ESP - Encapsulating Security Payload
Encapsulating Security Payload (ESP) sorgt innerhalb von IPsec (VPN) für die Authentisierung, Integrität und Vertraulichkeit der IP-Pakete. Im Unterschied zu Authentication Header (AH) werden die Nutzdaten verschlüsselt übertragen.
Während AH "nur die Integrität und Echtheit" der Daten sicherstellen kann, erhöht ESP die Datensicherheit in Abhängigkeit des gewählten Verschlüsselungsalgorithmus. Deshalb wird in der Regel ESP und nicht AH verwendet.
ESP sorgt für die Vertraulichkeit der Kommunikation. Die Pakete werden verschlüsselt. Zusätzlich schützt eine Integritätssicherung vor Manipulation.
ESP beinhaltet zwei Betriebsmodi. Den Tunnelmodus und den Transportmodus. Der Tunnelmodus kann bei allen VPN-Anwendungen eingesetzt werden. In der Hauptsache aber, wenn zwei Netzwerke über ein unsicheres Netzwerk miteinander verbunden werden sollen. Will man nur zwei Rechner miteinander verbinden, dann verwendet man den Transportmodus. Der Transportmodus kann aber nur bei einer Host-to-Host-Verbindung verwendet werden.
Wie funktioniert Encapsulating Security Payload im Tunnelmodus?
Im ESP-Tunnelmodus wird die Verschlüsselung über das gesamte Paket und dem ESP-Trailer und anschließend die Authentifizierung vom ESP-Header bis einschließlich ESP-Trailer vollzogen. Der Hash wird dann an den ESP-Trailer angehängt.
Im Tunnelmodus wird das gesamte IP-Paket verschlüsselt und in ein neues IP-Paket gepackt. Das bedeutet, die Original-IP-Adresse ist von außen nicht mehr sichtbar. Der Tunnelmodus verschleiert die Original-Adresse des Absenders.
Im Tunnelmodus kommen für den ESP-Header 8 Byte, für den ESP-Trailer 16 bis 20 Byte und für den zusätzlichen IP-Header 20 Byte hinzu.
Wie funktioniert Encapsulating Security Payload im Transportmodus?
Es ist für IPsec nicht unbedingt erforderlich IP-Pakete vollständig neu zu encapsulieren (einzukapseln). Es ist von der Kommunikation abhängig.
Beim Transportmodus wird der Original-IP-Header weiter benutzt und zusätzlich ein ESP-Header eingefügt. Es kommen für den ESP-Header 8 Byte und für den ESP-Trailer 16 bis 20 Byte hinzu. Vorteil des Transportmodus ist der geringe Overhead gegenüber dem Tunnelmodus.
Im Transportmodus werden lediglich die Daten verschlüsselt und der alte IP-Header unverändert belassen. Die Daten sind so zwar geschützt, ein Angreifer kann jedoch zumindest eine bestehende VPN-Verbindung zwischen zwei Stationen feststellen.
Tunnelmodus vs. Transportmodus
Wenn Subnetze über unsichere Netze miteinander verbunden werden, dann kommt üblicherweise ESP im Tunnelmodus zum Einsatz.
Wenn zwei Computer in einem LAN miteinander verbunden werden sollen, dann wählt man üblicherweise den Transportmodus.