: Wie gestaltet sich die Anwendung von IPsec in der Praxis? Also das Ganze verschüsselt alles oberhalb von Ebene 3, aber funktioniert das automatisch? Worauf ich hinaus will: Wenn eine Anwendung sagt: Ich will eine TCP-Verbindung nach Rechner X, Port 110 (z.B.), wird dann automatisch mit X ein Schlüsselaustausch initiert und die Verbindung verschlüsselt, oder muß von Seiten der Anwendung her ersteinmal dafür gesorgt werden, dass Verschlüsselung verwendet wird?

(Vorstehender nicht signierter Beitrag stammt von 212.201.78.97 (Diskussion • Beiträge) 22:49, 13. Jul 2006)

Es funktioniert in der Praxis vollautomatisch und für die Anwendung transparent. Probleme gibt es ab und an wenn die IPsec-Verbindung erst noch initiiert werden muss und die Timeout-Werte in der Applikation zu knapp bemessen sind.