AH <-> ESP: "Sicherheit" versus "Privacy"

(De beide Internet Protocols van IPSec; het 'Security'-deel van IPv6)


vliegende raaf

Elektronische communicatie over het internet gebeurt door middel van het zenden van kleine pakketjes. De pakketjes bestaan net zoals bij brievenpost uit een inhoud en een verpakking met adressering+informatie over hoe er getransporteerd moet worden: snel?, veilig?, aangetekend?, verzegeld? gewicht? in ��n geheel? via een bepaalde route? enz. Deze berichten op de verpakking bevinden zich bij internetpakketjes in de zogenaamde 'packet headers'.

`

Bij 'transport mode' encryptie (AH) wordt de transportinformatie in de headers van de IP-packets niet versleuteld. De inhoud van de packets ontvangt wel encryptie. Voor huis- tuin- en keuken gebruik, voor gebruik over interne netwerken/intranets is dat effectief. Voor gebruik over het onbetrouwbare Internet werkt het echter averechts. Afzender en adressering worden namelijk openlijk zichtbaar weergegeven terwijl het verkeer beperkt wordt tot communicatie tussen deze twee punten. Deze packets kunnen onderweg op talloze punten afgevangen, gekopieerd, vervalst en/of voor onbepaalde tijd opgeslagen worden op naam van de afzender. Dit werkt dus personifierend/identificerend en resulteert in het tegendeel van privacy of briefgeheim. Het einde van een 'openbare ruimte'. 

Bij 'tunnel mode' encryptie (ESP) wordt het originele packet, inclusief IP-header met transportgegevens versleuteld en in z'n geheel in een nieuw packet gestopt. Dit protocol is geschikt voor het verbinden van subnets (LAN's) over een onveilig netwerk zoals het Internet en het toestaan van tunneling door firewall en router parameters naar verschillende subnets. Dus ook van een internet- computer naar een subnet en van internetcomputer naar internetcomputer.

PPTP en L2TP zijn 'transport mode' protocols van Microsoft die standaard aangeboden worden voor VPN-verbindingen (beveiligde verbindingen over een onveilig netwerk). Hierbij ontvangen de IP-packets Authenticatie Headers (AH). Da's op zich geen probleem in besloten of hierarchisch gestructureerde (Intranet) omgevingen, maar het verhindert de voor Internet wenselijke anonimiteit die Encapsulated Security Payload (ESP) biedt. Toch worden deze voor het bedrijfsleven interessante protocols zonder bedenkingen aangewend bij de MXstream ADSL aansluiting op het publieke Internet. Ook het sterk in populariteit toenemende spelen van netwerkgames wordt in toenemende mate via een VPN-server gedaan omdat de meeste Windowsversies de noodzakelijke IPSec client niet bevatten.

DBZ draak

Om de problematiek wat cartoonachtig voor te stellen:

PPTP staat aan de voordeur en geeft ieder pakketje een 'ausweiss' en getatoeerd barcodenummer mee zodra het van de netwerkkaart naar de modem vertrekt.

Deze identificatiegegevens met betrekking tot herkomst en bestemming zijn voor iedereen die aan de kant van de weg naar langskomende pakketjes gaat zitten kijken ('sniffen') gewoon zichtbaar. De inhoud van de pakketjes is (zwak) encrypted (en mag dus volkomen legaal gehamsterd worden door Nationale geheime diensten). Dit wordt 'transport mode' tunneling genoemd. Microsoft noemt dat VPN (Virtual Private Network). Het steekwoord dat ik hierbij hanteer is 'sicherheit'.

In principe kan zo'n op authenticatie gebaseerde vorm van beveiliging goede diensten verrichten in hierarchische of besloten structuren (Intranet), bij betalingsverkeer, bij het selectief verlenen van toegangsrechten op internetcomputers en bijvoorbeeld om te voorkomen dat iemand vaker dan een maal een stem uit brengt.

Bij ESP worden de uitgaande packets volledig (en krachtig) versleuteld, van een hash voorzien (een cryptografische check-sum die als verzegeling functioneert) en opnieuw verpakt. Da's dus inclusief de header met persoonsgebonden gegevens. Deze nieuwe packets tonen nog slechts de bestemming (en wat technische details) aan een toeschouwer langs de kant van de weg. De hash biedt een integriteitswaarborg m.b.t. de inhoud van packet+header aan de ontvanger.

We zien dus twee tegengestelde soorten 'Security' onderdeel uit maken van IPSec. De ene is vooral op Intranets bruikbaar en baseert op Authenticatie van de afzender, de andere is vooral geschikt voor het onveilige Internet omdat het integriteit van packets waarborgt en verdedigt tegen twee grote gevaren die bij de Authenticatie Header niet voorkomen kunnen worden: 1) Man-In-the-Middle attacks (tussen de communicerende computers in gaan zitten en de verbinding over nemen door te doen alsof je zender/ontvanger bent) zijn ondoenlijk wanneer de afzender niet bekend is. 2) Geautomatiseerd hamsteren van privacy-gevoelige data door talloze geheime diensten, clans en multinationals is eveneens ondoenlijk zonder herkenbare afzender.

Beide methoden van beveiligen zijn optioneel in IPSec (en moeten dat m.i. ook zijn), zodat je steeds kunt kiezen welke van de twee het beste overeen komt met de aard van de handelingen die je wilt verrichten.

Maar het is natuurlijk niet zinvol om gebruik te maken van het anonimiserende ESP protocol wanneer ieder pakketje vervolgens in de gang naar de voordeur alsnog een 'jodenster+tatoeage' mee krijgt. Om die reden is verplichtte PPTP aansluiting van een modem dus strijdig met de IPv6 specificaties (= het nieuwe Internet Protocol waarvan IPSec een geintegreerd deel uit maakt).

