IPsec (Internet Protocol Security)
Protokoll-Suite zur sicheren Kommunikation über IP-Netzwerke: verschlüsselt und authentifiziert IP-Pakete auf Netzwerkebene (Layer 3) - die Grundlage für VPNs in Unternehmensnetzwerken.
IPsec (Internet Protocol Security) ist eine Suite von Protokollen, die IP-Kommunikation auf Netzwerkebene (OSI Layer 3) durch Verschlüsselung, Authentifizierung und Integritätsprüfung absichert. IPsec ist die Basis für Site-to-Site-VPNs und wird häufig für Remote-Access-VPNs eingesetzt.
IPsec-Kernkomponenten
AH (Authentication Header):
- Bietet Authentifizierung und Integrität für IP-Pakete
- Keine Verschlüsselung - Payload ist lesbar
- Schützt auch IP-Header
- In der Praxis kaum noch eingesetzt (NAT-Inkompatibilität)
ESP (Encapsulating Security Payload):
- Bietet Verschlüsselung, Authentifizierung und Integrität
- Standard-Protokoll für sichere IPsec-Verbindungen
- Schützt den IP-Payload (nicht den äußeren Header im Tunnel Mode)
IKE (Internet Key Exchange):
- Handshake-Protokoll für Schlüsselaustausch und SA-Aushandlung
- IKEv1 (veraltet), IKEv2 (aktuell, empfohlen)
- IKEv2 bietet: schnellere Verbindungsaufbau, MOBIKE (für mobile Geräte), bessere NAT-Unterstützung
IPsec-Betriebsmodi
Transport Mode:
- Nur der IP-Payload wird geschützt
- IP-Header bleibt sichtbar
- Typischer Einsatz: Host-to-Host-Verschlüsselung im LAN
Tunnel Mode:
- Gesamtes IP-Paket wird in neues IP-Paket eingebettet und geschützt
- Externer IP-Header zeigt Gateway-Adressen, nicht die echten Endpunkte
- Typischer Einsatz: Site-to-Site-VPN, Remote-Access-VPN
| Modus | Paketstruktur |
|---|---|
| Transport Mode | [Orig. IP Header] | [ESP Header] | [TCP/UDP + Daten] | [ESP Trailer] |
| Tunnel Mode | [Neuer IP Header] | [ESP Header] | [Orig. IP Header + TCP/UDP + Daten] | [ESP Trailer] |
IPsec-Anwendungsfälle
Site-to-Site-VPN: Verbindet zwei Firmennetzwerke sicher über das Internet (z.B. Zentrale und Filiale). Zwischen zwei VPN-Gateways (Firewalls, Router) aufgebaut.
Remote-Access-VPN: Mitarbeitende verbinden sich von außen sicher mit dem Firmennetzwerk. Client (Windows, macOS, Linux) baut IPsec-Tunnel zur Firma auf.
MPLS-Sicherung: IPsec über MPLS-Verbindungen für zusätzliche Verschlüsselung.
Empfohlene IPsec-Konfiguration (BSI TR-02102-3)
Das BSI empfiehlt in der Technischen Richtlinie TR-02102-3:
IKEv2-Parameter:
| Parameter | Empfehlung |
|---|---|
| Encryption | AES-256-GCM oder AES-256-CBC |
| Integrity | SHA-256 oder SHA-384 |
| DH-Gruppe | DH-19 (P-256), DH-20 (P-384) oder besser |
| Authentication | Zertifikate (RSA-3072+) oder EAP mit Passwort |
ESP-Parameter:
| Parameter | Empfehlung |
|---|---|
| Encryption | AES-256-GCM (AEAD - integriert Auth) |
| Replay Protection | Aktiviert |
| PFS | Immer aktivieren (neue DH-Keys pro Session) |
Veraltet und unsicher:
- DES, 3DES (schwache Verschlüsselung)
- MD5, SHA-1 (schwache Hashes)
- Hauptmodus mit Pre-Shared Keys bei großen Deployments
- IKEv1 in Aggressive Mode (anfällig für Offline-Crack)
IPsec-Sicherheitsrisiken
Schwache PSKs (Pre-Shared Keys): Leicht zu erratende oder kurze PSKs können via Offline-Brute-Force geknackt werden, wenn IKE-Handshake-Daten abgegriffen wurden.
Ungepatchte VPN-Appliances: VPN-Gateways sind hochattraktive Angriffsziele - Fortinet, Cisco, Palo Alto hatten in den letzten Jahren kritische Schwachstellen die aktiv ausgenutzt wurden.
Fehlende MFA beim Remote Access: VPN mit Username/Passwort allein ist nicht ausreichend. MFA (Zertifikat + OTP oder FIDO2) ist Best Practice.
Split-Tunneling-Risiken: Wenn nur Firmen-Traffic durch VPN läuft (Split-Tunneling), bleiben private Geräte angreifbar und können als Brücke ins Firmennetz dienen.
IPsec vs. TLS-VPN vs. WireGuard
| IPsec | TLS-VPN (SSL-VPN) | WireGuard | |
|---|---|---|---|
| Layer | Layer 3 (IP) | Layer 4-7 (TLS über TCP) | Layer 3 |
| Geschwindigkeit | Hoch | Mittel | Sehr hoch |
| Konfigurationsaufwand | Hoch | Mittel | Niedrig |
| NAT-Traversal | IKEv2: gut | Sehr gut | Gut |
| Audit-Komplexität | Hoch | Mittel | Niedrig (kleiner Codebase) |
| Verbreitung Enterprise | Sehr hoch | Hoch | Zunehmend |
