Authentication Header (AH): Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „*AH, oder IP-Protokoll 51, dient dazu die Integrität eines Paketes sicherzustellen. *Hierzu berechnet es auf Basis eines Secret-Keys für jedes Paket, inklus…“)
 
 
Zeile 1: Zeile 1:
*AH, oder IP-Protokoll 51, dient dazu die Integrität eines Paketes sicherzustellen.  
+
* AH, oder IP-Protokoll 51, dient dazu die Integrität und Authentizität eines Paketes sicherzustellen.
*Hierzu berechnet es auf Basis eines Secret-Keys für jedes Paket, inklusive Header eine Signatur;
+
* Hierzu berechnet es auf Basis eines Secret-Keys für jedes Paket eine Signatur; den hash message authentication code (HMAC).
*den sog. hash message authentication code (HMAC).  
+
* Dieser HMAC stellt den größten und wichtigsten Teil des insgesamt 24Byte großen Authentication Header dar.
*Dieser HMAC stellt den größten und wichtigsten Teil des insgesamt 24Byte großen Authentication Header dar.
+
* Da in den HMAC auch die Adress-Felder des IP-Kopfes einbezogen werden, können Pakete bei AH-Verbindungen nicht mit NAT behandelt werden.
*Da in den HMAC auch die Adress-Felder des IP-Kopfes einbezogen werden können Pakete bei AH-Verbindungen nicht ohne weiteres mit NAT behandelt werden.
+
* Hierbei würde die Signatur ungültig. Durch AH werden die Pakete nicht verschlüsselt!
*Hierbei würde die Signatur ungültig. Durch AH werden die Pakete nicht verschlüsselt!
 
  
 
[[Datei:AH.gif]]
 
[[Datei:AH.gif]]
Zeile 10: Zeile 9:
 
Der AH wird eingesetzt um folgendes zu gewährleisten:
 
Der AH wird eingesetzt um folgendes zu gewährleisten:
  
* '''Datenintegrität:''' Dies wird ermöglicht durch Berechnen eines Hash-Wertes für das gesamte Paket einschließlich des ursprünglichen IP-Headers, des Datenteils des Pakets und des Authentifizierungs-Headers. Zu den Hash-Algorithmen zählen MD5 und SHA-1.
+
* '''Datenintegrität:''' Hash-Wert für gesamtes Paket inklusive IP-Header
 
+
* '''Datenursprungs-Authentifizierung:''' Quell-IP ist in signierten Daten enthalten
* '''Datenursprungs-Authentifizierung:''' Die Quell-IP ist in den Daten enthalten und kann mit den in IPsec eingebenen Werten verglichen werden. Somit kann die Integrität gewährleistet werden.
+
* '''Replay-Schutz:''' Sequenznummer wird mit authentifiziert
 
 
* '''Replay-Schutz:''' AH enthält außerdem eine IPsec-Sequenznummer, die in den authentifizierten Daten enthalten ist und vom Empfänger überprüft werden kann.
 

Aktuelle Version vom 27. November 2025, 17:54 Uhr

  • AH, oder IP-Protokoll 51, dient dazu die Integrität und Authentizität eines Paketes sicherzustellen.
  • Hierzu berechnet es auf Basis eines Secret-Keys für jedes Paket eine Signatur; den hash message authentication code (HMAC).
  • Dieser HMAC stellt den größten und wichtigsten Teil des insgesamt 24Byte großen Authentication Header dar.
  • Da in den HMAC auch die Adress-Felder des IP-Kopfes einbezogen werden, können Pakete bei AH-Verbindungen nicht mit NAT behandelt werden.
  • Hierbei würde die Signatur ungültig. Durch AH werden die Pakete nicht verschlüsselt!

AH.gif

Der AH wird eingesetzt um folgendes zu gewährleisten:

  • Datenintegrität: Hash-Wert für gesamtes Paket inklusive IP-Header
  • Datenursprungs-Authentifizierung: Quell-IP ist in signierten Daten enthalten
  • Replay-Schutz: Sequenznummer wird mit authentifiziert
Abgerufen von „http://wiki.ixheim.de/index.php?title=Authentication_Header_(AH)&oldid=65915