Technisch merk je hier echter niets van. Het is mogelijk om beide protocollen (AH & ESP) tegelijk te gebruiken. Je krijgt dan geanonimiseerde packets *in* geauthenticeerde packets zonder dat je als gebruiker merkt dat je je anonimiteit kwijt raakt. Vanwege deze transparantie zijn er dus nogal wat mensen met een ADSL-verbinding die denken dat ze een veilige VPN-verbinding gebruiken terwijl ze in de praktijk meer schade op lopen aan hun privacy dan dat ze aan bescherming winnen.

Om Maurice Wessling van de privacy-organisatie Bits of Freedom ( www.bof.nl ) maar eens te citeren:

`

"Als ze alles van je weten,

 leef je in een dictatuur."

De standaard-protocols PPTP en L2TP zijn dus niet geschikt voor IPSec verbindingen over het Internet (en hinderen in feite ook de noodzakelijke invoering van IPv6).

(En denk nu niet dat dit Security-gedoe allemaal wel los zal lopen en dat dit protocol min of meer per ongeluk gebruikt wordt of voort komt uit gemakzucht en onkunde. Er is bij KPN heel bewust gekozen voor het pptp protocol om de Nationale 'law and order' krachten tevreden te stellen die 'politieagent van de EU' willen worden. De Nederlandse staat was/is grootaandeelhouder van deze telecom-monopolist en behoort tot de grootste hamsters van privacygevoelige elektronische data van de Westerse wereld. De meeste ADSL-aanbieders die KPN voor gingen, met name in de USA, Canada en Scandinavie, hanteerden namelijk verbindingen die *wel* verenigbaar waren met privacy. Dit voorbeeld hadden ze gewoon kunnen volgen, terwijl ze van aanvang aan ook expliciet door deskundigen op de gevolgen en nadelen van deze keuzes gewezen zijn. Maar in plaats van kiezen voor de voordeligste of integerste weg werden er juist kosten nog moeite gespaard om dit privacy-ondermijnende Microsoftprotocol aan alle ADSL-clienten op te dringen en het gebruik van serieuze privacyproducten onmogelijk te maken. Het ging hierbij niet om 'winst maken' maar om 'macht verwerven'!)

actieve goku

De Linux-distributies zijn tegenwoordig (sinds jan. 2002/kernel 2.4.x) volledig geschikt voor de IPSec-functionaliteit. Moderne Linux distributies en MAC's bevatten standaard een krachtige SSH2-server die goed te gebruiken valt voor IPSec verbindingen. De 'Open Source' ideologie is sowieso wenselijk vanuit privacy-oogpunt, want hoe kun je anders weten dat er geen hamsters en achterdeurtjes in al die code verborgen zit?

Er bevinden zich in W2k-Server, de opvolger van NT5, echter voldoende mogelijkheden om niet voor PPTP maar voor andere protocols te kiezen (zoals PPP) dus dit besturingssysteem hoeft nog net niet helemaal afgeschreven te worden voor het opzetten van een privacy-service icon-smile-tongue

Privacy biedende client software kan gelukkig op alle gangbare Windows versies (W95, ME, W98, NT4, NT5, W2000, XP enz.) geinstalleerd worden. In combinatie met een goede firewall en proxy kunnen dan de meeste internet activiteiten zoals surfen, up/down-loaden en chatten via http, "anoniem" verricht worden. (Waarbij "anoniem" nog slechts als oppervlakkige anonimiteit beschouwd kan worden. Sinds alle data wettelijk opgeslagen en bewaard moet worden door Internet Service Providers bestaat er geen effectieve afscherming meer tegen machtige organisaties.) E-mail is sowieso moeilijk beveiligbaar in combinatie met het gebruik van Microsoft software, maar dat valt nog enigszins te omzeilen door secured webbased e-mail te gebruiken.

Voor de 'lagere', niet-grafische remote access kwesties is PuTTY overigens een prima Windows-based client die o.a. OpenSSH tunneling biedt. Da's weliswaar ook 'transport mode' beveiliging en op zich zelf dus niet anoniem, maar heel wat krachtiger (en betrouwbaarder) dan de standaard encryptie die het Amerikaanse Microsoft levert bij de meeste van haar security-producten. Er zitten ook prima inlog-opties bij (Diffie-Hellman), een heel behoorlijke handleiding en het is nog gratis ook.

Voor het meer grafische werk (internetten/surfen) en echte privacy protectie moet er wat meer werk verricht worden. Dan zijn encrypted een-op-een verbindingen niet toereikend maar moet er een 'tussenstation' toegevoegd worden; een anonimiserende 'proxy'. Er bestaan veel van dit soort proxies op het internet, sommige op commerciele basis, anderen als non-profit service. Maar de meesten bevinden zich op het N. Amerikaanse continent en staan momenteel bloot aan censuur en/of intimidatie omdat Amerika in permanente staat van oorlog verkeert.

Ik heb als vrijwilliger een jaartje mogen genieten van de optimale privacy die 'Freedom'-clients genoten. Daarbij werd gebruik gemaakt van een wereldwijd Private Network dat 'military grade' privacy protectie leverde voor e-mail en alles wat over http liep (= "internetten"). Hier werd kort na 9-11 echter een stokje voor gestoken door Big Brother. Burgerrechten en privacy gaan nu eenmaal niet goed samen met een 'war on terrorism' en die laatste zal niet meer verdwijnen dus we leven voortaan onder een kaasstolp :-(

 

privacy draak 

terug pijltjeterug pijltjes terug pijltje

vooruit pijltje