AH - Authentication Header
Authentication Header (AH) sorgt innerhalb von IPsec (VPN) für die Authentizität der zu übertragenen Daten und die Authentifizierung des Senders. Mit AH kann man "nur die Integrität und Echtheit" der Daten sicherstellen. Die Nutzdaten werden nicht verschlüsselt und sind damit für jeden lesbar.
AH wird selten verwendet, weil "nur Integrität" meist nicht ausreicht. In der Regel möchte man die Daten noch verschlüsseln, um sie vor fremdem Zugriff zu schützen.
Neben Authentication Header (AH) gibt es auch noch Encapsulating Security Payload (ESP). Beide können gemeinsam oder alleine genutzt werden. Im Unterschied zu Authentication Header verschlüsselt Encapsulating Security Payload die Daten.
Wie funktioniert Authentication Header im Tunnelmodus?
Der Tunnelmodus kann bei allen VPN-Anwendungen eingesetzt werden. Im Tunnelmodus wird das gesamte IP-Paket verschlüsselt in ein neues IP-Paket gepackt. Das bedeutet, die Original-IP-Adresse ist von außen nicht mehr sichtbar. Der Tunnelmode verschleiert die Original-Adresse des Absenders.
Im Tunnelmodus kapselt IPSec mit AH das ganze Paket inklusive IP-Header in ein neues Paket mit einem neuen IP-Header und bildet über das gesamte IP-Datenpaket eine Prüfsumme. Es wird das gesamte IP-Paket, bis auf veränderbare Felder, in die "Authentication" einbezogen. Über die Prüfsumme ist beim Empfänger die Vollständigkeit und Korrektheit der Daten und die Identität des Absenders feststellbar.
Im Tunnelmodus kommen für den AH-Header 28 bis 32 Byte und für den zusätzlichen IP-Header 20 Byte hinzu.
Der Tunnelmodus bereitet Probleme im Zusammenhang mit einem NAT-Router. Denn die Absender-Adresse stimmt mit der Adresse im Original-Header nicht überein. Der NAT-Router manipuliert die IP-Adressen. Dadurch wird ein solches Datenpaket beim Empfänger als ungültig verworfen.
Wie funktioniert Authentication Header im Transportmodus?
Es ist für IPsec nicht unbedingt erforderlich IP-Pakete vollständig neu zu encapsulieren (einzukapseln). Es ist von der Kommunikation abhängig. Beim Transportmodus wird der Original-IP-Header weiter benutzt und zusätzlich ein AH-Header eingefügt. Es kommen für den AH-Header 28 bis 32 Byte hinzu. Vorteil des Transportmodus ist der geringe Overhead gegenüber dem Tunnelmodus.
Der Transportmodus kann ausschließlich bei einer Host-to-Host-Verbindung verwendet werden.