stefanocar_75 - Fotolia
Wie funktioniert der IPsec-Tunnelmodus?
Mit dem sogenannten IPsec-Tunnelmodus verschicken Sie verpackte und verschlüsselte Datenpakete von einem Standort zum anderen. Die Originale sind während des Transfers unlesbar.
Einen IPsec-Tunnelmodus finden Sie normalerweise zwischen Site-to-Site VPNs (Virtual Private Networks). In diesem Modus schützt IPsec alle IP-Pakete, während sie von einem Ende zu einem anderen transportiert werden. Der IPsec-Tunnelmodus macht das möglich, indem das Originalpaket (inklusive Original-IP-Header) verpackt und verschlüsselt wird.
Dafür ist ein vorgegebener Verschlüsselungsalgorithmus zuständig. Danach stattet IPsec das geschützte Paket mit einem neuen IP Header aus und schickt es an das andere Ende des VPN-Tunnels.
Akzeptiert das empfangende Ende (der Router) das Paket, wird der Prozess umgekehrt. Somit ist das Originalpaket wieder verfügbar und lässt sich nun im lokalen Netzwerk zustellen.
Abbildung 1 zeigt ein Beispiel eines Site-to-Site-Netzwerks, das mit einem IPsec-Tunnel-Modus konfiguriert ist:
Verbindet sich ein VPN-Client über eine VPN-Software (zum Beispiel Ciscos VPN-Client) mit der Zentrale, ist das ein ähnlicher Prozess. Das Endgerät in der Zentrale, meist ein Router oder eine ASA-Firewall, ist so konfiguriert, dass sie VPN-Verbindungen akzeptiert und annimmt.
Auf diese Weise bekommen Sie Zugriff auf interne Ressourcen. Interessieren Sie sich, wie Sie einen Cisco Router entsprechend konfigurieren, finden Sie weitere Informationen auf der Cisco Router Konfigurationsseite von Firewall.cx.
In dem Beispiel arbeitet IPsec im Tunnelmodus und verschlüsselt das Originalpaket. Kommt das Originalpaket am Router oder der ASA-Firewall an, wird es entschlüsselt und im lokalen Netzwerk ausgeliefert.
Sehr wichtig an dieser Stelle ist, dass der IPsec-Tunnelmodus das gesamte Originalpaket schützt. Keine Informationen des Originalpakets sind einsehbar oder lesbar. Abbildung 2 zeigt das.
Weitere Informationen über die ESP Header finden Sie im Artikel über IP-Security-Protokolle bei Firewall.cx.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!