IPsec - Authentication Header (AH)
IPsec Authentication Header fokussiert sich auf die Integrität und Authentizität der Datenpakete die durch den Tunnel transportiert werden. Dabei werden die Daten nicht verschlüsselt! Somit kann nur die Echtheit und Integrität geprüft werden.
Auch IPsec im AH besitzt einen Tunnel und Transport Modus.
AH im Tunnel Modus
Im Tunnel Modus wird das Paket samt Authentication Header in einem neuen Paket verpackt und ein neuer IP Header hinzugefügt. Er verschleiert also die IP Adresse des eigentlichen Absenders.
Dabei wird im Anschluss eine Prüfsumme des gesamten Paketes erstellt. Diese dient zum Sicherstellen der Integrität und Vollständigkeit.
Der Overhead für die Header betragen 28-32 Bytes für den AH und 20 Bytes für den neuen IP-Header.
Der Tunnel Modus kann in Kombination mit NAT Routern Probleme verursachen, da beim Router die Absendeadresse ersetzt wird und somit die Prüfsumme nicht mehr übereinstimmt.
AH im Transport Modus
Im Transport Modus kann der originale IP Header weiterverwendet werden. Vorteil ist der geringere Overhead im Vergleich zum Tunnel Modus. Zusätzlich kann der AH Transport Modus nur von Host-to-Host Kommunikation genutzt werden.