Authentication Header ( AH )

> VPN - Virtual Privat Network - Übersicht

Der Authentication Header ( AH ) ist für die Authentizität eines Datenpaketes zuständig, d.h. es wird überprüft, dass das Datenpaket beim Datentransport nicht unbefugt verändert wurde. Es wird damit sichergestellt, dass der Absender des Datenpaketes derjenige ist, welcher im IP-Header angegeben ist. Dies wird durch eine kryptografische Prüfsumme erreicht. Der AH enthält alle nötigen Informationen für die Authentifikation und wird vor den eigentlichen Datenteil des Datenpaketes platziert.

Next Header - Identifiziert den Typ des Payloads, d.h. ob es sich z.B. um TCP oder UDP handelt

Payload Lenght - Länge des AH

Reserved - reserviert für zukünftige Anwendungen

Security Parameter Index (SPI) - gibt an , welche Sicherheitsprotokolle beim Sender verwendet werden ( Pointer auf Security Association ( SA ))

Sequence Number - Folgenummer - Schutz vor Replay-Attacken

Authentication Data - Prüfsumme bzw. Hashwert ( je nach verwendetem Hashalgorithmus dieser Eintrag verschieden lang )

Die Authentifikation stellt die Datenintegrität sicher sowie ist sie zuständig für die Sende(r)-Bestätigung ( ob Daten vom richtigen Sender kommen ) und dem Schutz vor Replay-Attacken. Replay-Attacken werden durch Folgenummern verhindert, d.h. der Empfänger kann erkennen, wenn Datenpakete mehrfach zugesendet werden. Für die Datenintegrität und die Bestätigung des Senders werden Prüfsummen berechnet. Die Berechnung erfolgt entweder über HMAC-MD5 oder HMAC-SHA-1. Welcher der beiden Hashalgorithmen benutzt wird, wird im SPI festgelegt. HMAC ( hash based message authentication code ) ist ein Algorithmus, welcher die Sicherheit der bereits etablierten Hashalgorithmen MD5 und SHA-1 erhöht. HMAC-MD5 liefert eine Prüfsumme mit 128Bit und HMCA-SHA-1 eine mit 160Bit. Eine nähere und genauere Erläuterung zu diesen beiden Hashalgorithmen ist im Anhang Teil B "Hashalgorithmen" zu finden. Die Prüfsumme wird über das gesamte Datenpaket berechnet, lediglich einige variable Felder, die sich während des Transportes verändern können ( Time to Live, Header Checksum, usw. ) werden nicht berücksichtigt.

Der AH kann nicht verhindern dass die Daten des Datenpaketes gelesen werden. Jedoch kann er sicherstellen, dass Modifikationen erkannt werden. Um den Inhalt der Daten gegen unbefugtes Lesen zu schützen, braucht man eine Verschlüsselung. Diese wird mittels Encapsulation-Security-Payload ( ESP ) bereitgestellt.

5.3.3.3.5. Encapsulation-Security-Payload ( ESP )

Specials

  >  Android
  >  Skype
  >  WiMax
  >  VoIP für den Mittelstand
  >  VPN
  >  Triple Play
  >  iPhone
  >  Instant Messenger
  >  GPRS
  >  HSUPA
  >  GSM
  >  Webhosting
  >  Fernsehkauf
  >  Online Bezahlsysteme
  >  Handy Browser
  >  Speicherkarten Vergleich
  >  Spielekonsolen
  >  IPTV
  >  Vergleich TV-Geräte
  >  Windows Vista
  >  Musik Flatrates
  >  IPv6
  >  TFT Displays
  >  Notebooks
  >  Sicherheit und Co.